本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 步驟 2：設定 Amazon Rekognition 自訂標籤主控台權限
<a name="su-console-policy"></a>

若要使用 Amazon Rekognition 主控台，您必須新增才能擁有適當的權限。如果您想要將培訓檔案儲存在 [主控台儲存貯體](su-create-console-bucket.md) 中，則需要額外的權限。

**Topics**
+ [允許主控台存取](#su-console-access)
+ [存取外部 Amazon S3 儲存貯體](#su-external-buckets)
+ [指派權限](#su-assign-permissions)

## 允許主控台存取
<a name="su-console-access"></a>

若要使用 Amazon Rekognition 自訂標籤主控台，您需要下列涵蓋 Amazon S3、SageMaker AI Ground Truth 和 Amazon Rekognition 自訂標籤的 IAM 政策。如需關於指派權限的更多詳細資訊，請參閱 [指派權限](#su-assign-permissions)。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "s3Policies",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:CreateBucket",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:GetObjectTagging",
                "s3:GetBucketVersioning",
                "s3:GetObjectVersionTagging",
                "s3:PutBucketCORS",
                "s3:PutLifecycleConfiguration",
                "s3:PutBucketPolicy",
                "s3:PutObject",
                "s3:PutObjectTagging",
                "s3:PutBucketVersioning",
                "s3:PutObjectVersionTagging"
            ],
            "Resource": [
                "arn:aws:s3:::custom-labels-console-*"

            ]
        },
        {
            "Sid": "rekognitionPolicies",
            "Effect": "Allow",
            "Action": [
                "rekognition:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "groundTruthPolicies",
            "Effect": "Allow",
            "Action": [
                "groundtruthlabeling:*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## 存取外部 Amazon S3 儲存貯體
<a name="su-external-buckets"></a>

當您第一次在新 AWS 區域中開啟 Amazon Rekognition 自訂標籤主控台時，Amazon Rekognition 自訂標籤會建立用於存放專案檔案的儲存貯體 （主控台儲存貯體）。或者，您可以使用自己的 Amazon S3 儲存貯體 (外部儲存貯體) 將圖像或清單檔案上傳到主控台。若要使用外部儲存貯體，請將下列政策區塊新增至前述策略。用您的儲存貯體名稱取代 `amzn-s3-demo-bucket`。

```
        {
            "Sid": "s3ExternalBucketPolicies",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:GetObjectTagging",
                "s3:ListBucket",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::{{amzn-s3-demo-bucket}}*"
            ]
        }
```

## 指派權限
<a name="su-assign-permissions"></a>

若要提供存取權，請新增權限至您的使用者、群組或角色：
+ 中的使用者和群組 AWS IAM Identity Center：

  建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者：

  建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者：
  + 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
  + (不建議) 將政策直接附加至使用者，或將使用者新增至使用者群組。請遵循 *IAM 使用者指南* 的 [新增權限到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。