Oracle Cloud Infrastructure-Dokumentation

Vision-Policys

Erfahren Sie mehr über die Ressourcen-Policys von Vision, einschließlich API-Berechtigungen.

Um zu kontrollieren, wer Zugriff auf Vision hat und welcher Zugriffstyp für jede Benutzergruppe verwendet werden kann, müssen Sie Policys erstellen. Standardmäßig haben nur die Benutzer in der Administratorengruppe Zugriff auf alle Vision-Ressourcen. Für alle anderen Benutzer, die den Service verwenden, müssen Sie Policys erstellen, die ihnen den entsprechenden Rechten für Vision-Ressourcen zuweisen. Eine vollständige Liste der Oracle Cloud Infrastructure-Policys finden Sie in der Policy-Referenz in der Dokumentation zu IAM mit Identitätsdomains oder IAM ohne Identitätsdomains.

Wichtig

Erstellen Sie alle Policys auf Root Compartment-Ebene, d.h. auf Mandantenebene. In Ihrer Mandantenkonsole:
  • Wählen Sie Identität und Sicherheit aus.
  • Wählen Sie Policys aus.
  • Wählen Sie das Root-Compartment aus.

Policy, mit der Benutzern Zugriff auf Vision-APIs erteilt wird

Die Policys auf Root Compartment-Ebene, die für Vision-Benutzer erforderlich sind.

Wenn Ihr Mandant nur vortrainierte Vision-Modelle verwendet, reicht eine Policy zur Erteilung der USE-Berechtigung für Vision-APIs aus:
allow group <group_in_tenancy> to use ai-service-vision-family in tenancy
Wenn Sie ein Projekt oder Modell im Mandanten erstellen müssen, benötigen Sie eine Policy, um den Vision-APIs MANAGE-Berechtigungen zu erteilen:
allow group <group_in_tenancy> to manage ai-service-vision-family in tenancy

Policy für den Zugriff auf Eingabeimagedateien in Object Storage

Die erforderlichen Policys für den Zugriff auf Imagedateien in Object Storage von Vision im selben Mandanten oder Mandantenübergreifend.

Object Storage-Zugriff mit demselben Mandanten
Wenn das Eingabeimage im Object Storage Ihres Mandanten gefunden wird, erstellen Sie eine Gruppe im Mandanten, um die Benutzer zu autorisieren, die dort auf Object Storage zugreifen können. Fügen Sie die folgende Policy in Ihrem Mandanten auf Root Compartment-Ebene hinzu, um der Gruppe Benutzerberechtigungen für den Objektspeicher zu erteilen:
allow group <group_in_tenancy> to use object-family in tenancy
Mandantenübergreifender Object Storage-Zugriff
Wenn das Eingabeimage im Objektspeicher tenancy_B und Ihre Benutzergruppe in tenancy_A gefunden wird, müssen Sie eine ENDORSE READ-Policy für die Benutzergruppe in Mandant A definieren:
define tenancy <tenancy_B> as <tenancy_B_ocid>
endorse group <group_in_tenancy_A> to read object in tenancy <tenancy_B>
Sie müssen auch eine ADMIT READ Policy in tenancy_B für die Benutzergruppe in tenancy_A definieren:
define tenancy <tenancy_A> as <tenancy_A_ocid>
define group <group_in_tenancy_A> as <group_in_tenancy_A_ocid>
admit group <group_in_tenancy_A> of tenancy <tenancy_A> to read object in tenancy

Policy für den Zugriff auf Schulungsdatensets in Object Storage

Die erforderlichen Policys für den Zugriff auf Schulungs-Datasets in Object Storage von Vision aus in demselben Mandanten oder mandantenübergreifend.

Zugriff auf dasselbe Mandantenschulungs-Dataset
Wenn das benutzerdefinierte Trainings-Dataset im Object Storage Ihres Mandanten gefunden wird, erstellen Sie eine Gruppe im Mandanten, um die Benutzer zu autorisieren, die dort auf Object Storage zugreifen können. Fügen Sie die folgende Policy in Ihrem Mandanten auf Root Compartment-Ebene hinzu, um der Gruppe die Berechtigung "Object Storage USE" zu erteilen:
allow group <group_in_tenancy> to use object-family in compartment <training-dataset-located-object-storage-compartment>
Dataset-Zugriff auf mandantenübergreifende Schulungen
Wenn das benutzerdefinierte Trainings-Dataset im Objektspeicher tenancy_B und Ihre Benutzergruppe in tenancy_A gefunden wird, müssen Sie eine ENDORSE READ-Policy für die Benutzergruppe in Mandant A definieren:
define tenancy <tenancy_B> as <tenancy_B_ocid>
endorse group <group_in_tenancy_A> to read object in tenancy <tenancy_B>
Sie müssen auch eine ADMIT READ Policy in tenancy_B für die Benutzergruppe in tenancy_A definieren:
define tenancy <tenancy_A> as <tenancy_A_ocid>
define group <group_in_tenancy_A> as <group_in_tenancy_A_ocid>
admit group <group_in_tenancy_A> of tenancy <tenancy_A> to read object in compartment <training-dataset-located-object-storage-compartment>

Policy zum Speichern von Batchverarbeitungsergebnissen in Object Storage

Die erforderliche Policy zum Speichern von Batchverarbeitungsergebnissen in Object Storage von Vision.

Fügen Sie die folgende Policy in Ihrem Mandanten auf Root Compartment-Ebene hinzu, um der Gruppe, die Batchverarbeitungsbilder oder Dokumente verarbeitet, Objektspeicherzugriffsberechtigungen zu erteilen:
allow group <group_in_tenancy> to manage object-family in compartment <batch_processing_results_located_object_storage_compartment>

POST /actions/analyzeImage

Die Berechtigung use ai-service-vision-analyze-image ist erforderlich, wenn die Anforderung Features enthält, für die kein modelId angegeben ist. Das heißt, Sie verweisen auf das vortrainierte Modell.

Wenn die Anforderung Features mit einem angegebenen modelId enthält, d.h. Sie referenzieren ein benutzerdefiniertes Modell, muss use ai-service-vision-model dem Benutzer erteilt werden. Die Ressource use ai-service-vision-analyze-image ist Teil der Ressourcenfamilie ai-service-vision-family.

Derselbe Anruf kann vortrainierte und benutzerdefinierte Modelle in verschiedenen Funktionen mischen. Beispiel: Die folgende /actions/analyzeImage-Anforderung referenziert ein vortrainiertes Modell zur Objekterkennung und referenziert ein benutzerdefiniertes Modell zur Bildklassifizierung:
{
  "features" : [
    { "featureType" : "OBJECT_DETECTION", "modelId" : "ocid1.aivisionmodel.etc..." },
    { "featureType": "IMAGE_CLASSIFICATION" }
  ],
  "image" : { ... }
}
Für diese Anforderung sind die Berechtigungen use ai-service-vision-model und use ai-service-vision-analyze-image erforderlich.

Policy-Beispiele

Mit der folgenden Policy können die Benutzer in der Gruppe nur vortrainierte Modelle verwenden:
allow group <group_name> to use ai-service-vision-analyze-image in tenancy
Um benutzerdefinierte Modelle verwenden zu können, muss der Benutzergruppe die folgende Berechtigung erteilt werden:
allow group <group_name> to use ai-service-vision-model in tenancy
Sie können eine Policy auf ein bestimmtes Compartment zurücksetzen. Beispiel:
allow group <group_name> to use ai-service-vision-model in compartment <my_compartment>
Anstelle der individuellen Ressourcen-ID können Sie die Berechtigung für die Familienressource festlegen. Beispiele:
allow group <group_name> to use ai-service-vision-family in tenancy

POSTEN /imageJobs

Um Image-bezogene Jobs zu planen, benötigen Sie durch Aufrufen von /actions/ImageJobs die Berechtigung use ai-service-vision-image-job.

Wenn der Job Features enthält, die eine benutzerdefinierte modelId referenzieren, muss dem Benutzer auch die Berechtigung use ai-service-vision-model erteilt werden. Die Ressource ai-service-vision-image-job ist Teil der Ressourcenfamilie ai-service-vision-family.

Policy-Beispiele

Um einen imagebezogenen Job mit vortrainierten Modellen auszuführen, benötigen Sie die folgende Policy:
allow group <group_name> to use ai-service-vision-analyze-image in tenancy
Um einen Imagejob für benutzerdefinierte Modelle auszuführen, benötigen Sie auch die folgende Policy:
allow group <group_name> to use ai-service-vision-model in tenancy
Sie können Berechtigungen auf ein Compartment begrenzen. Beispiele:
allow group <group_name> to use ai-service-vision-model in compartment <compartment_name>
Anstelle der individuellen Ressourcen-ID können Sie die Berechtigung für die Familienressource festlegen. Beispiele:
allow group <group_name> to use ai-service-vision-family in compartment <compartment_name>