Documentación de Oracle Cloud Infrastructure

Acerca de las políticas de Vision

Obtenga información sobre las políticas de recursos de Vision, incluidos los permisos de API.

Para controlar quién tiene acceso a Vision y el tipo de acceso para cada grupo de usuarios, debe crear políticas. Por defecto, solo los usuarios del grupo Administradores tienen acceso a todos los recursos de Vision. Para todas las demás personas que utilicen el servicio, debe crear políticas que les asignen derechos adecuados a las fuentes de Vision. Para obtener una lista completa de las políticas de Oracle Cloud Infrastructure, consulte la referencia de política en la documentación de IAM con dominios de identidad o IAM sin dominios de identidad.

Importante

Cree todas las políticas en el nivel de compartimento raíz, es decir, en el nivel de arrendamiento. En la consola de arrendamiento:
  • Seleccione Identidad y seguridad.
  • Seleccione Políticas.
  • Seleccione el compartimento raíz.

Política para otorgar a los usuarios acceso a las API de Vision

Políticas en el nivel de compartimento raíz necesarias para los usuarios de Vision.

Si su arrendamiento solo utiliza modelos previamente entrenados de Vision, basta con una política para otorgar permiso de USE a las API de Vision:
allow group <group_in_tenancy> to use ai-service-vision-family in tenancy
Si necesita crear un proyecto o modelo en el arrendamiento, debe tener una política para otorgar permiso MANAGE a las API de Vision:
allow group <group_in_tenancy> to manage ai-service-vision-family in tenancy

Política para acceder a archivos de imagen de entrada en Object Storage

Políticas necesarias para acceder a los archivos de imagen en Object Storage desde Vision en el mismo arrendamiento o entre arrendamientos.

Acceso a Object Storage del mismo arrendamiento
Si se encuentra la imagen de entrada en Object Storage de su arrendamiento, cree un grupo en el arrendamiento para autorizar a los usuarios que puedan acceder a Object Storage allí. Agregue la siguiente política en su arrendamiento en el nivel de compartimento raíz para otorgar permisos de USE de Object Storage al grupo:
allow group <group_in_tenancy> to use object-family in tenancy
Acceso a Object Storage entre arrendamientos
Si la imagen de entrada se encuentra en el almacenamiento de objetos tenancy_B y su grupo de usuarios en tenancy_A, debe definir una política ENDORSE READ en el grupo de usuarios del arrendamiento A:
define tenancy <tenancy_B> as <tenancy_B_ocid>
endorse group <group_in_tenancy_A> to read object in tenancy <tenancy_B>
También debe definir una política ADMIT READ en tenancy_B para el grupo de usuarios en tenancy_A:
define tenancy <tenancy_A> as <tenancy_A_ocid>
define group <group_in_tenancy_A> as <group_in_tenancy_A_ocid>
admit group <group_in_tenancy_A> of tenancy <tenancy_A> to read object in tenancy

Política para acceder a juegos de datos de formación en Object Storage

Políticas necesarias para acceder a los juegos de datos de formación en Object Storage desde Vision en el mismo arrendamiento o entre arrendamientos.

Acceso al mismo juego de datos de entrenamiento de arrendamiento
Si el juego de datos de formación personalizado se encuentra en Object Storage de su arrendamiento, cree un grupo en el arrendamiento para autorizar a los usuarios que puedan acceder a Object Storage allí. Agregue la siguiente política en su arrendamiento en el nivel de compartimento raíz para otorgar el permiso USE de Object Storage al grupo:
allow group <group_in_tenancy> to use object-family in compartment <training-dataset-located-object-storage-compartment>
Acceso a conjuntos de datos de formación entre arrendamientos
Si el juego de datos de entrenamiento personalizado se encuentra en el almacén de objetos tenancy_B y su grupo de usuarios en tenancy_A, debe definir una política ENDORSE READ en el grupo de usuarios del arrendamiento A:
define tenancy <tenancy_B> as <tenancy_B_ocid>
endorse group <group_in_tenancy_A> to read object in tenancy <tenancy_B>
También debe definir una política ADMIT READ en tenancy_B para el grupo de usuarios en tenancy_A:
define tenancy <tenancy_A> as <tenancy_A_ocid>
define group <group_in_tenancy_A> as <group_in_tenancy_A_ocid>
admit group <group_in_tenancy_A> of tenancy <tenancy_A> to read object in compartment <training-dataset-located-object-storage-compartment>

Política para almacenar resultados de procesamiento por lotes en Object Storage

Política necesaria para almacenar los resultados del procesamiento por lotes en Object Storage desde Vision.

Agregue la siguiente política en el arrendamiento en el nivel de compartimento raíz para otorgar permiso de acceso a Object Storage al grupo que procesa imágenes o documentos por lotes:
allow group <group_in_tenancy> to manage object-family in compartment <batch_processing_results_located_object_storage_compartment>

POST /actions/analyzeImage (en inglés)

El permiso use ai-service-vision-analyze-image es necesario cuando la solicitud contiene funciones sin modelId especificado. Es decir, estás haciendo referencia al modelo pre-entrenado.

Si la solicitud contiene funciones con un modelId especificado, es decir, hace referencia a un modelo personalizado, se debe otorgar use ai-service-vision-model al usuario. El recurso use ai-service-vision-analyze-image forma parte de la familia de recursos ai-service-vision-family.

La misma llamada podría mezclar modelos preentrenados y personalizados en diferentes características. Por ejemplo, la siguiente solicitud /actions/analyzeImage hace referencia a un modelo entrenado previamente para la detección de objetos y hace referencia a un modelo personalizado para la clasificación de imágenes:
{
  "features" : [
    { "featureType" : "OBJECT_DETECTION", "modelId" : "ocid1.aivisionmodel.etc..." },
    { "featureType": "IMAGE_CLASSIFICATION" }
  ],
  "image" : { ... }
}
Esta solicitud requiere los permisos use ai-service-vision-model y use ai-service-vision-analyze-image.

Ejemplos de políticas

La siguiente política solo permite a los usuarios del grupo utilizar modelos preentrenados:
allow group <group_name> to use ai-service-vision-analyze-image in tenancy
Para utilizar modelos personalizados, se debe otorgar el siguiente permiso al grupo de usuarios:
allow group <group_name> to use ai-service-vision-model in tenancy
Puede restringir una política a un compartimento específico, por ejemplo:
allow group <group_name> to use ai-service-vision-model in compartment <my_compartment>
En lugar del ID de recurso individual, puede definir el permiso en el recurso de familia. Por ejemplo:
allow group <group_name> to use ai-service-vision-family in tenancy

PUBLICAR /imageJobs

Para programar cualquier trabajo relacionado con la imagen, llamando a /actions/ImageJobs, debe tener el permiso use ai-service-vision-image-job.

Si el trabajo contiene funciones que hacen referencia a un modelId personalizado, use ai-service-vision-model también se debe otorgar al usuario. El recurso ai-service-vision-image-job forma parte de la familia de recursos ai-service-vision-family.

Ejemplos de políticas

Para ejecutar un trabajo relacionado con imágenes con modelos previamente entrenados, necesita la siguiente política:
allow group <group_name> to use ai-service-vision-analyze-image in tenancy
Para ejecutar un trabajo de imagen en modelos personalizados, también necesita la siguiente política:
allow group <group_name> to use ai-service-vision-model in tenancy
Puede limitar los permisos a un compartimento. Por ejemplo:
allow group <group_name> to use ai-service-vision-model in compartment <compartment_name>
En lugar del ID de recurso individual, puede definir el permiso en el recurso de familia. Por ejemplo:
allow group <group_name> to use ai-service-vision-family in compartment <compartment_name>