Documentation sur Oracle Cloud Infrastructure

À propos des politiques du service de visualisation

Découvrez les politiques de ressources du service de visualisation, notamment les autorisations d'API.

Pour contrôler qui a accès au service de visualisation et le type d'accès de chaque groupe d'utilisateurs, vous devez créer des politiques. Par défaut, seuls les utilisateurs du groupe Administrateurs ont accès à toutes les ressources du service de visualisation. Pour tous les autres qui utilisent le service, vous devez créer des politiques qui leur affectent les droits appropriés aux ressources Vision. Pour obtenir la liste complète des politiques Oracle Cloud Infrastructure, voir les informations de référence sur les politiques dans la documentation sur le service IAM avec domaines d'identité ou le service IAM sans domaines d'identité.

Important

Créez toutes les politiques au niveau du compartiment racine, c'est-à-dire au niveau de la location. Dans la console de votre location :
  • Sélectionnez Identité et sécurité.
  • Sélectionnez des politiques.
  • Sélectionnez le compartiment racine.

Politique pour accorder aux utilisateurs l'accès aux API du service de visualisation

Politiques au niveau du compartiment racine requises pour les utilisateurs du service de visualisation.

Si votre location n'utilise que des modèles préentraînés de Vision, une politique permettant d'accorder l'autorisation USE aux API de Vision suffit :
allow group <group_in_tenancy> to use ai-service-vision-family in tenancy
Si vous devez créer un projet ou un modèle dans la location, vous devez disposer d'une politique pour accorder l'autorisation MANAGE aux API Vision :
allow group <group_in_tenancy> to manage ai-service-vision-family in tenancy

Politique d'accès aux fichiers d'image d'entrée dans le stockage d'objets

Politiques requises pour accéder aux fichiers d'image dans le stockage d'objets à partir du service de visualisation dans la même location ou entre locations.

Accès au stockage d'objets même location
Si l'image d'entrée se trouve dans le stockage d'objets de votre location, créez un groupe dans la location pour autoriser les utilisateurs qui peuvent y accéder. Ajoutez la politique suivante dans votre location au niveau du compartiment racine pour accorder au groupe les autorisations USE de stockage d'objets :
allow group <group_in_tenancy> to use object-family in tenancy
Accès au stockage d'objets interlocation
Si l'image d'entrée se trouve dans le stockage d'objets tenancy_B et votre groupe d'utilisateurs dans tenancy_A, vous devez définir une politique ENDORSE READ pour le groupe d'utilisateurs de la location A :
define tenancy <tenancy_B> as <tenancy_B_ocid>
endorse group <group_in_tenancy_A> to read object in tenancy <tenancy_B>
Vous devez également définir une politique ADMIT READ dans tenancy_B pour le groupe d'utilisateurs dans tenancy_A :
define tenancy <tenancy_A> as <tenancy_A_ocid>
define group <group_in_tenancy_A> as <group_in_tenancy_A_ocid>
admit group <group_in_tenancy_A> of tenancy <tenancy_A> to read object in tenancy

Politique d'accès aux jeux de données de formation dans le stockage d'objets

Politiques requises pour accéder aux jeux de données de formation dans le stockage d'objets à partir du service de visualisation dans la même location ou entre locations.

Même accès au jeu de données d'entraînement de la location
Si le jeu de données d'entraînement personnalisé se trouve dans le stockage d'objets de votre location, créez un groupe dans la location pour autoriser les utilisateurs qui peuvent y accéder. Ajoutez la politique suivante dans votre location au niveau du compartiment racine pour accorder au groupe l'autorisation USE sur le stockage d'objets :
allow group <group_in_tenancy> to use object-family in compartment <training-dataset-located-object-storage-compartment>
Accès aux jeux de données d'entraînement interlocation
Si le jeu de données d'entraînement personnalisé se trouve dans le magasin d'objets tenancy_B et votre groupe d'utilisateurs dans tenancy_A, vous devez définir une politique ENDORSE READ pour le groupe d'utilisateurs de la location A :
define tenancy <tenancy_B> as <tenancy_B_ocid>
endorse group <group_in_tenancy_A> to read object in tenancy <tenancy_B>
Vous devez également définir une politique ADMIT READ dans tenancy_B pour le groupe d'utilisateurs dans tenancy_A :
define tenancy <tenancy_A> as <tenancy_A_ocid>
define group <group_in_tenancy_A> as <group_in_tenancy_A_ocid>
admit group <group_in_tenancy_A> of tenancy <tenancy_A> to read object in compartment <training-dataset-located-object-storage-compartment>

Politique de stockage des résultats du traitement par lots dans le stockage d'objets

Politique requise pour stocker les résultats du traitement par lots dans le stockage d'objets à partir du service de visualisation.

Ajoutez la politique suivante dans votre location au niveau du compartiment racine pour accorder l'autorisation d'accès au stockage d'objets au groupe qui traite par lots des images ou des documents :
allow group <group_in_tenancy> to manage object-family in compartment <batch_processing_results_located_object_storage_compartment>

POST /actions/analyzeImage

L'autorisation use ai-service-vision-analyze-image est requise lorsque la demande contient des fonctions sans modelId spécifié. Autrement dit, vous faites référence au modèle préentraîné.

Si la demande contient des fonctions avec une valeur modelId spécifiée, c'est-à-dire que vous référencez un modèle personnalisé, use ai-service-vision-model doit être accordé à l'utilisateur. La ressource use ai-service-vision-analyze-image fait partie de la famille de ressources ai-service-vision-family.

Le même appel peut mélanger des modèles préentraînés et personnalisés dans différentes fonctionnalités. Par exemple, la demande /actions/analyzeImage suivante référence un modèle préentraîné pour la détection d'objet et référence un modèle personnalisé pour la classification des images :
{
  "features" : [
    { "featureType" : "OBJECT_DETECTION", "modelId" : "ocid1.aivisionmodel.etc..." },
    { "featureType": "IMAGE_CLASSIFICATION" }
  ],
  "image" : { ... }
}
Cette demande nécessite les autorisations use ai-service-vision-model et use ai-service-vision-analyze-image.

Exemples de politique

La politique suivante permet uniquement aux utilisateurs du groupe d'utiliser des modèles préentraînés :
allow group <group_name> to use ai-service-vision-analyze-image in tenancy
Pour utiliser des modèles personnalisés, l'autorisation suivante doit être accordée au groupe d'utilisateurs :
allow group <group_name> to use ai-service-vision-model in tenancy
Vous pouvez transférer une politique vers un compartiment spécifique, par exemple :
allow group <group_name> to use ai-service-vision-model in compartment <my_compartment>
Au lieu du code de ressource individuel, vous pouvez définir l'autorisation sur la ressource de famille. Exemple :
allow group <group_name> to use ai-service-vision-family in tenancy

PUBLIER /imageJobs

Pour programmer une tâche liée à l'image, en appelant /actions/ImageJobs, vous devez disposer de l'autorisation use ai-service-vision-image-job.

Si la tâche contient des fonctions référençant un fichier modelId personnalisé, use ai-service-vision-model doit également être accordé à l'utilisateur. La ressource ai-service-vision-image-job fait partie de la famille de ressources ai-service-vision-family.

Exemples de politique

Pour exécuter un travail lié aux images avec des modèles préentraînés, vous devez disposer de la politique suivante :
allow group <group_name> to use ai-service-vision-analyze-image in tenancy
Pour exécuter une tâche d'image sur des modèles personnalisés, vous avez également besoin de la politique suivante :
allow group <group_name> to use ai-service-vision-model in tenancy
Vous pouvez limiter les autorisations à un compartiment. Exemple :
allow group <group_name> to use ai-service-vision-model in compartment <compartment_name>
Au lieu du code de ressource individuel, vous pouvez définir l'autorisation sur la ressource de famille. Exemple :
allow group <group_name> to use ai-service-vision-family in compartment <compartment_name>