Documentation Oracle Cloud Infrastructure

A propos des stratégies Vision

Découvrez les stratégies de ressource Vision, y compris les droits d'accès d'API.

Pour déterminer qui a accès à Vision, ainsi que le type d'accès pour chaque groupe d'utilisateurs, vous devez créer des stratégies. Par défaut, seuls les utilisateurs du groupe Administrateurs ont accès à toutes les ressources de Vision. Pour tous les autres personnes qui utilisent le service, vous devez créer des stratégies qui leur affectant les droits d'accès appropriés aux ressources Vision. Pour obtenir la liste complète des stratégies Oracle Cloud Infrastructure, reportez-vous à la référence de stratégie dans la documentation IAM avec domaines d'identité ou IAM sans domaines d'identité.

Important

Créez toutes les stratégies au niveau du compartiment racine, c'est-à-dire au niveau de la location. Dans la console de location :
  • Sélectionnez Identité et sécurité.
  • Sélectionnez Stratégies.
  • Sélectionnez le compartiment racine.

Stratégie permettant aux utilisateurs d'accéder aux API Vision

Stratégies au niveau du compartiment racine requises pour les utilisateurs Vision.

Si votre location utilise uniquement des modèles préentraînés Vision, une stratégie permettant d'accorder le droit d'accès USE aux API Vision suffit :
allow group <group_in_tenancy> to use ai-service-vision-family in tenancy
Si vous devez créer un projet ou un modèle dans la location, vous devez disposer d'une stratégie pour accorder le droit d'accès MANAGE aux API Vision :
allow group <group_in_tenancy> to manage ai-service-vision-family in tenancy

Stratégie permettant d'accéder aux fichiers image d'entrée dans Object Storage

Stratégies requises pour accéder aux fichiers image dans Object Storage à partir de Vision dans la même location ou sur plusieurs locations.

Accès Object Storage colocatif
Si l'image d'entrée est trouvée dans Object Storage de votre location, créez un groupe dans la location pour autoriser les utilisateurs qui peuvent y accéder. Ajoutez la stratégie suivante dans votre location au niveau du compartiment racine pour accorder des droits d'accès USE au stockage d'objets au groupe :
allow group <group_in_tenancy> to use object-family in tenancy
Accès colocatif à Object Storage
Si l'image d'entrée se trouve dans le stockage d'objet tenancy_B et que votre groupe d'utilisateurs se trouve dans tenancy_A, vous devez définir une stratégie ENDORSE READ sur le groupe d'utilisateurs de la location A :
define tenancy <tenancy_B> as <tenancy_B_ocid>
endorse group <group_in_tenancy_A> to read object in tenancy <tenancy_B>
Vous devez également définir une stratégie ADMIT READ dans tenancy_B pour le groupe d'utilisateurs dans tenancy_A :
define tenancy <tenancy_A> as <tenancy_A_ocid>
define group <group_in_tenancy_A> as <group_in_tenancy_A_ocid>
admit group <group_in_tenancy_A> of tenancy <tenancy_A> to read object in tenancy

Stratégie d'accès aux jeux de données d'entraînement dans Object Storage

Stratégies requises pour accéder aux ensembles de données d'entraînement dans Object Storage à partir de Vision dans la même location ou sur plusieurs locations.

Accès au jeu de données d'entraînement de la même location
Si l'ensemble de données d'entraînement personnalisé est trouvé dans Object Storage de votre location, créez un groupe dans la location pour autoriser les utilisateurs qui peuvent y accéder. Ajoutez la stratégie suivante dans votre location au niveau du compartiment racine pour accorder au groupe le droit d'accès USE au stockage d'objets :
allow group <group_in_tenancy> to use object-family in compartment <training-dataset-located-object-storage-compartment>
Accès aux jeux de données de formation inter-locations
Si l'ensemble de données d'entraînement personnalisé se trouve dans la banque d'objets tenancy_B et dans le groupe d'utilisateurs tenancy_A, vous devez définir une stratégie ENDORSE READ sur le groupe d'utilisateurs de la location A :
define tenancy <tenancy_B> as <tenancy_B_ocid>
endorse group <group_in_tenancy_A> to read object in tenancy <tenancy_B>
Vous devez également définir une stratégie ADMIT READ dans tenancy_B pour le groupe d'utilisateurs dans tenancy_A :
define tenancy <tenancy_A> as <tenancy_A_ocid>
define group <group_in_tenancy_A> as <group_in_tenancy_A_ocid>
admit group <group_in_tenancy_A> of tenancy <tenancy_A> to read object in compartment <training-dataset-located-object-storage-compartment>

Stratégie permettant de stocker les résultats du traitement par lots dans Object Storage

Stratégie requise pour stocker les résultats du traitement par lots dans Object Storage à partir de Vision.

Ajoutez la stratégie suivante dans votre location au niveau du compartiment racine pour accorder des droits d'accès au stockage d'objet au groupe qui traite les images ou les documents par lots :
allow group <group_in_tenancy> to manage object-family in compartment <batch_processing_results_located_object_storage_compartment>

POST /actions/analyzeImage

Le droit d'accès use ai-service-vision-analyze-image est requis lorsque la demande contient des fonctionnalités sans modelId spécifié. Autrement dit, vous faites référence au modèle préentraîné.

Si la demande contient des fonctionnalités avec un modelId spécifié, c'est-à-dire que vous référencez un modèle personnalisé, use ai-service-vision-model doit être accordé à l'utilisateur. La ressource use ai-service-vision-analyze-image fait partie de la famille de ressources ai-service-vision-family.

Le même appel peut mélanger des modèles préentraînés et personnalisés dans différentes fonctionnalités. Par exemple, la demande /actions/analyzeImage suivante référence un modèle préentraîné pour la détection d'objet et un modèle personnalisé pour la classification d'image :
{
  "features" : [
    { "featureType" : "OBJECT_DETECTION", "modelId" : "ocid1.aivisionmodel.etc..." },
    { "featureType": "IMAGE_CLASSIFICATION" }
  ],
  "image" : { ... }
}
Cette demande nécessite les droits d'accès use ai-service-vision-model et use ai-service-vision-analyze-image.

Exemples de stratégie

La stratégie suivante permet uniquement aux utilisateurs du groupe d'utiliser des modèles préentraînés :
allow group <group_name> to use ai-service-vision-analyze-image in tenancy
Pour utiliser des modèles personnalisés, les autorisations suivantes doivent être accordées au groupe d'utilisateurs :
allow group <group_name> to use ai-service-vision-model in tenancy
Vous pouvez restituer une stratégie à un compartiment spécifique, par exemple :
allow group <group_name> to use ai-service-vision-model in compartment <my_compartment>
Au lieu de l'ID de ressource individuel, vous pouvez définir le droit d'accès sur la ressource de famille. Exemple :
allow group <group_name> to use ai-service-vision-family in tenancy

POSTER /imageJobs

Pour programmer un travail lié à une image, en appelant /actions/ImageJobs, vous devez disposer du droit d'accès use ai-service-vision-image-job.

Si le travail contient des fonctionnalités référençant un modelId personnalisé, use ai-service-vision-model doit également être accordé à l'utilisateur. La ressource ai-service-vision-image-job fait partie de la famille de ressources ai-service-vision-family.

Exemples de stratégie

Pour exécuter un travail lié aux images avec des modèles préentraînés, vous avez besoin de la stratégie suivante :
allow group <group_name> to use ai-service-vision-analyze-image in tenancy
Pour exécuter un travail d'image sur des modèles personnalisés, vous avez également besoin de la stratégie suivante :
allow group <group_name> to use ai-service-vision-model in tenancy
Vous pouvez limiter les droits d'accès à un compartiment. Exemple :
allow group <group_name> to use ai-service-vision-model in compartment <compartment_name>
Au lieu de l'ID de ressource individuel, vous pouvez définir le droit d'accès sur la ressource de famille. Exemple :
allow group <group_name> to use ai-service-vision-family in compartment <compartment_name>