Documentazione di Oracle Cloud Infrastructure

Informazioni sui criteri di visione

Informazioni sui criteri delle risorse di Vision, incluse le autorizzazioni API.

Per controllare chi ha accesso a Vision e il tipo di accesso per ciascun gruppo di utenti, è necessario creare criteri. Per impostazione predefinita, solo gli utenti del gruppo Administrators hanno accesso a tutte le risorse Vision. Per tutti gli altri utenti che utilizzano il servizio, è necessario creare criteri che assegnino loro i diritti appropriati alle risorse Vision. Per una lista completa dei criteri Oracle Cloud Infrastructure, consulta il riferimento ai criteri nella documentazione IAM con i domini di Identity o IAM senza domini di Identity.

Importante

Creare tutti i criteri a livello di compartimento radice, ovvero a livello di tenancy. Nella Console della tenancy:
  • Selezionare Identità e sicurezza.
  • Selezionare Criteri.
  • Selezionare il compartimento radice.

Criterio per concedere agli utenti l'accesso alle API Vision

I criteri a livello di compartimento radice necessari per gli utenti Vision.

Se la tenancy utilizza solo modelli pre-addestrati Vision, è sufficiente un criterio per concedere l'autorizzazione USE alle API Vision:
allow group <group_in_tenancy> to use ai-service-vision-family in tenancy
Se è necessario creare un progetto o un modello nella tenancy, è necessario disporre di un criterio per concedere l'autorizzazione MANAGE alle API Vision:
allow group <group_in_tenancy> to manage ai-service-vision-family in tenancy

Criterio per accedere ai file di immagini di input nello storage degli oggetti

Criteri necessari per accedere ai file immagine nello storage degli oggetti da Vision nella stessa tenancy o cross-tenancy.

Accesso allo storage degli oggetti della stessa tenancy
Se l'immagine di input viene trovata nello storage degli oggetti della tenancy, creare un gruppo nella tenancy per autorizzare gli utenti che possono accedere allo storage degli oggetti. Aggiungere il criterio seguente nella tenancy a livello di compartimento radice per concedere le autorizzazioni USE dello storage degli oggetti al gruppo:
allow group <group_in_tenancy> to use object-family in tenancy
Accesso allo storage degli oggetti cross-tenancy
Se l'immagine di input viene trovata nello storage degli oggetti tenancy_B e nel gruppo di utenti in tenancy_A, è necessario definire un criterio di lettura ENDORSE nel gruppo di utenti nella tenancy A:
define tenancy <tenancy_B> as <tenancy_B_ocid>
endorse group <group_in_tenancy_A> to read object in tenancy <tenancy_B>
È inoltre necessario definire un criterio ADMIT READ in tenancy_B per il gruppo di utenti in tenancy_A:
define tenancy <tenancy_A> as <tenancy_A_ocid>
define group <group_in_tenancy_A> as <group_in_tenancy_A_ocid>
admit group <group_in_tenancy_A> of tenancy <tenancy_A> to read object in tenancy

Criterio per l'accesso ai data set di formazione nello storage degli oggetti

Criteri necessari per accedere ai data set di formazione nello storage degli oggetti da Vision nella stessa tenancy o cross-tenancy.

Accesso al data set di formazione della stessa tenancy
Se il data set di formazione personalizzato viene trovato nello storage degli oggetti della tenancy, creare un gruppo nella tenancy per autorizzare gli utenti che possono accedervi. Aggiungere il criterio seguente nella tenancy a livello di compartimento radice per concedere l'autorizzazione USE di storage degli oggetti al gruppo:
allow group <group_in_tenancy> to use object-family in compartment <training-dataset-located-object-storage-compartment>
Accesso al set di dati di formazione cross-tenancy
Se il data set di addestramento personalizzato viene trovato nell'area di memorizzazione degli oggetti tenancy_B e il gruppo di utenti in tenancy_A, è necessario definire un criterio ENDORSE READ nel gruppo di utenti nella tenancy A:
define tenancy <tenancy_B> as <tenancy_B_ocid>
endorse group <group_in_tenancy_A> to read object in tenancy <tenancy_B>
È inoltre necessario definire un criterio ADMIT READ in tenancy_B per il gruppo di utenti in tenancy_A:
define tenancy <tenancy_A> as <tenancy_A_ocid>
define group <group_in_tenancy_A> as <group_in_tenancy_A_ocid>
admit group <group_in_tenancy_A> of tenancy <tenancy_A> to read object in compartment <training-dataset-located-object-storage-compartment>

Criterio per la memorizzazione dei risultati dell'elaborazione batch nello storage degli oggetti

Criterio necessario per memorizzare i risultati dell'elaborazione batch nello storage degli oggetti di Vision.

Aggiungere il criterio seguente nella tenancy a livello di compartimento radice per concedere l'autorizzazione di accesso allo storage degli oggetti al gruppo che elabora in batch immagini o documenti:
allow group <group_in_tenancy> to manage object-family in compartment <batch_processing_results_located_object_storage_compartment>

POST /actions/analyzeImage

L'autorizzazione use ai-service-vision-analyze-image è necessaria quando la richiesta contiene funzioni senza modelId specificato. Cioè, stai facendo riferimento al modello pre-addestrato.

Se la richiesta contiene funzioni con un valore modelId specificato, ovvero si fa riferimento a un modello personalizzato, è necessario concedere all'utente il valore use ai-service-vision-model. La risorsa use ai-service-vision-analyze-image fa parte della famiglia di risorse ai-service-vision-family.

La stessa chiamata potrebbe combinare modelli pre-addestrati e personalizzati con funzioni diverse. Ad esempio, la richiesta /actions/analyzeImage seguente fa riferimento a un modello pre-addestrato per il rilevamento degli oggetti e fa riferimento a un modello personalizzato per la classificazione delle immagini:
{
  "features" : [
    { "featureType" : "OBJECT_DETECTION", "modelId" : "ocid1.aivisionmodel.etc..." },
    { "featureType": "IMAGE_CLASSIFICATION" }
  ],
  "image" : { ... }
}
Questa richiesta richiede le autorizzazioni use ai-service-vision-model e use ai-service-vision-analyze-image.

Esempi di criteri

Il criterio riportato di seguito consente solo agli utenti del gruppo di utilizzare modelli pre-addestrati.
allow group <group_name> to use ai-service-vision-analyze-image in tenancy
Per utilizzare modelli personalizzati, è necessario concedere al gruppo di utenti l'autorizzazione seguente:
allow group <group_name> to use ai-service-vision-model in tenancy
È possibile limitare un criterio a un compartimento specifico, ad esempio:
allow group <group_name> to use ai-service-vision-model in compartment <my_compartment>
Anziché il singolo ID risorsa, è possibile impostare l'autorizzazione per la risorsa famiglia. Ad esempio:
allow group <group_name> to use ai-service-vision-family in tenancy

INVIA /imageJobs

Per pianificare qualsiasi job relativo alle immagini, chiamando /actions/ImageJobs, è necessario disporre dell'autorizzazione use ai-service-vision-image-job.

Se il job contiene funzioni che fanno riferimento a un modelId personalizzato, anche use ai-service-vision-model deve essere concesso all'utente. La risorsa ai-service-vision-image-job fa parte della famiglia di risorse ai-service-vision-family.

Esempi di criteri

Per eseguire un job relativo alle immagini con modelli pre-addestrati, è necessario il criterio seguente:
allow group <group_name> to use ai-service-vision-analyze-image in tenancy
Per eseguire un job immagine su modelli personalizzati, è necessario disporre anche del criterio seguente:
allow group <group_name> to use ai-service-vision-model in tenancy
È possibile limitare le autorizzazioni a un compartimento. Ad esempio:
allow group <group_name> to use ai-service-vision-model in compartment <compartment_name>
Anziché il singolo ID risorsa, è possibile impostare l'autorizzazione per la risorsa famiglia. Ad esempio:
allow group <group_name> to use ai-service-vision-family in compartment <compartment_name>