Documentação do Oracle Cloud Infrastructure

Sobre as Políticas do Vision

Saiba mais sobre as políticas de recursos do Vision, incluindo permissões de API.

Para controlar quem tem acesso à Vision e o tipo de acesso para cada grupo de usuários, você deve criar políticas. Por padrão, somente os usuários do grupo Administradores têm acesso a todos os recursos do Vision. Para todos os outros que estejam usando o serviço, você deve criar políticas que designem direitos apropriados aos recursos da Vision. Para obter uma lista completa de políticas do Oracle Cloud Infrastructure, consulte a referência de política no serviço IAM com Domínios de Identidade ou na documentação do serviço IAM sem Domínios de Identidade.

Importante

Crie todas as políticas no nível do compartimento raiz, ou seja, no nível da tenancy. Na Console da sua tenancy:
  • Selecione Identidade e Segurança.
  • Selecione Políticas.
  • Selecione o compartimento raiz.

Política para Conceder aos Usuários Acesso a APIs do Vision

As políticas no nível do compartimento raiz necessárias para usuários do Vision.

Se sua tenancy usar apenas modelos pré-treinados do Vision, uma política para conceder permissão USE às APIs do Vision será suficiente:
allow group <group_in_tenancy> to use ai-service-vision-family in tenancy
Se precisar criar um projeto ou modelo na tenancy, você deverá ter uma política para conceder a permissão MANAGE às APIs Vision:
allow group <group_in_tenancy> to manage ai-service-vision-family in tenancy

Política para Acessar Arquivos de Imagem de Entrada no Object Storage

As políticas necessárias para acessar arquivos de imagem no serviço Object Storage do Vision na mesma tenancy ou entre tenancies.

Acesso ao Object Storage na mesma tenancy
Se a imagem de entrada for encontrada no Object Storage da sua tenancy, crie um grupo na tenancy para autorizar os usuários que podem acessar o Object Storage lá. Adicione a seguinte política em sua tenancy no nível do compartimento raiz para conceder permissões de USE de armazenamento de objetos ao grupo:
allow group <group_in_tenancy> to use object-family in tenancy
Acesso ao Object Storage entre tenancies
Se a imagem de entrada for encontrada no armazenamento de objetos tenancy_B e no seu grupo de usuários em tenancy_A, você deverá definir uma política ENDORSE READ no grupo de usuários na tenancy A:
define tenancy <tenancy_B> as <tenancy_B_ocid>
endorse group <group_in_tenancy_A> to read object in tenancy <tenancy_B>
Você também deve definir uma política ADMIT READ em tenancy_B para o grupo de usuários em tenancy_A:
define tenancy <tenancy_A> as <tenancy_A_ocid>
define group <group_in_tenancy_A> as <group_in_tenancy_A_ocid>
admit group <group_in_tenancy_A> of tenancy <tenancy_A> to read object in tenancy

Política para Acessar Conjuntos de Dados de Treinamento no Object Storage

As políticas necessárias para acessar conjuntos de dados de treinamento no Object Storage do Vision na mesma tenancy ou entre tenancies.

Mesmo acesso ao conjunto de dados de treinamento da tenancy
Se o conjunto de dados de treinamento personalizado for encontrado no Object Storage da sua tenancy, crie um grupo na tenancy para autorizar os usuários que podem acessar o Object Storage lá. Adicione a seguinte política em sua tenancy no nível do compartimento raiz para conceder ao grupo a permissão USE do armazenamento de objetos:
allow group <group_in_tenancy> to use object-family in compartment <training-dataset-located-object-storage-compartment>
Acesso ao conjunto de dados de treinamento entre tenancies
Se o conjunto de dados de treinamento personalizado for encontrado no armazenamento de objetos tenancy_B e seu grupo de usuários em tenancy_A, você deverá definir uma política ENDORSE READ no grupo de usuários na tenancy A:
define tenancy <tenancy_B> as <tenancy_B_ocid>
endorse group <group_in_tenancy_A> to read object in tenancy <tenancy_B>
Você também deve definir uma política ADMIT READ em tenancy_B para o grupo de usuários em tenancy_A:
define tenancy <tenancy_A> as <tenancy_A_ocid>
define group <group_in_tenancy_A> as <group_in_tenancy_A_ocid>
admit group <group_in_tenancy_A> of tenancy <tenancy_A> to read object in compartment <training-dataset-located-object-storage-compartment>

Política para Armazenar Resultados de Processamento em Batch no Object Storage

A política necessária para armazenar resultados de processamento em lote no Object Storage do Vision.

Adicione a seguinte política em sua tenancy no nível do compartimento raiz para conceder permissão de acesso ao armazenamento de objetos ao grupo que está processando imagens ou documentos em batch:
allow group <group_in_tenancy> to manage object-family in compartment <batch_processing_results_located_object_storage_compartment>

Postar /actions/analyzeImage

A permissão use ai-service-vision-analyze-image é necessária quando a solicitação contém recursos sem modelId especificado. Ou seja, você está referenciando o modelo pré-treinado.

Se a solicitação contiver recursos com um modelId especificado, ou seja, você estiver fazendo referência a um modelo personalizado, o use ai-service-vision-model deverá ser concedido ao usuário. O recurso use ai-service-vision-analyze-image faz parte da família de recursos ai-service-vision-family.

A mesma chamada pode misturar modelos pré-treinados e personalizados em diferentes recursos. Por exemplo, a solicitação /actions/analyzeImage a seguir faz referência a um modelo pré-treinado para detecção de objetos e faz referência a um modelo personalizado para classificação de imagens:
{
  "features" : [
    { "featureType" : "OBJECT_DETECTION", "modelId" : "ocid1.aivisionmodel.etc..." },
    { "featureType": "IMAGE_CLASSIFICATION" }
  ],
  "image" : { ... }
}
Esta solicitação requer as permissões use ai-service-vision-model e use ai-service-vision-analyze-image.

Exemplos de Política

A política a seguir só permite que os usuários do grupo usem modelos pré-treinados:
allow group <group_name> to use ai-service-vision-analyze-image in tenancy
Para usar modelos personalizados, a seguinte permissão deve ser concedida ao grupo de usuários:
allow group <group_name> to use ai-service-vision-model in tenancy
Você pode restringir uma política a um compartimento específico, por exemplo:
allow group <group_name> to use ai-service-vision-model in compartment <my_compartment>
Em vez do ID de recurso individual, você pode definir a permissão no recurso da família. Por exemplo:
allow group <group_name> to use ai-service-vision-family in tenancy

PUBLICAR /imageJobs

Para programar qualquer job relacionado à imagem, chamando /actions/ImageJobs, você deve ter a permissão use ai-service-vision-image-job.

Se o job contiver recursos que fazem referência a um modelId personalizado, use ai-service-vision-model também deverá ser concedido ao usuário. O recurso ai-service-vision-image-job faz parte da família de recursos ai-service-vision-family.

Exemplos de Política

Para executar um job relacionado à imagem com modelos pré-treinados, você precisa da seguinte política:
allow group <group_name> to use ai-service-vision-analyze-image in tenancy
Para executar um job de imagem em modelos personalizados, você também precisa da seguinte política:
allow group <group_name> to use ai-service-vision-model in tenancy
Você pode limitar permissões a um compartimento. Por exemplo:
allow group <group_name> to use ai-service-vision-model in compartment <compartment_name>
Em vez do ID de recurso individual, você pode definir a permissão no recurso da família. Por exemplo:
allow group <group_name> to use ai-service-vision-family in compartment <compartment_name>