ビジョン・ポリシーについて
API権限を含むVisionのリソース・ポリシーについて説明します。
Visionにアクセスできるユーザー、およびユーザー・グループごとのアクセスのタイプを管理するには、ポリシーを作成する必要があります。デフォルトでは、管理者グループのユーザーのみがすべてのVisionリソースにアクセスできます。サービスを使用する他のすべてのユーザーについて、Visionリソースに対する適切な権限を割り当てるポリシーを作成する必要があります。Oracle Cloud Infrastructureポリシーの完全なリストは、アイデンティティ・ドメインのあるIAMのポリシー・リファレンスまたはアイデンティティ・ドメインのあるIAMのドキュメンテーションを参照してください。
すべてのポリシーをルート・コンパートメント・レベル(テナンシ・レベル)で作成します。テナンシ・コンソールで、「アイデンティティとセキュリティ」をクリックします。「ポリシー」をクリックし、ルート・コンパートメントを選択します。
ユーザーにVision APIへのアクセス権を付与するポリシー
Visionユーザーに必要なルート・コンパートメント・レベルのポリシー。
allow group <group_in_tenancy> to use ai-service-vision-family in tenancyallow group <group_in_tenancy> to manage ai-service-vision-family in tenancyオブジェクト・ストレージの入力イメージ・ファイルにアクセスするポリシー
同じテナンシまたはクロステナンシのVisionからオブジェクト・ストレージのイメージ・ファイルにアクセスするために必要なポリシー。
- 同一テナンシのオブジェクト・ストレージ・アクセス
- 入力イメージがテナンシのオブジェクト・ストレージにある場合は、テナンシにグループを作成し、そこでオブジェクト・ストレージにアクセスできるユーザーを認可します。ルート・コンパートメント・レベルでテナンシに次のポリシーを追加して、オブジェクト・ストレージUSE権限をグループに付与します:
allow group <group_in_tenancy> to use object-family in tenancy - オブジェクト・ストレージへのクロステナンシ・アクセス
- 入力イメージがtenancy_Bオブジェクト・ストレージにあり、ユーザー・グループがtenancy_Aにある場合は、テナンシAのユーザー・グループに対してENDORSE READポリシーを定義する必要があります:
define tenancy <tenancy_B> as <tenancy_B_ocid> endorse group <group_in_tenancy_A> to read object in tenancy <tenancy_B>
オブジェクト・ストレージのトレーニング・データセットにアクセスするためのポリシー
同じテナンシまたはクロステナンシのVisionからオブジェクト・ストレージのトレーニング・データセットにアクセスするために必要なポリシー。
- 同じテナンシ・トレーニング・データセット・アクセス
- カスタマイズされたトレーニング・データセットがテナンシのオブジェクト・ストレージにある場合は、テナンシにグループを作成して、そこでオブジェクト・ストレージにアクセスできるユーザーを認可します。ルート・コンパートメント・レベルのテナンシに次のポリシーを追加して、オブジェクト・ストレージにグループへのUSE権限を付与します:
allow group <group_in_tenancy> to use object-family in compartment <training-dataset-located-object-storage-compartment> - クロステナンシ・トレーニング・データセット・アクセス
- カスタマイズされたトレーニング・データセットがtenancy_Bオブジェクト・ストアにあり、ユーザー・グループがtenancy_Aにある場合は、テナンシAのユーザー・グループに対してENDORSE READポリシーを定義する必要があります:
define tenancy <tenancy_B> as <tenancy_B_ocid> endorse group <group_in_tenancy_A> to read object in tenancy <tenancy_B>
バッチ処理結果をオブジェクト・ストレージに格納するポリシー
バッチ処理結果をVisionのオブジェクト・ストレージに格納するために必要なポリシー。
allow group <group_in_tenancy> to manage object-family in compartment <batch_processing_results_located_object_storage_compartment>POST /actions/analyzeImage
権限use ai-service-vision-analyze-imageは、リクエストにmodelIdが指定されていない機能が含まれている場合に必要です。つまり、事前トレーニング済モデルを参照しています。
リクエストにmodelIdが指定されている機能(カスタム・モデルを参照している機能)が含まれている場合、use ai-service-vision-modelをユーザーに付与する必要があります。use ai-service-vision-analyze-imageリソースは、ai-service-vision-familyリソース・ファミリの一部です。
/actions/analyzeImageリクエストは、オブジェクト検出のための事前トレーニング済モデルを参照し、イメージ分類のためのカスタム・モデルを参照します。{
"features" : [
{ "featureType" : "OBJECT_DETECTION", "modelId" : "ocid1.aivisionmodel.etc..." },
{ "featureType": "IMAGE_CLASSIFICATION" }
],
"image" : { ... }
}use ai-service-vision-modelおよびuse ai-service-vision-analyze-image権限が必要です。ポリシーの例
allow group <group_name> to use ai-service-vision-analyze-image in tenancyallow group <group_name> to use ai-service-vision-model in tenancyallow group <group_name> to use ai-service-vision-model in compartment <my_compartment>allow group <group_name> to use ai-service-vision-family in tenancy投稿/imageJobs
イメージ関連のジョブをスケジュールするには、/actions/ImageJobsをコールして、use ai-service-vision-image-job権限が必要です。
ジョブにカスタムmodelIdを参照する機能が含まれている場合は、use ai-service-vision-modelもユーザーに付与する必要があります。ai-service-vision-image-jobリソースは、ai-service-vision-familyリソース・ファミリの一部です。
ポリシーの例
allow group <group_name> to use ai-service-vision-analyze-image in tenancyallow group <group_name> to use ai-service-vision-model in tenancyallow group <group_name> to use ai-service-vision-model in compartment <compartment_name>allow group <group_name> to use ai-service-vision-family in compartment <compartment_name>