Kontoübergreifender Zugriff auf Amazon-S3-Buckets für benutzerdefinierte Modellimportaufträge - Amazon Bedrock
Konfigurieren des kontoübergreifenden Zugriffs auf Amazon-S3-BucketsKonfigurieren Sie den kontoübergreifenden Zugriff auf den Amazon S3 S3-Bucket, der mit einem benutzerdefinierten Code verschlüsselt ist AWS KMS key

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kontoübergreifender Zugriff auf Amazon-S3-Buckets für benutzerdefinierte Modellimportaufträge

Wenn Sie Ihr Modell aus dem Amazon-S3-Bucket importieren und Amazon S3 kontoübergreifend verwenden, müssen Sie den Benutzern im Konto des Bucket-Eigentümers Berechtigungen für den Zugriff auf den Bucket gewähren, bevor Sie Ihr benutzerdefiniertes Modell importieren. Siehe Voraussetzungen für das Importieren von benutzerdefinierten Modellen.

Konfigurieren des kontoübergreifenden Zugriffs auf Amazon-S3-Buckets

Dieser Abschnitt führt Sie durch die Schritte zum Erstellen von Richtlinien für Benutzer im Konto des Bucket-Eigentümers für den Zugriff auf Amazon-S3-Buckets.

  1. Erstellen Sie im Konto des Bucket-Eigentümers eine Bucket-Richtlinie, die den Benutzern im Konto des Bucket-Eigentümers Zugriff gewährt.

    Im folgenden Beispiel einer Bucket-Richtlinie, die vom Bucket-Eigentümer erstellt und auf den Bucket s3://amzn-s3-demo-bucket angewendet wurde, wird einem Benutzer im Konto 123456789123 des Bucket-Eigentümers Zugriff gewährt.

    JSON
    { 
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/ImportRole"
            },           
            "Action": [
                "s3:ListBucket",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

  2. Erstellen Sie in der Richtlinie des AWS-Konto Benutzers eine Richtlinie für die Importausführungsrolle. aws:ResourceAccountGeben Sie dazu die Konto-ID des Bucket-Besitzers anAWS-Konto.

    Im folgenden Beispiel einer Richtlinie für die Importausführungsrolle im Benutzerkonto wird der Konto-ID 111222333444555 des Bucket-Eigentümers Zugriff auf den Amazon-S3-Bucket s3://amzn-s3-demo-bucket gewährt.

    JSON
    { 
    "Version":"2012-10-17",		 	 	 
   "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
    }
  ]
}

Konfigurieren Sie den kontoübergreifenden Zugriff auf den Amazon S3 S3-Bucket, der mit einem benutzerdefinierten Code verschlüsselt ist AWS KMS key

Wenn Sie einen Amazon S3 S3-Bucket haben, der mit einem benutzerdefinierten Schlüssel AWS Key Management Service (AWS KMS) verschlüsselt ist, müssen Sie Benutzern vom Konto des Bucket-Besitzers aus Zugriff darauf gewähren.

Um den kontoübergreifenden Zugriff auf einen Amazon S3 S3-Bucket zu konfigurieren, der mit einem benutzerdefinierten AWS KMS key

  1. Erstellen Sie im Konto des Bucket-Eigentümers eine Bucket-Richtlinie, die den Benutzern im Konto des Bucket-Eigentümers Zugriff gewährt.

    Im folgenden Beispiel einer Bucket-Richtlinie, die vom Bucket-Eigentümer erstellt und auf den Bucket s3://amzn-s3-demo-bucket angewendet wurde, wird einem Benutzer im Konto 123456789123 des Bucket-Eigentümers Zugriff gewährt.

    JSON
    { 
   "Version":"2012-10-17",		 	 	 
   "Statement": [
    {
        "Sid": "CrossAccountAccess",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::123456789012:role/ImportRole"
        },           
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ]
     }
   ]
}

  2. Erstellen Sie im Konto des Bucket-Eigentümers die folgende Ressourcenrichtlinie, damit die Importrolle des Benutzerkontos entschlüsselt werden kann.

    {
   "Sid": "Allow use of the key by the destination account",
   "Effect": "Allow",
   "Principal": {
   "AWS": "arn:aws:iam::"arn:aws:iam::123456789123:role/ImportRole"
    },
    "Action": [
          "kms:Decrypt",
          "kms:DescribeKey"
    ],
    "Resource": "*"
}

  3. Erstellen Sie in der Richtlinie des AWS-Konto Benutzers eine Richtlinie für die Importausführungsrolle. aws:ResourceAccountGeben Sie dazu die Konto-ID des Bucket-Besitzers anAWS-Konto. Stellen Sie außerdem Zugriff auf den bereitAWS KMS key, der zum Verschlüsseln des Buckets verwendet wird.

    Die folgende Beispielrichtlinie für die Importausführung im Benutzerkonto gewährt der Account-ID des Bucket-Besitzers 111222333444555 Zugriff auf den Amazon S3 S3-Bucket s3://amzn-s3-demo-bucket und die AWS KMS key arn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

    JSON
    { 
    "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
     },
     {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:123456789012:key/111aa2bb-333c-4d44-5555-a111bb2c33dd"
    }
  ]
 }