View a markdown version of this page

Cross-account acceso al bucket de Amazon S3 para trabajos de importación de modelos personalizados - Amazon Bedrock
Configuración del acceso entre cuentas a un bucket de Amazon S3Configure el acceso multicuenta al bucket de Amazon S3 cifrado con un cifrado personalizado AWS KMS key

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cross-account acceso al bucket de Amazon S3 para trabajos de importación de modelos personalizados

Si va a importar su modelo desde un bucket de Amazon S3 en otro Cuenta de AWS, tendrá que conceder permisos de acceso al bucket antes de importar su modelo personalizado. Consulte Requisitos previos para importar el modelo personalizado.

nota

Si el trabajo de importación del modelo personalizado se envió a través de la consola de Amazon Bedrock, se crea automáticamente un rol de ejecución de importación predeterminado. Debe editar la política de funciones de ejecución de importaciones predeterminada y sustituir el identificador de cuenta especificado por aws:ResourceAccount el Cuenta de AWS identificador del propietario del bucket.

Configuración del acceso entre cuentas a un bucket de Amazon S3

Siga estos pasos para configurar el acceso multicuenta a un bucket de Amazon S3 para un trabajo de importación de modelos personalizados.

  1. Crear una función de ejecución de importación: en la cuenta del usuario Cuenta de AWS (la cuenta que ejecutará el trabajo de importación), cree una función de IAM que Amazon Bedrock pueda asumir. Para obtener más información sobre la creación de un rol de servicio para la importación de modelos personalizados, consulte. Requisitos previos para importar el modelo personalizado

  2. Cree una política de bucket: en la cuenta del propietario del bucket, cree una política de bucket que conceda acceso a la función de ejecución de la importación en la cuenta del usuario.

    La siguiente política de bucket de ejemplo, creada y aplicada al bucket s3://amzn-s3-demo-bucket por el propietario del bucket, concede acceso a un usuario de la cuenta del propietario del bucket 123456789123.

    JSON
    { 
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "CrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/ImportRole"
            },           
            "Action": [
                "s3:ListBucket",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

  3. Crea una política de funciones de ejecución de importaciones: en la del usuario Cuenta de AWS, adjunta una política a la función de ejecución de importaciones que permita el acceso al depósito multicuenta. Para aws:ResourceAccount ello, especifique el ID de cuenta del propietario del Cuenta de AWS bucket.

    El siguiente ejemplo de política de roles de ejecución de importación en la cuenta del usuario proporciona al identificador de cuenta del propietario del bucket 111222333444555 acceso al bucket de Amazon S3 s3://amzn-s3-demo-bucket.

    JSON
    { 
    "Version":"2012-10-17",
   "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
    }
  ]
}

Configure el acceso multicuenta al bucket de Amazon S3 cifrado con un cifrado personalizado AWS KMS key

Si el bucket de Amazon S3 está cifrado con una clave custom AWS Key Management Service (AWS KMS), debe realizar pasos adicionales para conceder a la función de ejecución de la importación permisos para descifrar la clave.

  1. Cree una función de ejecución de importación: en la del usuario Cuenta de AWS, cree una función de IAM que Amazon Bedrock pueda asumir. Para obtener más información, consulte Requisitos previos para importar el modelo personalizado.

  2. Cree una política de bucket: en la cuenta del propietario del bucket, cree una política de bucket que dé acceso a la función de ejecución de importaciones en la cuenta del usuario.

    La siguiente política de bucket de ejemplo, creada y aplicada al bucket s3://amzn-s3-demo-bucket por el propietario del bucket, concede acceso a un usuario de la cuenta del propietario del bucket 123456789123.

    JSON
    { 
   "Version":"2012-10-17",
   "Statement": [
    {
        "Sid": "CrossAccountAccess",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::123456789012:role/ImportRole"
        },           
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ]
     }
   ]
}

  3. Actualice la política AWS KMS clave: en la cuenta del propietario del bucket, añada la siguiente declaración a la política AWS KMS clave para permitir que la función de ejecución de importaciones del usuario descifre los objetos.

    {
    "Sid": "Allow use of the key by the destination account",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::123456789123:role/ImportRole"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

  4. Cree una política de funciones de ejecución de importaciones: en la del usuario Cuenta de AWS, adjunte una política a la función de ejecución de importaciones que permita acceder al depósito multicuenta y a la AWS KMS clave. Para aws:ResourceAccount ello, especifique el ID de cuenta del propietario del Cuenta de AWS bucket.

    El siguiente ejemplo de política de funciones de ejecución de importaciones proporciona acceso al bucket Amazon S3 del propietario del bucket s3://amzn-s3-demo-bucket en la cuenta 111222333444555 y al AWS KMS key arn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd.

    JSON
    { 
    "Version":"2012-10-17",
   "Statement": [
      {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
     },
     {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:123456789012:key/111aa2bb-333c-4d44-5555-a111bb2c33dd"
    }
  ]
 }