Acceso entre cuentas al bucket de Amazon S3 para trabajos de importación de modelos personalizados - Amazon Bedrock
Configuración del acceso entre cuentas a un bucket de Amazon S3Configure el acceso multicuenta al bucket de Amazon S3 cifrado con un cifrado personalizado AWS KMS key

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceso entre cuentas al bucket de Amazon S3 para trabajos de importación de modelos personalizados

Si va a importar su modelo desde un bucket de Amazon S3 y utiliza Amazon S3 entre cuentas, tendrá que conceder permisos a los usuarios de la cuenta del propietario del bucket para acceder al bucket antes de importar su modelo personalizado. Consulte Requisitos previos para importar el modelo personalizado.

Configuración del acceso entre cuentas a un bucket de Amazon S3

En esta sección, se explican los pasos para crear políticas para que los usuarios de la cuenta del propietario del bucket accedan al bucket de Amazon S3.

  1. En la cuenta del propietario del bucket, cree una política de bucket que dé acceso a los usuarios de la cuenta del propietario del bucket.

    La siguiente política de bucket de ejemplo, creada y aplicada al bucket s3://amzn-s3-demo-bucket por el propietario del bucket, concede acceso a un usuario de la cuenta del propietario del bucket 123456789123.

    JSON
    { 
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/ImportRole"
            },           
            "Action": [
                "s3:ListBucket",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

  2. En la del usuarioCuenta de AWS, cree una política de roles de ejecución de importación. Para aws:ResourceAccount especificar el identificador de cuenta del propietario del bucketCuenta de AWS.

    El siguiente ejemplo de política de roles de ejecución de importación en la cuenta del usuario proporciona al identificador de cuenta del propietario del bucket 111222333444555 acceso al bucket de Amazon S3 s3://amzn-s3-demo-bucket.

    JSON
    { 
    "Version":"2012-10-17",		 	 	 
   "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
    }
  ]
}

Configure el acceso multicuenta al bucket de Amazon S3 cifrado con un cifrado personalizado AWS KMS key

Si tiene un bucket de Amazon S3 cifrado con una clave custom AWS Key Management Service (AWS KMS), tendrá que conceder acceso a él a los usuarios de la cuenta del propietario del bucket.

Para configurar el acceso multicuenta al bucket de Amazon S3 cifrado con un cifrado personalizado AWS KMS key

  1. En la cuenta del propietario del bucket, cree una política de bucket que dé acceso a los usuarios de la cuenta del propietario del bucket.

    La siguiente política de bucket de ejemplo, creada y aplicada al bucket s3://amzn-s3-demo-bucket por el propietario del bucket, concede acceso a un usuario de la cuenta del propietario del bucket 123456789123.

    JSON
    { 
   "Version":"2012-10-17",		 	 	 
   "Statement": [
    {
        "Sid": "CrossAccountAccess",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::123456789012:role/ImportRole"
        },           
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ]
     }
   ]
}

  2. En la cuenta del propietario del bucket, cree la siguiente política de recursos para permitir el descifrado al rol de importación de la cuenta del usuario.

    {
   "Sid": "Allow use of the key by the destination account",
   "Effect": "Allow",
   "Principal": {
   "AWS": "arn:aws:iam::"arn:aws:iam::123456789123:role/ImportRole"
    },
    "Action": [
          "kms:Decrypt",
          "kms:DescribeKey"
    ],
    "Resource": "*"
}

  3. En la del usuarioCuenta de AWS, cree una política de roles de ejecución de importaciones. Para aws:ResourceAccount especificar el identificador de cuenta del propietario del bucketCuenta de AWS. Además, proporciona acceso al AWS KMS key que se utiliza para cifrar el depósito.

    En el siguiente ejemplo, la política de funciones de ejecución de importaciones en la cuenta del usuario proporciona el identificador de cuenta del propietario del bucket, el 111222333444555 acceso al bucket de Amazon S3 s3://amzn-s3-demo-bucket y al AWS KMS key arn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

    JSON
    { 
    "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
     },
     {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:123456789012:key/111aa2bb-333c-4d44-5555-a111bb2c33dd"
    }
  ]
 }