Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Cross-account acceso al bucket de Amazon S3 para trabajos de importación de modelos personalizados
Si va a importar su modelo desde un bucket de Amazon S3 en otro Cuenta de AWS, tendrá que conceder permisos de acceso al bucket antes de importar su modelo personalizado. Consulte [Requisitos previos para importar el modelo personalizado](custom-model-import-prereq.md).
**nota**
Si el trabajo de importación del modelo personalizado se envió a través de la consola de Amazon Bedrock, se crea automáticamente un rol de ejecución de importación predeterminado. Debe editar la política de funciones de ejecución de importaciones predeterminada y sustituir el identificador de cuenta especificado por `aws:ResourceAccount` el Cuenta de AWS identificador del propietario del bucket.
## Configuración del acceso entre cuentas a un bucket de Amazon S3
Siga estos pasos para configurar el acceso multicuenta a un bucket de Amazon S3 para un trabajo de importación de modelos personalizados.
1. **Crear una función de ejecución de importación**: en la cuenta del usuario Cuenta de AWS (la cuenta que ejecutará el trabajo de importación), cree una función de IAM que Amazon Bedrock pueda asumir. Para obtener más información sobre la creación de un rol de servicio para la importación de modelos personalizados, consulte. [Requisitos previos para importar el modelo personalizado](custom-model-import-prereq.md)
1. **Cree una política de bucket**: en la cuenta del propietario del bucket, cree una política de bucket que conceda acceso a la función de ejecución de la importación en la cuenta del usuario.
La siguiente política de bucket de ejemplo, creada y aplicada al bucket `s3://amzn-s3-demo-bucket` por el propietario del bucket, concede acceso a un usuario de la cuenta del propietario del bucket `123456789123`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccountAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{123456789012}}:role/{{ImportRole}}"
},
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{amzn-s3-demo-bucket}}",
"arn:aws:s3:::{{amzn-s3-demo-bucket/*}}"
]
}
]
}
```
------
1. **Crea una política de funciones de ejecución de importaciones**: en la del usuario Cuenta de AWS, adjunta una política a la función de ejecución de importaciones que permita el acceso al depósito multicuenta. Para `aws:ResourceAccount` ello, especifique el ID de cuenta del propietario del Cuenta de AWS bucket.
El siguiente ejemplo de política de roles de ejecución de importación en la cuenta del usuario proporciona al identificador de cuenta del propietario del bucket `111222333444555` acceso al bucket de Amazon S3 `s3://amzn-s3-demo-bucket`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"{{arn:aws:s3:::amzn-s3-demo-bucket}}",
"{{arn:aws:s3:::amzn-s3-demo-bucket/*}}"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{123456789012}}"
}
}
}
]
}
```
------
## Configure el acceso multicuenta al bucket de Amazon S3 cifrado con un cifrado personalizado AWS KMS key
Si el bucket de Amazon S3 está cifrado con una clave custom AWS Key Management Service (AWS KMS), debe realizar pasos adicionales para conceder a la función de ejecución de la importación permisos para descifrar la clave.
1. **Cree una función de ejecución de importación**: en la del usuario Cuenta de AWS, cree una función de IAM que Amazon Bedrock pueda asumir. Para obtener más información, consulte [Requisitos previos para importar el modelo personalizado](custom-model-import-prereq.md).
1. **Cree una política de bucket**: en la cuenta del propietario del bucket, cree una política de bucket que dé acceso a la función de ejecución de importaciones en la cuenta del usuario.
La siguiente política de bucket de ejemplo, creada y aplicada al bucket `s3://amzn-s3-demo-bucket` por el propietario del bucket, concede acceso a un usuario de la cuenta del propietario del bucket `123456789123`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccountAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{123456789012}}:role/{{ImportRole}}"
},
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"{{arn:aws:s3:::amzn-s3-demo-bucket}}",
"{{arn:aws:s3:::amzn-s3-demo-bucket}}/*"
]
}
]
}
```
------
1. **Actualice la política AWS KMS clave**: en la cuenta del propietario del bucket, añada la siguiente declaración a la política AWS KMS clave para permitir que la función de ejecución de importaciones del usuario descifre los objetos.
```
{
"Sid": "Allow use of the key by the destination account",
"Effect": "Allow",
"Principal": {
"AWS": "{{arn:aws:iam::123456789123:role/ImportRole}}"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
}
```
1. **Cree una política de funciones de ejecución de importaciones**: en la del usuario Cuenta de AWS, adjunte una política a la función de ejecución de importaciones que permita acceder al depósito multicuenta y a la AWS KMS clave. Para `aws:ResourceAccount` ello, especifique el ID de cuenta del propietario del Cuenta de AWS bucket.
El siguiente ejemplo de política de funciones de ejecución de importaciones proporciona acceso al bucket Amazon S3 del propietario del bucket `s3://amzn-s3-demo-bucket` en la cuenta `111222333444555` y al AWS KMS key `arn:aws:kms:{{us-west-2:123456789098}}:key/{{111aa2bb-333c-4d44-5555-a111bb2c33dd}}`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"{{arn:aws:s3:::amzn-s3-demo-bucket}}",
"{{arn:aws:s3:::amzn-s3-demo-bucket/*}}"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{123456789012}}"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:{{us-west-2}}:{{123456789012}}:key/{{111aa2bb-333c-4d44-5555-a111bb2c33dd}}"
}
]
}
```
------