View a markdown version of this page

Cross-account accès au compartiment Amazon S3 pour les tâches d'importation de modèles personnalisés - Amazon Bedrock
Configuration de l’accès intercompte pour un compartiment Amazon S3Configurez l'accès entre comptes au compartiment Amazon S3 chiffré avec un AWS KMS key

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Cross-account accès au compartiment Amazon S3 pour les tâches d'importation de modèles personnalisés

Si vous importez votre modèle depuis un compartiment Amazon S3 dans un autre compartiment Compte AWS, vous devrez accorder des autorisations pour accéder au compartiment avant d'importer votre modèle personnalisé. Consultez Conditions préalables à l’importation d’un modèle personnalisé.

Note

Si la tâche d'importation du modèle personnalisé a été soumise via la console Amazon Bedrock, un rôle d'exécution d'importation par défaut est créé automatiquement. Vous devez modifier la politique de rôle d'exécution des importations par défaut et remplacer l'ID de compte spécifié aws:ResourceAccount par l' Compte AWS ID du propriétaire du bucket.

Configuration de l’accès intercompte pour un compartiment Amazon S3

Suivez ces étapes pour configurer l'accès entre comptes à un compartiment Amazon S3 pour une tâche d'importation de modèle personnalisée.

  1. Création d'un rôle d'exécution d'importation : dans le compte de l'utilisateur Compte AWS (le compte qui exécutera la tâche d'importation), créez un rôle IAM qu'Amazon Bedrock peut assumer. Pour plus d'informations sur la création d'un rôle de service pour l'importation de modèles personnalisés, consultezConditions préalables à l’importation d’un modèle personnalisé.

  2. Création d'une politique de compartiment : dans le compte du propriétaire du compartiment, créez une politique de compartiment qui accorde l'accès au rôle d'exécution des importations dans le compte de l'utilisateur.

    L’exemple suivant de stratégie de compartiment, créée et appliquée au compartiment s3://amzn-s3-demo-bucket par le propriétaire du compartiment, accorde l’accès à un utilisateur du compte 123456789123 du propriétaire du compartiment.

    JSON
    { 
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "CrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/ImportRole"
            },           
            "Action": [
                "s3:ListBucket",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

  3. Créez une politique de rôle d'exécution d'importation : dans celle de l'utilisateur Compte AWS, associez une politique au rôle d'exécution d'importation qui autorise l'accès au compartiment multicomptes. Pouraws:ResourceAccount, spécifiez l'ID de compte du propriétaire du bucket Compte AWS.

    L’exemple suivant de stratégie de rôle d’exécution des importations dans le compte de l’utilisateur fournit au compte du propriétaire du compartiment, dont l’ID est 111222333444555, l’accès au compartiment Amazon S3 s3://amzn-s3-demo-bucket.

    JSON
    { 
    "Version":"2012-10-17",
   "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
    }
  ]
}

Configurez l'accès entre comptes au compartiment Amazon S3 chiffré avec un AWS KMS key

Si le compartiment Amazon S3 est chiffré à l'aide d'une clé custom AWS Key Management Service (AWS KMS), vous devez effectuer des étapes supplémentaires pour accorder au rôle d'exécution de l'importation l'autorisation de déchiffrer la clé.

  1. Création d'un rôle d'exécution d'importation : dans celui de l'utilisateur Compte AWS, créez un rôle IAM qu'Amazon Bedrock peut assumer. Pour de plus amples informations, veuillez consulter Conditions préalables à l’importation d’un modèle personnalisé.

  2. Création d'une politique de compartiment : dans le compte du propriétaire du compartiment, créez une politique de compartiment qui accorde l'accès au rôle d'exécution des importations dans le compte de l'utilisateur.

    L’exemple suivant de stratégie de compartiment, créée et appliquée au compartiment s3://amzn-s3-demo-bucket par le propriétaire du compartiment, accorde l’accès à un utilisateur du compte 123456789123 du propriétaire du compartiment.

    JSON
    { 
   "Version":"2012-10-17",
   "Statement": [
    {
        "Sid": "CrossAccountAccess",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::123456789012:role/ImportRole"
        },           
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ]
     }
   ]
}

  3. Mettre à jour la politique AWS KMS clé : dans le compte du propriétaire du compartiment, ajoutez l'instruction suivante à la politique AWS KMS clé pour permettre au rôle d'exécution des importations de l'utilisateur de déchiffrer des objets.

    {
    "Sid": "Allow use of the key by the destination account",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::123456789123:role/ImportRole"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

  4. Créez une politique de rôle d'exécution d'importation : dans celle de l'utilisateur Compte AWS, associez une politique au rôle d'exécution d'importation qui permet d'accéder au bucket multicomptes et à la AWS KMS clé. Pouraws:ResourceAccount, spécifiez l'ID de compte du propriétaire du bucket Compte AWS.

    L'exemple de politique de rôle d'exécution des importations suivant donne accès au compartiment Amazon S3 du propriétaire du compartiment s3://amzn-s3-demo-bucket dans le compte 111222333444555 et au AWS KMS key arn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd.

    JSON
    { 
    "Version":"2012-10-17",
   "Statement": [
      {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
     },
     {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:123456789012:key/111aa2bb-333c-4d44-5555-a111bb2c33dd"
    }
  ]
 }