Accès intercompte au compartiment Amazon S3 pour les tâches d’importation de modèles personnalisés - Amazon Bedrock
Configuration de l’accès intercompte pour un compartiment Amazon S3Configurez l'accès entre comptes au compartiment Amazon S3 chiffré avec un AWS KMS key

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accès intercompte au compartiment Amazon S3 pour les tâches d’importation de modèles personnalisés

Si vous importez votre modèle depuis un compartiment Amazon S3 et que vous utilisez Amazon S3 entre comptes, vous devez autoriser les utilisateurs du compte du propriétaire du compartiment à accéder au compartiment avant d’importer votre modèle personnalisé. Consultez Conditions préalables à l’importation d’un modèle personnalisé.

Configuration de l’accès intercompte pour un compartiment Amazon S3

Cette section explique les étapes de création de stratégies permettant aux utilisateurs du compte du propriétaire du compartiment d’accéder au compartiment Amazon S3.

  1. Dans le compte du propriétaire du compartiment, créez une stratégie de compartiment qui donne accès aux utilisateurs du compte du propriétaire du compartiment.

    L’exemple suivant de stratégie de compartiment, créée et appliquée au compartiment s3://amzn-s3-demo-bucket par le propriétaire du compartiment, accorde l’accès à un utilisateur du compte 123456789123 du propriétaire du compartiment.

    JSON
    { 
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/ImportRole"
            },           
            "Action": [
                "s3:ListBucket",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

  2. Dans celui de l'utilisateurCompte AWS, créez une politique de rôle d'exécution des importations. Pour aws:ResourceAccount spécifier l'identifiant de compte du propriétaire du bucketCompte AWS.

    L’exemple suivant de stratégie de rôle d’exécution des importations dans le compte de l’utilisateur fournit au compte du propriétaire du compartiment, dont l’ID est 111222333444555, l’accès au compartiment Amazon S3 s3://amzn-s3-demo-bucket.

    JSON
    { 
    "Version":"2012-10-17",		 	 	 
   "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
    }
  ]
}

Configurez l'accès entre comptes au compartiment Amazon S3 chiffré avec un AWS KMS key

Si vous possédez un compartiment Amazon S3 chiffré à l'aide d'une clé custom AWS Key Management Service (AWS KMS), vous devez autoriser l'accès à celui-ci aux utilisateurs depuis le compte du propriétaire du compartiment.

Pour configurer l'accès entre comptes au compartiment Amazon S3 chiffré à l'aide d'un AWS KMS key

  1. Dans le compte du propriétaire du compartiment, créez une stratégie de compartiment qui donne accès aux utilisateurs du compte du propriétaire du compartiment.

    L’exemple suivant de stratégie de compartiment, créée et appliquée au compartiment s3://amzn-s3-demo-bucket par le propriétaire du compartiment, accorde l’accès à un utilisateur du compte 123456789123 du propriétaire du compartiment.

    JSON
    { 
   "Version":"2012-10-17",		 	 	 
   "Statement": [
    {
        "Sid": "CrossAccountAccess",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::123456789012:role/ImportRole"
        },           
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ]
     }
   ]
}

  2. Dans le compte du propriétaire du compartiment, créez la stratégie de ressources suivante pour permettre le déchiffrement du rôle d’importation du compte de l’utilisateur.

    {
   "Sid": "Allow use of the key by the destination account",
   "Effect": "Allow",
   "Principal": {
   "AWS": "arn:aws:iam::"arn:aws:iam::123456789123:role/ImportRole"
    },
    "Action": [
          "kms:Decrypt",
          "kms:DescribeKey"
    ],
    "Resource": "*"
}

  3. Dans celui de l'utilisateurCompte AWS, créez une politique de rôle d'exécution des importations. Pour aws:ResourceAccount spécifier l'identifiant de compte du propriétaire du bucketCompte AWS. Fournissez également un accès à celui AWS KMS key qui est utilisé pour chiffrer le compartiment.

    L'exemple suivant de politique de rôle d'exécution des importations dans le compte de l'utilisateur fournit à l'identifiant de compte du propriétaire du bucket 111222333444555 l'accès au bucket Amazon S3 s3://amzn-s3-demo-bucket et au AWS KMS key arn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

    JSON
    { 
    "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
     },
     {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:123456789012:key/111aa2bb-333c-4d44-5555-a111bb2c33dd"
    }
  ]
 }