Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Cross-account accès au compartiment Amazon S3 pour les tâches d'importation de modèles personnalisés
Si vous importez votre modèle depuis un compartiment Amazon S3 dans un autre compartiment Compte AWS, vous devrez accorder des autorisations pour accéder au compartiment avant d'importer votre modèle personnalisé. Consultez [Conditions préalables à l’importation d’un modèle personnalisé](custom-model-import-prereq.md).
**Note**
Si la tâche d'importation du modèle personnalisé a été soumise via la console Amazon Bedrock, un rôle d'exécution d'importation par défaut est créé automatiquement. Vous devez modifier la politique de rôle d'exécution des importations par défaut et remplacer l'ID de compte spécifié `aws:ResourceAccount` par l' Compte AWS ID du propriétaire du bucket.
## Configuration de l’accès intercompte pour un compartiment Amazon S3
Suivez ces étapes pour configurer l'accès entre comptes à un compartiment Amazon S3 pour une tâche d'importation de modèle personnalisée.
1. **Création d'un rôle d'exécution d'importation** : dans le compte de l'utilisateur Compte AWS (le compte qui exécutera la tâche d'importation), créez un rôle IAM qu'Amazon Bedrock peut assumer. Pour plus d'informations sur la création d'un rôle de service pour l'importation de modèles personnalisés, consultez[Conditions préalables à l’importation d’un modèle personnalisé](custom-model-import-prereq.md).
1. **Création d'une politique de compartiment** : dans le compte du propriétaire du compartiment, créez une politique de compartiment qui accorde l'accès au rôle d'exécution des importations dans le compte de l'utilisateur.
L’exemple suivant de stratégie de compartiment, créée et appliquée au compartiment `s3://amzn-s3-demo-bucket` par le propriétaire du compartiment, accorde l’accès à un utilisateur du compte `123456789123` du propriétaire du compartiment.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccountAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{123456789012}}:role/{{ImportRole}}"
},
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{amzn-s3-demo-bucket}}",
"arn:aws:s3:::{{amzn-s3-demo-bucket/*}}"
]
}
]
}
```
------
1. **Créez une politique de rôle d'exécution d'importation** : dans celle de l'utilisateur Compte AWS, associez une politique au rôle d'exécution d'importation qui autorise l'accès au compartiment multicomptes. Pour`aws:ResourceAccount`, spécifiez l'ID de compte du propriétaire du bucket Compte AWS.
L’exemple suivant de stratégie de rôle d’exécution des importations dans le compte de l’utilisateur fournit au compte du propriétaire du compartiment, dont l’ID est `111222333444555`, l’accès au compartiment Amazon S3 `s3://amzn-s3-demo-bucket`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"{{arn:aws:s3:::amzn-s3-demo-bucket}}",
"{{arn:aws:s3:::amzn-s3-demo-bucket/*}}"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{123456789012}}"
}
}
}
]
}
```
------
## Configurez l'accès entre comptes au compartiment Amazon S3 chiffré avec un AWS KMS key
Si le compartiment Amazon S3 est chiffré à l'aide d'une clé custom AWS Key Management Service (AWS KMS), vous devez effectuer des étapes supplémentaires pour accorder au rôle d'exécution de l'importation l'autorisation de déchiffrer la clé.
1. **Création d'un rôle d'exécution d'importation** : dans celui de l'utilisateur Compte AWS, créez un rôle IAM qu'Amazon Bedrock peut assumer. Pour de plus amples informations, veuillez consulter [Conditions préalables à l’importation d’un modèle personnalisé](custom-model-import-prereq.md).
1. **Création d'une politique de compartiment** : dans le compte du propriétaire du compartiment, créez une politique de compartiment qui accorde l'accès au rôle d'exécution des importations dans le compte de l'utilisateur.
L’exemple suivant de stratégie de compartiment, créée et appliquée au compartiment `s3://amzn-s3-demo-bucket` par le propriétaire du compartiment, accorde l’accès à un utilisateur du compte `123456789123` du propriétaire du compartiment.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccountAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{123456789012}}:role/{{ImportRole}}"
},
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"{{arn:aws:s3:::amzn-s3-demo-bucket}}",
"{{arn:aws:s3:::amzn-s3-demo-bucket}}/*"
]
}
]
}
```
------
1. **Mettre à jour la politique AWS KMS clé** : dans le compte du propriétaire du compartiment, ajoutez l'instruction suivante à la politique AWS KMS clé pour permettre au rôle d'exécution des importations de l'utilisateur de déchiffrer des objets.
```
{
"Sid": "Allow use of the key by the destination account",
"Effect": "Allow",
"Principal": {
"AWS": "{{arn:aws:iam::123456789123:role/ImportRole}}"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
}
```
1. **Créez une politique de rôle d'exécution d'importation** : dans celle de l'utilisateur Compte AWS, associez une politique au rôle d'exécution d'importation qui permet d'accéder au bucket multicomptes et à la AWS KMS clé. Pour`aws:ResourceAccount`, spécifiez l'ID de compte du propriétaire du bucket Compte AWS.
L'exemple de politique de rôle d'exécution des importations suivant donne accès au compartiment Amazon S3 du propriétaire du compartiment `s3://amzn-s3-demo-bucket` dans le compte `111222333444555` et au AWS KMS key `arn:aws:kms:{{us-west-2:123456789098}}:key/{{111aa2bb-333c-4d44-5555-a111bb2c33dd}}`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"{{arn:aws:s3:::amzn-s3-demo-bucket}}",
"{{arn:aws:s3:::amzn-s3-demo-bucket/*}}"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{123456789012}}"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:{{us-west-2}}:{{123456789012}}:key/{{111aa2bb-333c-4d44-5555-a111bb2c33dd}}"
}
]
}
```
------