Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Partage d'un modèle personnalisé avec un autre Compte AWS
Avec Amazon Comprehend, vous pouvez partager vos modèles personnalisés avec d'autres utilisateurs, afin qu'ils puissent les importer dans leurs AWS comptes. Lorsqu'un utilisateur importe l'un de vos modèles personnalisés, il crée un nouveau modèle personnalisé dans son compte. Leur nouveau modèle reproduit celui que vous avez partagé.
Pour partager un modèle personnalisé, vous devez y associer une politique qui autorise les autres utilisateurs à l'importer. Ensuite, vous fournissez à ces utilisateurs les informations dont ils ont besoin.
**Note**
Lorsque d'autres utilisateurs importent un modèle personnalisé que vous avez partagé, ils doivent utiliser le même modèle Région AWS (par exemple, USA East (Virginie du Nord)) qui contient votre modèle.
**Topics**
+ [Avant de commencer](#custom-copy-sharing-prerequisites)
+ [Resource-based politiques pour les modèles personnalisés](#custom-copy-sharing-example-policy)
+ [Étape 1 : ajouter une politique basée sur les ressources à un modèle personnalisé](#custom-copy-sharing-adding-policy)
+ [Étape 2 : Fournissez les informations dont les autres ont besoin pour importer](#custom-copy-sharing-details)
## Avant de commencer
Avant de pouvoir partager un modèle, vous devez disposer d'un classificateur personnalisé qualifié ou d'un outil de reconnaissance d'entités personnalisé dans Amazon Comprehend dans votre. Compte AWS Pour plus d'informations sur la formation de modèles personnalisés, consultez [Classification personnalisée](how-document-classification.md) ou[Reconnaissance d'entités personnalisée](custom-entity-recognition.md).
### Autorisations requises
#### Déclaration de politique IAM
Avant de pouvoir ajouter une politique basée sur les ressources à un modèle personnalisé, vous devez disposer d'autorisations dans Gestion des identités et des accès AWS (IAM). Une politique doit être attachée à votre utilisateur, groupe ou rôle afin que vous puissiez créer, obtenir et supprimer des modèles de politiques, comme illustré dans l'exemple suivant.
**Example Politique IAM pour gérer les politiques basées sur les ressources pour les modèles personnalisés**
```
{
"Effect": "Allow",
"Action": [
"comprehend:PutResourcePolicy",
"comprehend:DeleteResourcePolicy",
"comprehend:DescribeResourcePolicy"
],
"Resource": "arn:aws:comprehend:{{us-west-2:111122223333}}:document-classifier/{{foo}}/version/*"
}
```
Pour plus d'informations sur la création d'une stratégie IAM, consultez la section [Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le Guide de l'utilisateur *IAM*. Pour plus d'informations sur l'attachement d'une politique IAM, consultez la section [Ajout et suppression d'autorisations d'identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dans le guide de l'utilisateur *IAM*.
#### AWS KMS déclaration de politique clé
Si vous partagez un modèle chiffré, vous devrez peut-être ajouter des autorisations pour AWS KMS. Cette exigence dépend du type de clé KMS que vous utilisez pour chiffrer le modèle dans Amazon Comprehend.
An **Clé détenue par AWS**est détenu et géré par un AWS service. Si vous utilisez un Clé détenue par AWS, vous n'avez pas besoin d'ajouter d'autorisations pour AWS KMS, et vous pouvez ignorer cette section.
Une **clé gérée par le client** est une clé que vous créez, détenez et gérez dans votre Compte AWS. Si vous utilisez une clé gérée par le client, vous devez ajouter une déclaration à votre politique en matière de clés KMS.
La déclaration de politique autorise une ou plusieurs entités (telles que des utilisateurs ou des comptes) à effectuer les AWS KMS opérations nécessaires pour déchiffrer le modèle.
Vous utilisez les touches de condition pour éviter le problème de confusion des adjoints. Pour de plus amples informations, veuillez consulter [Cross-service prévention confuse des adjoints](cross-service-confused-deputy-prevention.md).
Utilisez les clés de condition suivantes dans la politique pour valider les entités qui accèdent à votre clé KMS. Lorsqu'un utilisateur importe le modèle, il AWS KMS vérifie que l'ARN de la version du modèle source correspond à la condition. Si vous n'incluez aucune condition dans la politique, les principaux spécifiés peuvent utiliser votre clé KMS pour déchiffrer n'importe quelle version du modèle :
+ [aws : SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) — Utilisez cette clé de condition avec les `kms:Decrypt` actions `kms:GenerateDataKey` et.
+ [kms : EncryptionContext](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-encryption-context) — Utilisez cette clé de condition avec les `kms:CreateGrant` actions `kms:GenerateDataKey``kms:Decrypt`, et.
Dans l'exemple suivant, la politique autorise l'utilisation Compte AWS `444455556666` de la version 1 du modèle de classificateur spécifié appartenant à. Compte AWS `111122223333`
**Example Politique clé KMS pour accéder à une version spécifique d'un modèle de classificateur**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS":
"arn:aws:iam::{{444455556666}}:root"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceArn":
"arn:aws:comprehend:{{us-west-2:111122223333}}:document-classifier/{{classifierName}}/version/{{1}}"
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{444455556666}}:root"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:comprehend:arn":
"arn:aws:comprehend:{{us-west-2:111122223333}}:document-classifier/{{classifierName}}/version/{{1}}"
}
}
}
]
}
```
L'exemple de politique suivant autorise l'utilisateur **ExampleUser **ExampleRole****depuis Compte AWS `444455556666` et vers l'utilisateur Compte AWS `123456789012` à accéder à cette clé KMS via le service Amazon Comprehend.
**Example Politique clé de KMS autorisant l'accès au service Amazon Comprehend (alternative 1).**
L'exemple de politique suivant autorise l'accès Compte AWS `444455556666` à cette clé KMS via le service Amazon Comprehend, en utilisant une syntaxe alternative à celle de l'exemple précédent.
**Example Politique clé de KMS autorisant l'accès au service Amazon Comprehend (alternative 2).**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{444455556666}}:root"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:comprehend:arn": "arn:aws:comprehend:*"
}
}
}
]
}
```
Pour plus d’informations, consultez [Politiques de clé dans AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) dans le *Guide du développeur AWS Key Management Service *.
## Resource-based politiques pour les modèles personnalisés
Avant qu'un utilisateur d'Amazon Comprehend d'un autre utilisateur Compte AWS puisse importer un modèle personnalisé depuis votre AWS compte, vous devez l'autoriser à le faire. Pour les autoriser, vous ajoutez une *politique basée sur les ressources* à la version du modèle que vous souhaitez partager. Une stratégie basée sur les ressources est une stratégie IAM que vous attachez à une ressource dans. AWS
Lorsque vous associez une politique de ressources à une version de modèle personnalisée, la politique autorise les utilisateurs, les groupes ou les rôles à effectuer l'`comprehend:ImportModel`action sur la version du modèle.
**Example Resource-based politique pour une version de modèle personnalisée**
Cet exemple indique les entités autorisées dans l'`Principal`attribut. La ressource « \* » fait référence à la version du modèle spécifique à laquelle vous attachez la politique.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "comprehend:ImportModel",
"Resource": "*",
"Principal": {
"AWS": [
"arn:aws:iam::{{111122223333:root}}",
"arn:aws:iam::{{444455556666}}:user/{{ExampleUser}}",
"arn:aws:iam::{{123456789012}}:role/{{ExampleRole}}"
]
}
}
]
}
```
Pour les politiques que vous associez à des modèles personnalisés, `comprehend:ImportModel` c'est la seule action prise en charge par Amazon Comprehend.
*Pour plus d'informations sur les politiques basées sur les ressources, consultez les politiques [et Identity-based les politiques basées sur les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) dans le guide de l'utilisateur IAM.*
## Étape 1 : ajouter une politique basée sur les ressources à un modèle personnalisé
Vous pouvez ajouter une politique basée sur les ressources à l'aide de l'API AWS Management Console AWS CLI, ou Amazon Comprehend.
### AWS Management Console
Vous pouvez utiliser Amazon Comprehend dans le. AWS Management Console
**Pour ajouter une politique basée sur les ressources**
1. Connectez-vous à la console Amazon Comprehend AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/comprehend/](https://console.aws.amazon.com/comprehend/)
1. Dans le menu de navigation de gauche, sous **Personnalisation**, choisissez la page qui contient votre modèle personnalisé :
1. Si vous partagez un classificateur de documents personnalisé, choisissez **Classification personnalisée**.
1. Si vous partagez un outil de reconnaissance d'entités personnalisé, choisissez **Reconnaissance d'entité personnalisée**.
1. Dans la liste des modèles, choisissez le nom du modèle pour ouvrir sa page de détails.
1. Sous **Versions**, choisissez le nom de la version du modèle que vous souhaitez partager.
1. Sur la page des détails de la version, choisissez l'**onglet Tags, VPC & Policy**.
1. Dans la section **Resource-based politique**, choisissez **Modifier**.
1. Sur la **page Modifier une politique basée sur les ressources**, procédez comme suit :
1. Dans **Nom de la politique**, entrez un nom qui vous aidera à reconnaître la politique une fois que vous l'aurez créée.
1. Sous **Autoriser**, spécifiez une ou plusieurs des entités suivantes pour les autoriser à importer votre modèle :
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/comprehend/latest/dg/custom-copy-sharing.html)
1. Sous **Partager**, vous pouvez copier l'ARN de la version du modèle pour le partager avec la personne qui va importer votre modèle. Lorsque quelqu'un importe un modèle personnalisé à partir d'un modèle différent Compte AWS, l'ARN de la version du modèle est requis.
1. Choisissez **Enregistrer**. Amazon Comprehend crée votre politique basée sur les ressources et l'associe à votre modèle.
### AWS CLI
Pour ajouter une politique basée sur les ressources à un modèle personnalisé avec le AWS CLI, utilisez la [PutResourcePolicy](https://docs.aws.amazon.com/comprehend/latest/dg/API_PutResourcePolicy.html)commande. La commande d' utilise les paramètres suivants :
+ `resource-arn`— L'ARN du modèle personnalisé, y compris la version du modèle.
+ `resource-policy`— Un fichier JSON qui définit la politique basée sur les ressources à associer à votre modèle personnalisé.
Vous pouvez également fournir la politique sous forme de chaîne JSON intégrée. Pour fournir un code JSON valide pour votre politique, placez les noms et les valeurs d'attributs entre guillemets. Si le corps du JSON est également placé entre guillemets, vous évitez les guillemets figurant dans la politique.
+ `policy-revision-id`— L'ID de révision attribué par Amazon Comprehend à la politique que vous mettez à jour. Si vous créez une nouvelle politique sans version précédente, n'utilisez pas ce paramètre. Amazon Comprehend crée l'ID de révision pour vous.
**Example Ajoutez une politique basée sur les ressources à un modèle personnalisé à l'aide de la commande `put-resource-policy`**
Cet exemple définit une politique dans un fichier JSON nommé **policy File.json** et associe la politique à un modèle. Le modèle est la version **v2** d'un classificateur nommé **mycf1**.
```
$ aws comprehend put-resource-policy \
> --resource-arn {{arn:aws:comprehend:us-west-2:111122223333:document-classifier/mycf1/version/v2}} \
> --resource-policy file://{{policyFile.json}} \
> --policy-revision-id {{revision-id}}
```
Le fichier JSON de la politique de ressources contient le contenu suivant :
+ *Action* — La politique autorise les principaux nommés à utiliser. `comprehend:ImportModel`
+ *Ressource* — L'ARN du modèle personnalisé. La ressource « \* » fait référence à la version du modèle que vous spécifiez dans la `put-resource-policy` commande.
+ *Principal* — La politique autorise l'utilisateur à partir du Compte AWS 444455556666 et tous les utilisateurs `jane` à partir du 123456789012. Compte AWS
****
```
{
"Version":"2012-10-17",
"Statement":[
{"Sid":"ResourcePolicyForImportModel",
"Effect":"Allow",
"Action":["comprehend:ImportModel"],
"Resource":"*",
"Principal":
{"AWS":
["arn:aws:iam::444455556666:user/jane",
"123456789012"]
}
}
]
}
```
### API Amazon Comprehend
Pour ajouter une politique basée sur les ressources à un modèle personnalisé à l'aide de l'API Amazon Comprehend, utilisez [PutResourcePolicy](https://docs.aws.amazon.com/comprehend/latest/dg/API_PutResourcePolicy.html)l'opération API.
Vous pouvez également ajouter une politique à un modèle personnalisé dans la demande d'API qui crée le modèle. Pour ce faire, fournissez le JSON de politique pour le ModelPolicy paramètre lorsque vous soumettez une [CreateEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/dg/API_CreateEntityRecognizer.html)demande [CreateDocumentClassifier](https://docs.aws.amazon.com/comprehend/latest/dg/API_CreateDocumentClassifier.html)or.
## Étape 2 : Fournissez les informations dont les autres ont besoin pour importer
Maintenant que vous avez ajouté la politique basée sur les ressources à votre modèle personnalisé, vous avez autorisé les autres utilisateurs d'Amazon Comprehend à importer votre modèle dans leur. Comptes AWS Toutefois, avant de pouvoir les importer, vous devez leur fournir les informations suivantes :
+ Le nom de ressource Amazon (ARN) de la version du modèle.
+ Celui Région AWS qui contient le modèle. Toute personne qui importe votre modèle doit l'utiliser Région AWS .
+ Si le modèle est crypté, et si c'est le cas, quel est le type de AWS KMS clé que vous utilisez : Clé détenue par AWS ou clé gérée par le client.
+ Si votre modèle est chiffré à l'aide d'une clé gérée par le client, vous devez fournir l'ARN de la clé KMS. Toute personne qui importe votre modèle doit inclure l'ARN d'un rôle de service IAM dans son Compte AWS. Ce rôle autorise Amazon Comprehend à utiliser la clé KMS pour déchiffrer le modèle lors de l'importation.
Pour plus d'informations sur la façon dont les autres utilisateurs importent votre modèle, consultez[Importation d'un modèle personnalisé depuis un autre Compte AWS](custom-copy-importing.md).