View a markdown version of this page

Cross-account akses ke bucket Amazon S3 untuk pekerjaan impor model kustom - Amazon Bedrock
Konfigurasikan akses lintas akun ke bucket Amazon S3Konfigurasikan akses lintas akun ke bucket Amazon S3 yang dienkripsi dengan kustom AWS KMS key

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cross-account akses ke bucket Amazon S3 untuk pekerjaan impor model kustom

Jika Anda mengimpor model dari bucket Amazon S3 di bucket Akun AWS lain, Anda harus memberikan izin untuk mengakses bucket sebelum mengimpor model yang disesuaikan. Lihat Prasyarat untuk mengimpor model khusus.

catatan

Jika pekerjaan impor model kustom dikirimkan melalui konsol Amazon Bedrock, peran eksekusi impor default akan dibuat secara otomatis. Anda harus mengedit kebijakan peran eksekusi impor default dan mengganti ID akun yang ditentukan aws:ResourceAccount dengan Akun AWS ID pemilik bucket.

Konfigurasikan akses lintas akun ke bucket Amazon S3

Ikuti langkah-langkah berikut untuk mengonfigurasi akses lintas akun ke bucket Amazon S3 untuk pekerjaan impor model kustom.

  1. Buat peran eksekusi impor - Di pengguna Akun AWS (akun yang akan menjalankan pekerjaan impor), buat peran IAM yang dapat diasumsikan oleh Amazon Bedrock. Untuk informasi selengkapnya tentang membuat peran layanan untuk impor model kustom, lihatPrasyarat untuk mengimpor model khusus.

  2. Buat kebijakan bucket — Di akun pemilik bucket, buat kebijakan bucket yang memberikan akses ke peran eksekusi impor di akun pengguna.

    Contoh kebijakan bucket berikut, yang dibuat dan diterapkan ke bucket s3://amzn-s3-demo-bucket oleh pemilik bucket, memberikan akses ke pengguna di akun 123456789123 pemilik bucket.

    JSON
    { 
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "CrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/ImportRole"
            },           
            "Action": [
                "s3:ListBucket",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

  3. Buat kebijakan peran eksekusi impor — Di pengguna Akun AWS, lampirkan kebijakan ke peran eksekusi impor yang memungkinkan akses ke bucket lintas akun. Untukaws:ResourceAccount, tentukan ID akun pemilik bucket Akun AWS.

    Contoh kebijakan peran eksekusi impor berikut di akun pengguna memberikan 111222333444555 akses id akun pemilik bucket ke bucket Amazon S3. s3://amzn-s3-demo-bucket

    JSON
    { 
    "Version":"2012-10-17",
   "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
    }
  ]
}

Konfigurasikan akses lintas akun ke bucket Amazon S3 yang dienkripsi dengan kustom AWS KMS key

Jika bucket Amazon S3 dienkripsi dengan kunci custom AWS Key Management Service (AWS KMS), Anda perlu melakukan langkah tambahan untuk memberikan izin peran eksekusi impor untuk mendekripsi kunci.

  1. Buat peran eksekusi impor — Di pengguna Akun AWS, buat peran IAM yang dapat diasumsikan oleh Amazon Bedrock. Untuk informasi selengkapnya, lihat Prasyarat untuk mengimpor model khusus.

  2. Buat kebijakan bucket — Di akun pemilik bucket, buat kebijakan bucket yang memberikan akses ke peran eksekusi impor di akun pengguna.

    Contoh kebijakan bucket berikut, yang dibuat dan diterapkan ke bucket s3://amzn-s3-demo-bucket oleh pemilik bucket, memberikan akses ke pengguna di akun 123456789123 pemilik bucket.

    JSON
    { 
   "Version":"2012-10-17",
   "Statement": [
    {
        "Sid": "CrossAccountAccess",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::123456789012:role/ImportRole"
        },           
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ]
     }
   ]
}

  3. Perbarui kebijakan AWS KMS kunci — Di akun pemilik bucket, tambahkan pernyataan berikut ke kebijakan AWS KMS kunci untuk memungkinkan peran eksekusi impor pengguna mendekripsi objek.

    {
    "Sid": "Allow use of the key by the destination account",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::123456789123:role/ImportRole"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

  4. Buat kebijakan peran eksekusi impor — Di pengguna Akun AWS, lampirkan kebijakan ke peran eksekusi impor yang memungkinkan akses ke bucket lintas akun dan AWS KMS kunci. Untukaws:ResourceAccount, tentukan ID akun pemilik bucket Akun AWS.

    Contoh kebijakan peran eksekusi impor berikut menyediakan akses ke bucket Amazon S3 pemilik bucket s3://amzn-s3-demo-bucket di akun 111222333444555 dan akun. AWS KMS key arn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

    JSON
    { 
    "Version":"2012-10-17",
   "Statement": [
      {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
     },
     {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:123456789012:key/111aa2bb-333c-4d44-5555-a111bb2c33dd"
    }
  ]
 }