Accesso multi-account al bucket Amazon S3 per i processi di importazione di modelli personalizzati - Amazon Bedrock
Configurazione dell’accesso multi-account per un bucket Amazon S3Configura l'accesso tra account al bucket Amazon S3 crittografato con un file personalizzato AWS KMS key

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accesso multi-account al bucket Amazon S3 per i processi di importazione di modelli personalizzati

Se stai importando il tuo modello da un bucket Amazon S3 e utilizzi Amazon S3 tra account, dovrai concedere le autorizzazioni agli utenti dell’account proprietario del bucket per accedervi, prima di importare il modello personalizzato. Per informazioni, consulta Prerequisiti per l’importazione di modelli personalizzati.

Configurazione dell’accesso multi-account per un bucket Amazon S3

Questa sezione illustra i passaggi per la creazione di policy per gli utenti nell’account del proprietario del bucket per l’accesso al bucket Amazon S3.

  1. Nell’account del proprietario del bucket, crea una policy di bucket che consenta l’accesso agli utenti presenti nell’account del proprietario.

    La seguente policy di bucket di esempio, creata e applicata al bucket s3://amzn-s3-demo-bucket dal proprietario del bucket, concede l’accesso a un utente nell’account del proprietario del bucket 123456789123.

    JSON
    { 
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/ImportRole"
            },           
            "Action": [
                "s3:ListBucket",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

  2. In quello dell'utenteAccount AWS, crea una politica di importazione del ruolo di esecuzione. Per aws:ResourceAccount specificare l'ID dell'account del proprietario del Account AWS bucket.

    Il seguente esempio di policy di importazione del ruolo di esecuzione nell’account dell’utente fornisce all’ID account del proprietario del bucket 111222333444555 l’accesso al bucket Amazon S3 s3://amzn-s3-demo-bucket.

    JSON
    { 
    "Version":"2012-10-17",		 	 	 
   "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
    }
  ]
}

Configura l'accesso tra account al bucket Amazon S3 crittografato con un file personalizzato AWS KMS key

Se disponi di un bucket Amazon S3 crittografato con una chiave personalizzata AWS Key Management Service (AWS KMS), dovrai concedere l'accesso ad esso agli utenti dall'account del proprietario del bucket.

Per configurare l'accesso tra più account al bucket Amazon S3 crittografato con un file personalizzato AWS KMS key

  1. Nell’account del proprietario del bucket, crea una policy di bucket che consenta l’accesso agli utenti presenti nell’account del proprietario.

    La seguente policy di bucket di esempio, creata e applicata al bucket s3://amzn-s3-demo-bucket dal proprietario del bucket, concede l’accesso a un utente nell’account del proprietario del bucket 123456789123.

    JSON
    { 
   "Version":"2012-10-17",		 	 	 
   "Statement": [
    {
        "Sid": "CrossAccountAccess",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::123456789012:role/ImportRole"
        },           
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ]
     }
   ]
}

  2. Nell’account del proprietario del bucket, crea la seguente policy delle risorse per consentire la decrittografia del ruolo di importazione dell’account dell’utente.

    {
   "Sid": "Allow use of the key by the destination account",
   "Effect": "Allow",
   "Principal": {
   "AWS": "arn:aws:iam::"arn:aws:iam::123456789123:role/ImportRole"
    },
    "Action": [
          "kms:Decrypt",
          "kms:DescribeKey"
    ],
    "Resource": "*"
}

  3. In quella dell'utenteAccount AWS, crea una politica di importazione dei ruoli di esecuzione. Per aws:ResourceAccount specificare l'ID dell'account del proprietario del Account AWS bucket. Inoltre, fornisci l'accesso a AWS KMS key ciò che viene utilizzato per crittografare il bucket.

    L'esempio seguente: la politica del ruolo di esecuzione delle importazioni nell'account dell'utente fornisce all'ID dell'account del proprietario del bucket 111222333444555 l'accesso al bucket Amazon S3 s3://amzn-s3-demo-bucket e al AWS KMS key arn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

    JSON
    { 
    "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
     },
     {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:123456789012:key/111aa2bb-333c-4d44-5555-a111bb2c33dd"
    }
  ]
 }