Amazon S3 バケットへのクロスアカウントアクセスを設定するカスタムで暗号化された Amazon S3 バケットへのクロスアカウントアクセスを設定する AWS KMS key

カスタムモデルインポートジョブの Amazon S3 バケットへのクロスアカウントアクセス

別のの Amazon S3 バケットからモデルをインポートする場合は AWS アカウント、カスタマイズしたモデルをインポートする前に、バケットにアクセスするためのアクセス許可を付与する必要があります。「カスタムモデルのインポートの前提条件」を参照してください。

注記

カスタムモデルインポートジョブが Amazon Bedrock コンソールを介して送信された場合、デフォルトのインポート実行ロールが自動的に作成されます。デフォルトのインポート実行ロールポリシーを編集し、に指定されたアカウント ID をバケット所有者の aws:ResourceAccount AWS アカウント ID に置き換える必要があります。

Amazon S3 バケットへのクロスアカウントアクセスを設定する

カスタムモデルインポートジョブの Amazon S3 バケットへのクロスアカウントアクセスを設定するには、次の手順に従います。

インポート実行ロールの作成 – ユーザーの AWS アカウント (インポートジョブを実行するアカウント) で、Amazon Bedrock が引き受けることができる IAM ロールを作成します。カスタムモデルインポートのサービスロールの作成の詳細については、「」を参照してくださいカスタムモデルのインポートの前提条件。

バケットポリシーの作成 – バケット所有者のアカウントで、ユーザーのアカウントのインポート実行ロールへのアクセスを許可するバケットポリシーを作成します。

以下のバケットポリシー例は、バケット所有者がバケット s3://amzn-s3-demo-bucket 作成および適用し、バケット所有者のアカウント 123456789123 のユーザーにアクセス権限を付与します。

インポート実行ロールポリシーの作成 – ユーザーので AWS アカウント、クロスアカウントバケットへのアクセスを許可するポリシーをインポート実行ロールにアタッチします。にはaws:ResourceAccount、バケット所有者のアカウント ID を指定します AWS アカウント。

次の例では、ユーザーのアカウントのインポート実行ロールポリシーは、バケット所有者のアカウント ID 111222333444555 に Amazon S3 バケット s3://amzn-s3-demo-bucket へのアクセスを提供します。
JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "123456789012" } } } ] }

カスタムで暗号化された Amazon S3 バケットへのクロスアカウントアクセスを設定する AWS KMS key

Amazon S3 バケットが custom AWS Key Management Service (AWS KMS) キーで暗号化されている場合は、追加のステップを実行して、キーを復号するためのインポート実行ロールのアクセス許可を付与する必要があります。

インポート実行ロールを作成する – ユーザーので AWS アカウント、Amazon Bedrock が引き受けることができる IAM ロールを作成します。詳細については、「カスタムモデルのインポートの前提条件」を参照してください。

AWS KMS キーポリシーの更新 – バケット所有者のアカウントで、次のステートメントを AWS KMS キーポリシーに追加して、ユーザーのインポート実行ロールがオブジェクトを復号できるようにします。


{
    "Sid": "Allow use of the key by the destination account",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::123456789123:role/ImportRole"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

インポート実行ロールポリシーの作成 – ユーザーので AWS アカウント、クロスアカウントバケットと AWS KMS キーへのアクセスを許可するポリシーをインポート実行ロールにアタッチします。にはaws:ResourceAccount、バケット所有者ののアカウント ID を指定します AWS アカウント。

次のインポート実行ロールポリシーの例では、アカウント111222333444555と s3://amzn-s3-demo-bucketのバケット所有者の Amazon S3 バケットへのアクセスを提供します AWS KMS key arn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

トラブルシューティング

コンプライアンス検証