翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
カスタムモデルインポートジョブの Amazon S3 バケットへのクロスアカウントアクセス
Amazon S3 バケットからモデルをインポートし、クロスアカウントで Amazon S3 を使用する場合は、カスタマイズされたモデルをインポートする前に、バケット所有者のアカウントのユーザーにバケットへのアクセス許可を付与する必要があります。「カスタムモデルのインポートの前提条件」を参照してください。
Amazon S3 バケットへのクロスアカウントアクセスを設定する
このセクションでは、バケット所有者のアカウント内のユーザーが Amazon S3 バケットにアクセスするためのポリシーを作成する手順について説明します。
-
バケット所有者のアカウントで、バケット所有者のアカウントのユーザーにアクセス権限を付与するバケットポリシーを作成します。
以下のバケットポリシー例は、バケット所有者がバケット
s3://amzn-s3-demo-bucket作成および適用し、バケット所有者のアカウント123456789123のユーザーにアクセス権限を付与します。 -
ユーザーの でAWS アカウント、インポート実行ロールポリシーを作成します。バケット所有者の のアカウント ID
aws:ResourceAccountを指定しますAWS アカウント。次の例では、ユーザーのアカウントのインポート実行ロールポリシーは、バケット所有者のアカウント ID
111222333444555に Amazon S3 バケットs3://amzn-s3-demo-bucketへのアクセスを提供します。
カスタムで暗号化された Amazon S3 バケットへのクロスアカウントアクセスを設定するAWS KMS key
customAWS Key Management Service(AWS KMS) キーで暗号化された Amazon S3 バケットがある場合は、バケット所有者のアカウントからユーザーにそのバケットへのアクセスを許可する必要があります。
カスタムで暗号化された Amazon S3 バケットへのクロスアカウントアクセスを設定するにはAWS KMS key
-
バケット所有者のアカウントで、バケット所有者のアカウントのユーザーにアクセス権限を付与するバケットポリシーを作成します。
以下のバケットポリシー例は、バケット所有者がバケット
s3://amzn-s3-demo-bucket作成および適用し、バケット所有者のアカウント123456789123のユーザーにアクセス権限を付与します。 -
バケット所有者アカウントで、次のリソースポリシーを作成し、ユーザーのアカウントインポートロールに復号を許可します。
{ "Sid": "Allow use of the key by the destination account", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::"arn:aws:iam::123456789123:role/ImportRole" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*" } -
ユーザーの でAWS アカウント、インポート実行ロールポリシーを作成します。バケット所有者の のアカウント ID
aws:ResourceAccountを指定しますAWS アカウント。また、バケットの暗号化AWS KMS keyに使用される へのアクセスを提供します。次のユーザーアカウントのインポート実行ロールポリシーの例では、バケット所有者のアカウント ID に Amazon S3 バケット
s3://amzn-s3-demo-bucketと111222333444555へのアクセスを提供します。AWS KMS keyarn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd
