翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# カスタムモデルインポートジョブの Amazon S3 バケットへのクロスアカウントアクセス
別の の Amazon S3 バケットからモデルをインポートする場合は AWS アカウント、カスタマイズしたモデルをインポートする前に、バケットにアクセスするためのアクセス許可を付与する必要があります。「[カスタムモデルのインポートの前提条件](custom-model-import-prereq.md)」を参照してください。
**注記**
カスタムモデルインポートジョブが Amazon Bedrock コンソールを介して送信された場合、デフォルトのインポート実行ロールが自動的に作成されます。デフォルトのインポート実行ロールポリシーを編集し、 に指定されたアカウント ID をバケット所有者の `aws:ResourceAccount` AWS アカウント ID に置き換える必要があります。
## Amazon S3 バケットへのクロスアカウントアクセスを設定する
カスタムモデルインポートジョブの Amazon S3 バケットへのクロスアカウントアクセスを設定するには、次の手順に従います。
1. **インポート実行ロールの作成** – ユーザーの AWS アカウント (インポートジョブを実行するアカウント) で、Amazon Bedrock が引き受けることができる IAM ロールを作成します。カスタムモデルインポートのサービスロールの作成の詳細については、「」を参照してください[カスタムモデルのインポートの前提条件](custom-model-import-prereq.md)。
1. **バケットポリシーの作成** – バケット所有者のアカウントで、ユーザーのアカウントのインポート実行ロールへのアクセスを許可するバケットポリシーを作成します。
以下のバケットポリシー例は、バケット所有者がバケット `s3://amzn-s3-demo-bucket` 作成および適用し、バケット所有者のアカウント `123456789123` のユーザーにアクセス権限を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccountAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{123456789012}}:role/{{ImportRole}}"
},
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{amzn-s3-demo-bucket}}",
"arn:aws:s3:::{{amzn-s3-demo-bucket/*}}"
]
}
]
}
```
------
1. **インポート実行ロールポリシーの作成** – ユーザーの で AWS アカウント、クロスアカウントバケットへのアクセスを許可するポリシーをインポート実行ロールにアタッチします。には`aws:ResourceAccount`、バケット所有者の アカウント ID を指定します AWS アカウント。
次の例では、ユーザーのアカウントのインポート実行ロールポリシーは、バケット所有者のアカウント ID `111222333444555` に Amazon S3 バケット `s3://amzn-s3-demo-bucket` へのアクセスを提供します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"{{arn:aws:s3:::amzn-s3-demo-bucket}}",
"{{arn:aws:s3:::amzn-s3-demo-bucket/*}}"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{123456789012}}"
}
}
}
]
}
```
------
## カスタムで暗号化された Amazon S3 バケットへのクロスアカウントアクセスを設定する AWS KMS key
Amazon S3 バケットが custom AWS Key Management Service (AWS KMS) キーで暗号化されている場合は、追加のステップを実行して、キーを復号するためのインポート実行ロールのアクセス許可を付与する必要があります。
1. **インポート実行ロールを作成する** – ユーザーの で AWS アカウント、Amazon Bedrock が引き受けることができる IAM ロールを作成します。詳細については、「[カスタムモデルのインポートの前提条件](custom-model-import-prereq.md)」を参照してください。
1. **バケットポリシーの作成** – バケット所有者のアカウントで、ユーザーのアカウントのインポート実行ロールへのアクセスを許可するバケットポリシーを作成します。
以下のバケットポリシー例は、バケット所有者がバケット `s3://amzn-s3-demo-bucket` 作成および適用し、バケット所有者のアカウント `123456789123` のユーザーにアクセス権限を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccountAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{123456789012}}:role/{{ImportRole}}"
},
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"{{arn:aws:s3:::amzn-s3-demo-bucket}}",
"{{arn:aws:s3:::amzn-s3-demo-bucket}}/*"
]
}
]
}
```
------
1. ** AWS KMS キーポリシーの更新** – バケット所有者のアカウントで、次のステートメントを AWS KMS キーポリシーに追加して、ユーザーのインポート実行ロールがオブジェクトを復号できるようにします。
```
{
"Sid": "Allow use of the key by the destination account",
"Effect": "Allow",
"Principal": {
"AWS": "{{arn:aws:iam::123456789123:role/ImportRole}}"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
}
```
1. **インポート実行ロールポリシーの作成** – ユーザーの で AWS アカウント、クロスアカウントバケットと AWS KMS キーへのアクセスを許可するポリシーをインポート実行ロールにアタッチします。には`aws:ResourceAccount`、バケット所有者の のアカウント ID を指定します AWS アカウント。
次のインポート実行ロールポリシーの例では、 アカウント`111222333444555`と `s3://amzn-s3-demo-bucket`のバケット所有者の Amazon S3 バケットへのアクセスを提供します AWS KMS key `arn:aws:kms:{{us-west-2:123456789098}}:key/{{111aa2bb-333c-4d44-5555-a111bb2c33dd}}`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"{{arn:aws:s3:::amzn-s3-demo-bucket}}",
"{{arn:aws:s3:::amzn-s3-demo-bucket/*}}"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{123456789012}}"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:{{us-west-2}}:{{123456789012}}:key/{{111aa2bb-333c-4d44-5555-a111bb2c33dd}}"
}
]
}
```
------