別の からカスタムモデルをインポートする AWS アカウント - Amazon Comprehend
[開始する前に]カスタムモデルのインポート

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

別の からカスタムモデルをインポートする AWS アカウント

Amazon Comprehend では、別の にあるカスタムモデルをインポートできます AWS アカウント。モデルをインポートすると、アカウントに新しいカスタムモデルが作成されます。新しいカスタムモデルは、インポートしたモデルと完全にトレーニングされたモデルの複製です。

[開始する前に]

別のモデルからカスタムモデルをインポートする前に AWS アカウント、モデルを共有したユーザーが以下を実行してください。

  • インポートを行う権限をユーザーに与える。この承認は、モデルバージョンに添付されているリソースベースのポリシーで付与されます。詳細については、「カスタムモデル用のリソースベースのポリシー」を参照してください。

  • 以下に関する情報を提供します。

    • モデルバージョンの Amazon リソースネーム (ARN)。

    • モデルを含む AWS リージョン 。インポート AWS リージョン 時に同じ を使用する必要があります。

    • モデルが AWS KMS キーで暗号化されているかどうか、暗号化されている場合は、使用されるキーのタイプ。

モデルが暗号化されている場合、使用する KMS キーの種類によっては、追加の手順が必要になることがあります。

  • AWS 所有のキー — このタイプの KMS キーは AWSによって所有、管理されます。モデルが で暗号化されている場合 AWS 所有のキー、追加のステップは必要ありません。

  • カスタマーマネージドキー – このタイプの KMS キーは、 の AWS 顧客が作成、所有、管理します AWS アカウント。モデルがカスタマーマネージドキーで暗号化されている場合、モデルを共有したユーザーは次のことを行う必要があります。

    • あなたにモデルを復号することを許可する。この認可は、カスタマーマネージドキーの KMS キーポリシーで付与されます。詳細については、「AWS KMS キーポリシーステートメント」を参照してください。

    • カスタマーマネージドキーの ARN を提供する。この ARN は、IAM サービスロールを作成するときに使用します。このロールは、モデルの暗号化に KMS キーを使用する許可を Amazon Comprehend に付与します。

必要なアクセス許可

カスタムモデルをインポートする前に、ユーザーまたは管理者が AWS Identity and Access Management (IAM) で必要なアクションを承認する必要があります。Amazon Comprehend ユーザーには、IAM ポリシーステートメントでのインポート権限が必要です。インポート中に暗号化または復号が必要な場合は、Amazon Comprehend に必要な AWS KMS キーを使用する権限が必要です。

次の例で示されているように、ユーザー、グループ、またはロールには ImportModel アクションを許可するポリシーが追加されている必要があります。

例カスタムモデルをインポートするための IAM ポリシー
{ 
  "Effect": "Allow",
  "Action": [
    "comprehend:ImportModel"
  ],
  "Resource": "arn:aws:comprehend:us-west-2:111122223333:document-classifier/foo/version/*"
}

IAM ポリシーの作成については、「IAM ユーザーガイド」の「IAM ポリシーの作成」を参照してください。IAM ポリシーのアタッチに関する詳細については、IAM ユーザーガイドの「IAM アイデンティティのアクセス許可の追加および削除」を参照してください。

カスタムモデルをインポートするときは、次のいずれかのケースで Amazon Comprehend に AWS KMS キーの使用を許可する必要があります。

  • カスタマーマネージドキーで暗号化されたカスタムモデルをインポートしています AWS KMS。この場合、Amazon Comprehend は KMS キーにアクセスして、インポート中にモデルを復号化する必要があります。

  • インポートによって作成された新しいカスタムモデルを暗号化し、カスタマーマネージドキーを使用する場合。この場合、できるように、インポート中にモデルを復号化Amazon Comprehend は KMS キーにアクセスする必要があります。

Amazon Comprehend にこれらの AWS KMS キーの使用を許可するには、IAM サービスロールを作成します。このタイプの IAM ロールにより、 AWS サービスはユーザーに代わって他の サービスのリソースにアクセスできます。サービスロールの詳細については、IAM ユーザーガイド「 AWS サービスにアクセス許可を委任するロールの作成」を参照してください。

Amazon Comprehend コンソールを使用してインポートする場合は、Amazon Comprehend に自動的にサービスロールを作成させることができます。それ以外の場合は、インポートする前に IAM でサービスロールを作成する必要があります。

次の例で示されているように、IAM サービスロールにはアクセス許可ポリシーと信頼ポリシーが必要です。

例アクセス許可ポリシー

次のアクセス許可ポリシーでは、Amazon Comprehend がカスタムモデルの暗号化と復号に使用する AWS KMS オペレーションを許可します。これにより 2 つの KMS キーへのアクセスが許可されます。

  • インポート AWS アカウント するモデルを含む に 1 つの KMS キーがあります。モデルの暗号化に使用され、Amazon Comprehend はインポート時にこれを使用してモデルを復号化します。

  • もう 1 つの KMS キーは、モデルをインポート AWS アカウント する にあります。Amazon Comprehend は、このキーを使用して、インポートによって作成された新しいカスタムモデルを暗号化します。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:CreateGrant"
        ],
        "Resource": [
            "arn:aws:kms:us-west-2:111122223333:key/key-id",
            "arn:aws:kms:us-west-2:444455556666:key/key-id"
        ]
    },
    {
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt",
            "kms:GenerateDatakey"
        ],
        "Resource": [
            "arn:aws:kms:us-west-2:111122223333:key/key-id",
            "arn:aws:kms:us-west-2:444455556666:key/key-id"
        ],
        "Condition": {
            "StringEquals": {
                "kms:ViaService": [
                    "s3.us-west-2.amazonaws.com"
                ]
            }
        }
    }
  ]
}
例信頼ポリシー

次の信頼ポリシーでは、ロールを引き受け、アクセス許可を取得することを Amazon Comprehend に許可します。comprehend.amazonaws.com サービスプリンシパルが sts:AssumeRole 操作を実行できることを許可します。混乱した代理の防止に役立つようにするには、1 つ以上のグローバル条件コンテキストキーを使用してアクセス許可の範囲を制限します。aws:SourceAccount には、モデルをインポートするユーザーのアカウント ID を指定します。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "comprehend.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "444455556666"  
        }
      }
    }
  ]
}

カスタムモデルのインポート

カスタムモデルは AWS マネジメントコンソール、、 AWS CLI、または Amazon Comprehend API を使用してインポートできます。

AWS マネジメントコンソールで Amazon Comprehend を使用できます。

カスタムモデルをインポートするには

  1. にサインイン AWS マネジメントコンソール し、https://console.aws.amazon.com/comprehend/ で Amazon Comprehend コンソールを開きます。

  2. 左側のナビゲーションメニューの [カスタマイズ] で、インポートするモデルのタイプに対応するページを選択します。

    1. カスタムドキュメント分類子を共有する場合は、[カスタム分類] を選択します。

    2. カスタムエンティティレコグナイザーをインポートする場合は、[カスタムエンティティ認識] を選択します。

  3. [バージョンをインポート] を選択します。

  4. [モデルバージョンをインポート] ページに、以下のように入力します。

    • [モデルバージョン ARN] — インポートするモデルバージョンの ARN。

    • [モデル名] — インポートによって作成される新しいモデルのカスタム名。

    • [バージョン名] — インポートによって作成される新しいモデルのカスタム名。

  5. [モデル暗号化] では、インポート時に作成する新しいカスタムモデルの暗号化に使用する KMS キーの種類を選択します。

    • AWS 所有キーの使用 – Amazon Comprehend は、ユーザーに代わって作成、管理、使用される AWS Key Management Service (AWS KMS) のキーを使用してモデルを暗号化します AWS。

    • 別の AWS KMS キーを選択する (アドバンスド) – Amazon Comprehend は、ユーザーが管理するカスタマーマネージドキーを使用してモデルを暗号化します AWS KMS。

      このオプションを選択した場合は、 にある KMS キーを選択するか AWS アカウント、キーの作成を選択して新しい AWS KMS キーを作成します。

  6. [サービスアクセス] セクションで、Amazon Comprehend に必要なすべての AWS KMS キーへのアクセス権を付与します。

    • インポートしたカスタムモデルを復号化します。

    • インポートで作成した新しいカスタムモデルを暗号化します。

    Amazon Comprehend が KMS キーを使用できるようにする IAM サービスロールを使用してアクセスを許可します。

    [サービスロール] で、次のいずれかの操作を行います。

    • 使用する既存のサービスロールがある場合は、[既存の IAM ロールを使用] を選択します。次に、[ロール名] でそのロールを選択します。

    • Amazon Comprehend に自動的にロールを作成してもらいたい場合は、[IAM ロール作成] を選択してください。

  7. ロールは Amazon Comprehend に作成するように選択した場合は、以下を実行します。

    1. [ロール名] には、後でそのロールを認識しやすいようにロール名のサフィックスを入力します。

    2. [ソース KMS キー ARN] には、インポートするモデルの暗号化に使用する KMS キーの ARN を入力します。Amazon Comprehend は、インポート時にこのキーを使用してモデルを復号化します。

  8. (オプション) [タグ] セクションでは、インポートして作成した新しいカスタムモデルにタグを追加できます。カスタムモデルのタグ付けの詳細については、「新しいリソースへのタグ付け」を参照してください。

  9. [確認] を選択します。

Amazon Comprehend を使用するには、 AWS CLIでコマンドを実行します。

例 Import-model コマンド

カスタムモデルをインポートするには、import-model コマンドを使用します。

$ aws comprehend import-model \
> --source-model arn:aws:comprehend:us-west-2:111122223333:document-classifier/foo/version/bar \
> --model-name importedDocumentClassifier \
> --version-name versionOne \
> --data-access-role-arn arn:aws:iam::444455556666:role/comprehendAccessRole \
> --model-kms-key-id kms-key-id

この例は以下のパラメータを使用します。

  • source-model — インポートするカスタムモデルの ARN。

  • model-name — インポートによって作成される新しいモデルのカスタム名。

  • version-name — インポートによって作成される新しいモデルバージョンのカスタム名。

  • data-access-role-arn – Amazon Comprehend がカスタムモデルの暗号化または復号に必要な AWS KMS キーを使用できるようにする IAM サービスロールの ARN。

  • model-kms-key-id — Amazon Comprehend がこのインポートで作成したカスタムモデルを暗号化するために使用する KMS キーの ARN または ID。このキーは、 AWS KMS の にある必要があります AWS アカウント。

Amazon Comprehend API を使用してカスタムモデルをインポートするには、ImportModel API アクションを使用してください。