View a markdown version of this page

사용자 지정 모델 가져오기 작업을 위한 Amazon S3 버킷에 대한 교차 계정 액세스 - Amazon Bedrock
Amazon S3 버킷에 대한 교차 계정 액세스 구성사용자 지정으로 암호화된 Amazon S3 버킷에 대한 교차 계정 액세스 구성 AWS KMS key

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용자 지정 모델 가져오기 작업을 위한 Amazon S3 버킷에 대한 교차 계정 액세스

다른의 Amazon S3 버킷에서 모델을 가져오는 경우 사용자 지정 모델을 가져오기 전에 버킷에 액세스할 수 있는 권한을 부여 AWS 계정해야 합니다. 사용자 지정 모델을 가져오기 위한 사전 조건을(를) 참조하세요.

참고

Amazon Bedrock 콘솔을 통해 사용자 지정 모델 가져오기 작업을 제출한 경우 기본 가져오기 실행 역할이 자동으로 생성됩니다. 기본 가져오기 실행 역할 정책을 편집하고에 지정된 계정 ID를 버킷 소유자의 AWS 계정 IDaws:ResourceAccount로 바꿔야 합니다.

Amazon S3 버킷에 대한 교차 계정 액세스 구성

다음 단계에 따라 사용자 지정 모델 가져오기 작업을 위해 Amazon S3 버킷에 대한 교차 계정 액세스를 구성합니다.

  1. 가져오기 실행 역할 생성 - 사용자 AWS 계정 (가져오기 작업을 실행할 계정)에서 Amazon Bedrock이 수임할 수 있는 IAM 역할을 생성합니다. 사용자 지정 모델 가져오기를 위한 서비스 역할 생성에 대한 자세한 내용은 섹션을 참조하세요사용자 지정 모델을 가져오기 위한 사전 조건.

  2. 버킷 정책 생성 - 버킷 소유자의 계정에서 사용자 계정의 가져오기 실행 역할에 대한 액세스 권한을 부여하는 버킷 정책을 생성합니다.

    버킷 소유자가 생성하여 버킷 s3://amzn-s3-demo-bucket에 적용한 다음 예제 버킷 정책은 버킷 사용자 계정 123456789123의 사용자에게 액세스 권한을 부여합니다.

    JSON
    { 
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "CrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/ImportRole"
            },           
            "Action": [
                "s3:ListBucket",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

  3. 가져오기 실행 역할 정책 생성 - 사용자의에서 크로스 계정 버킷에 대한 액세스를 허용하는 정책을 가져오기 실행 역할에 AWS 계정연결합니다. 에서 버킷 소유자의 계정 ID를 aws:ResourceAccount지정합니다 AWS 계정.

    사용자 계정의 다음 예제 가져오기 실행 역할 정책은 Amazon S3 버킷 s3://amzn-s3-demo-bucket에 대한 버킷 소유자의 계정 ID 111222333444555 액세스를 제공합니다.

    JSON
    { 
    "Version":"2012-10-17",
   "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
    }
  ]
}

사용자 지정으로 암호화된 Amazon S3 버킷에 대한 교차 계정 액세스 구성 AWS KMS key

Amazon S3 버킷이 사용자 지정 AWS Key Management Service (AWS KMS) 키로 암호화된 경우 추가 단계를 수행하여 가져오기 실행 역할에 키를 해독할 수 있는 권한을 부여해야 합니다.

  1. 가져오기 실행 역할 생성 - 사용자의에서 Amazon Bedrock이 수임할 수 있는 IAM 역할을 AWS 계정생성합니다. 자세한 내용은 사용자 지정 모델을 가져오기 위한 사전 조건 단원을 참조하십시오.

  2. 버킷 정책 생성 - 버킷 소유자의 계정에서 사용자 계정의 가져오기 실행 역할에 대한 액세스 권한을 부여하는 버킷 정책을 생성합니다.

    버킷 소유자가 생성하여 버킷 s3://amzn-s3-demo-bucket에 적용한 다음 예제 버킷 정책은 버킷 사용자 계정 123456789123의 사용자에게 액세스 권한을 부여합니다.

    JSON
    { 
   "Version":"2012-10-17",
   "Statement": [
    {
        "Sid": "CrossAccountAccess",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::123456789012:role/ImportRole"
        },           
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ]
     }
   ]
}

  3. AWS KMS 키 정책 업데이트 - 버킷 소유자의 계정에서 AWS KMS 키 정책에 다음 문을 추가하여 사용자의 가져오기 실행 역할이 객체를 복호화할 수 있도록 합니다.

    {
    "Sid": "Allow use of the key by the destination account",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::123456789123:role/ImportRole"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

  4. 가져오기 실행 역할 정책 생성 - 사용자의에서 크로스 계정 버킷 및 AWS KMS 키에 대한 액세스를 허용하는 정책을 가져오기 실행 역할에 AWS 계정연결합니다. 에서 버킷 소유자의 계정 ID를 aws:ResourceAccount지정합니다 AWS 계정.

    다음 예제 가져오기 실행 역할 정책은 계정 111222333444555 및에서 버킷 소유자의 Amazon S3 버킷s3://amzn-s3-demo-bucket에 대한 액세스를 제공합니다 AWS KMS key arn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd.

    JSON
    { 
    "Version":"2012-10-17",
   "Statement": [
      {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
     },
     {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:123456789012:key/111aa2bb-333c-4d44-5555-a111bb2c33dd"
    }
  ]
 }