View a markdown version of this page

Cross-account acesso ao bucket do Amazon S3 para trabalhos de importação de modelos personalizados - Amazon Bedrock
Configurar o acesso entre contas do bucket do Amazon S3Configure o acesso entre contas ao bucket do Amazon S3 criptografado com um pacote personalizado AWS KMS key

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Cross-account acesso ao bucket do Amazon S3 para trabalhos de importação de modelos personalizados

Se você estiver importando seu modelo de um bucket do Amazon S3 em Conta da AWS outro, precisará conceder permissões para acessar o bucket antes de importar seu modelo personalizado. Consulte Pré-requisitos para importação de modelos personalizados.

nota

Se o trabalho de importação do modelo personalizado foi enviado pelo console Amazon Bedrock, uma função de execução de importação padrão será criada automaticamente. Você deve editar a política padrão da função de execução de importação e substituir a ID da conta especificada pela aws:ResourceAccount Conta da AWS ID do proprietário do bucket.

Configurar o acesso entre contas do bucket do Amazon S3

Siga estas etapas para configurar o acesso entre contas a um bucket do Amazon S3 para um trabalho de importação de modelo personalizado.

  1. Crie uma função de execução de importação — Na conta do usuário Conta da AWS (a conta que executará o trabalho de importação), crie uma função do IAM que o Amazon Bedrock possa assumir. Para obter mais informações sobre a criação de uma função de serviço para importação de modelo personalizado, consultePré-requisitos para importação de modelos personalizados.

  2. Crie uma política de bucket — Na conta do proprietário do bucket, crie uma política de bucket que conceda acesso à função de execução de importação na conta do usuário.

    A política de bucket de exemplo a seguir, criada e aplicada ao bucket s3://amzn-s3-demo-bucket pelo proprietário do bucket, concede acesso a um usuário na conta 123456789123 do proprietário do bucket.

    JSON
    { 
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "CrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/ImportRole"
            },           
            "Action": [
                "s3:ListBucket",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

  3. Crie uma política de função de execução de importação — na do usuário Conta da AWS, anexe uma política à função de execução de importação que permita acesso ao bucket entre contas. Paraaws:ResourceAccount, especifique o ID da conta do proprietário do bucket Conta da AWS.

    O exemplo a seguir da política de perfil de execução de importação na conta do usuário fornece ao ID 111222333444555 da conta do proprietário do bucket acesso ao bucket s3://amzn-s3-demo-bucket do Amazon S3.

    JSON
    { 
    "Version":"2012-10-17",
   "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
    }
  ]
}

Configure o acesso entre contas ao bucket do Amazon S3 criptografado com um pacote personalizado AWS KMS key

Se o bucket do Amazon S3 for criptografado com uma chave personalizada AWS Key Management Service (AWS KMS), você precisará executar etapas adicionais para conceder à função de execução de importação permissões para descriptografar a chave.

  1. Crie uma função de execução de importação — Na função do usuário Conta da AWS, crie uma função do IAM que o Amazon Bedrock possa assumir. Para obter mais informações, consulte Pré-requisitos para importação de modelos personalizados.

  2. Crie uma política de bucket — Na conta do proprietário do bucket, crie uma política de bucket que conceda acesso à função de execução de importação na conta do usuário.

    A política de bucket de exemplo a seguir, criada e aplicada ao bucket s3://amzn-s3-demo-bucket pelo proprietário do bucket, concede acesso a um usuário na conta 123456789123 do proprietário do bucket.

    JSON
    { 
   "Version":"2012-10-17",
   "Statement": [
    {
        "Sid": "CrossAccountAccess",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::123456789012:role/ImportRole"
        },           
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ]
     }
   ]
}

  3. Atualize a política de AWS KMS chaves — Na conta do proprietário do bucket, adicione a seguinte declaração à política de AWS KMS chaves para permitir que a função de execução de importação do usuário decodifique objetos.

    {
    "Sid": "Allow use of the key by the destination account",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::123456789123:role/ImportRole"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

  4. Crie uma política de função de execução de importação — na do usuário Conta da AWS, anexe uma política à função de execução de importação que permita acesso ao bucket entre contas e à AWS KMS chave. Paraaws:ResourceAccount, especifique o ID da conta do proprietário do bucket Conta da AWS.

    O exemplo a seguir da política de função de execução de importação fornece acesso ao bucket Amazon S3 do proprietário do bucket s3://amzn-s3-demo-bucket na conta 111222333444555 e a. AWS KMS key arn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

    JSON
    { 
    "Version":"2012-10-17",
   "Statement": [
      {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
     },
     {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:123456789012:key/111aa2bb-333c-4d44-5555-a111bb2c33dd"
    }
  ]
 }