Acesso entre contas ao bucket do Amazon S3 para trabalhos de importação de modelos personalizados - Amazon Bedrock
Configurar o acesso entre contas do bucket do Amazon S3Configure o acesso entre contas ao bucket do Amazon S3 criptografado com um pacote personalizado AWS KMS key

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Acesso entre contas ao bucket do Amazon S3 para trabalhos de importação de modelos personalizados

Se estiver importando o modelo do bucket do Amazon S3 e usando várias contas do Amazon S3, você precisará conceder permissões aos usuários na conta do proprietário do bucket para acessar o bucket antes de importar o modelo personalizado. Consulte Pré-requisitos para importação de modelos personalizados.

Configurar o acesso entre contas do bucket do Amazon S3

Esta seção mostra as etapas de criação de políticas para que os usuários na conta do proprietário do bucket acessem o bucket do Amazon S3.

  1. Na conta do proprietário do bucket, crie uma política de bucket que forneça acesso aos usuários na conta do proprietário do bucket.

    A política de bucket de exemplo a seguir, criada e aplicada ao bucket s3://amzn-s3-demo-bucket pelo proprietário do bucket, concede acesso a um usuário na conta 123456789123 do proprietário do bucket.

    JSON
    { 
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/ImportRole"
            },           
            "Action": [
                "s3:ListBucket",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

  2. Na política do usuárioConta da AWS, crie uma política de função de execução de importação. Para aws:ResourceAccount especificar o ID da conta do proprietário do bucketConta da AWS.

    O exemplo a seguir da política de perfil de execução de importação na conta do usuário fornece ao ID 111222333444555 da conta do proprietário do bucket acesso ao bucket s3://amzn-s3-demo-bucket do Amazon S3.

    JSON
    { 
    "Version":"2012-10-17",		 	 	 
   "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
    }
  ]
}

Configure o acesso entre contas ao bucket do Amazon S3 criptografado com um pacote personalizado AWS KMS key

Se você tiver um bucket do Amazon S3 criptografado com uma chave personalizada AWS Key Management Service (AWS KMS), precisará conceder acesso a ele aos usuários da conta do proprietário do bucket.

Para configurar o acesso entre contas ao bucket Amazon S3 criptografado com um bucket personalizado AWS KMS key

  1. Na conta do proprietário do bucket, crie uma política de bucket que forneça acesso aos usuários na conta do proprietário do bucket.

    A política de bucket de exemplo a seguir, criada e aplicada ao bucket s3://amzn-s3-demo-bucket pelo proprietário do bucket, concede acesso a um usuário na conta 123456789123 do proprietário do bucket.

    JSON
    { 
   "Version":"2012-10-17",		 	 	 
   "Statement": [
    {
        "Sid": "CrossAccountAccess",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::123456789012:role/ImportRole"
        },           
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ]
     }
   ]
}

  2. Na conta do proprietário do bucket, crie a política de recursos a seguir para permitir que o perfil de importação da conta do usuário seja descriptografado.

    {
   "Sid": "Allow use of the key by the destination account",
   "Effect": "Allow",
   "Principal": {
   "AWS": "arn:aws:iam::"arn:aws:iam::123456789123:role/ImportRole"
    },
    "Action": [
          "kms:Decrypt",
          "kms:DescribeKey"
    ],
    "Resource": "*"
}

  3. Na política do usuárioConta da AWS, crie uma política de função de execução de importação. Para aws:ResourceAccount especificar o ID da conta do proprietário do bucketConta da AWS. Além disso, forneça acesso ao AWS KMS key que é usado para criptografar o bucket.

    O exemplo a seguir: política de função de execução de importação na conta do usuário fornece ao ID da conta do proprietário do bucket 111222333444555 acesso ao bucket s3://amzn-s3-demo-bucket do Amazon S3 e ao AWS KMS key arn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

    JSON
    { 
    "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
     },
     {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:123456789012:key/111aa2bb-333c-4d44-5555-a111bb2c33dd"
    }
  ]
 }