As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Cross-account acesso ao bucket do Amazon S3 para trabalhos de importação de modelos personalizados
Se você estiver importando seu modelo de um bucket do Amazon S3 em Conta da AWS outro, precisará conceder permissões para acessar o bucket antes de importar seu modelo personalizado. Consulte [Pré-requisitos para importação de modelos personalizados](custom-model-import-prereq.md).
**nota**
Se o trabalho de importação do modelo personalizado foi enviado pelo console Amazon Bedrock, uma função de execução de importação padrão será criada automaticamente. Você deve editar a política padrão da função de execução de importação e substituir a ID da conta especificada pela `aws:ResourceAccount` Conta da AWS ID do proprietário do bucket.
## Configurar o acesso entre contas do bucket do Amazon S3
Siga estas etapas para configurar o acesso entre contas a um bucket do Amazon S3 para um trabalho de importação de modelo personalizado.
1. **Crie uma função de execução de importação** — Na conta do usuário Conta da AWS (a conta que executará o trabalho de importação), crie uma função do IAM que o Amazon Bedrock possa assumir. Para obter mais informações sobre a criação de uma função de serviço para importação de modelo personalizado, consulte[Pré-requisitos para importação de modelos personalizados](custom-model-import-prereq.md).
1. **Crie uma política de bucket** — Na conta do proprietário do bucket, crie uma política de bucket que conceda acesso à função de execução de importação na conta do usuário.
A política de bucket de exemplo a seguir, criada e aplicada ao bucket `s3://amzn-s3-demo-bucket` pelo proprietário do bucket, concede acesso a um usuário na conta `123456789123` do proprietário do bucket.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccountAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{123456789012}}:role/{{ImportRole}}"
},
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{amzn-s3-demo-bucket}}",
"arn:aws:s3:::{{amzn-s3-demo-bucket/*}}"
]
}
]
}
```
------
1. **Crie uma política de função de execução de importação** — na do usuário Conta da AWS, anexe uma política à função de execução de importação que permita acesso ao bucket entre contas. Para`aws:ResourceAccount`, especifique o ID da conta do proprietário do bucket Conta da AWS.
O exemplo a seguir da política de perfil de execução de importação na conta do usuário fornece ao ID `111222333444555` da conta do proprietário do bucket acesso ao bucket `s3://amzn-s3-demo-bucket` do Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"{{arn:aws:s3:::amzn-s3-demo-bucket}}",
"{{arn:aws:s3:::amzn-s3-demo-bucket/*}}"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{123456789012}}"
}
}
}
]
}
```
------
## Configure o acesso entre contas ao bucket do Amazon S3 criptografado com um pacote personalizado AWS KMS key
Se o bucket do Amazon S3 for criptografado com uma chave personalizada AWS Key Management Service (AWS KMS), você precisará executar etapas adicionais para conceder à função de execução de importação permissões para descriptografar a chave.
1. **Crie uma função de execução de importação** — Na função do usuário Conta da AWS, crie uma função do IAM que o Amazon Bedrock possa assumir. Para obter mais informações, consulte [Pré-requisitos para importação de modelos personalizados](custom-model-import-prereq.md).
1. **Crie uma política de bucket** — Na conta do proprietário do bucket, crie uma política de bucket que conceda acesso à função de execução de importação na conta do usuário.
A política de bucket de exemplo a seguir, criada e aplicada ao bucket `s3://amzn-s3-demo-bucket` pelo proprietário do bucket, concede acesso a um usuário na conta `123456789123` do proprietário do bucket.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccountAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{123456789012}}:role/{{ImportRole}}"
},
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"{{arn:aws:s3:::amzn-s3-demo-bucket}}",
"{{arn:aws:s3:::amzn-s3-demo-bucket}}/*"
]
}
]
}
```
------
1. **Atualize a política de AWS KMS chaves** — Na conta do proprietário do bucket, adicione a seguinte declaração à política de AWS KMS chaves para permitir que a função de execução de importação do usuário decodifique objetos.
```
{
"Sid": "Allow use of the key by the destination account",
"Effect": "Allow",
"Principal": {
"AWS": "{{arn:aws:iam::123456789123:role/ImportRole}}"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
}
```
1. **Crie uma política de função de execução de importação** — na do usuário Conta da AWS, anexe uma política à função de execução de importação que permita acesso ao bucket entre contas e à AWS KMS chave. Para`aws:ResourceAccount`, especifique o ID da conta do proprietário do bucket Conta da AWS.
O exemplo a seguir da política de função de execução de importação fornece acesso ao bucket Amazon S3 do proprietário do bucket `s3://amzn-s3-demo-bucket` na conta `111222333444555` e a. AWS KMS key `arn:aws:kms:{{us-west-2:123456789098}}:key/{{111aa2bb-333c-4d44-5555-a111bb2c33dd}}`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"{{arn:aws:s3:::amzn-s3-demo-bucket}}",
"{{arn:aws:s3:::amzn-s3-demo-bucket/*}}"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{123456789012}}"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:{{us-west-2}}:{{123456789012}}:key/{{111aa2bb-333c-4d44-5555-a111bb2c33dd}}"
}
]
}
```
------