As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Compartilhando um modelo personalizado com outro Conta da AWS
Com o Amazon Comprehend, você pode compartilhar seus modelos personalizados com outras pessoas, permitindo que elas importem seus modelos para as contas da AWS delas. Quando um usuário importa um de seus modelos personalizados, ele cria um novo modelo personalizado na conta dele. O novo modelo do usuário duplica o modelo que você compartilhou.
Para compartilhar um modelo personalizado, você anexa uma política que autorize outras pessoas a importá-lo. Em seguida, você fornece os detalhes necessários a esses usuários.
**nota**
Quando outros usuários importam um modelo personalizado que você compartilhou, eles devem usar o mesmo Região da AWS — por exemplo, Leste dos EUA (Norte da Virgínia) — que contém seu modelo.
**Topics**
+ [Antes de começar](#custom-copy-sharing-prerequisites)
+ [Resource-based políticas para modelos personalizados](#custom-copy-sharing-example-policy)
+ [Etapa 1: incluir uma política baseada em recursos em um modelo personalizado](#custom-copy-sharing-adding-policy)
+ [Etapa 2: fornecer os detalhes que outras pessoas precisam importar](#custom-copy-sharing-details)
## Antes de começar
Antes de compartilhar um modelo, você deve ter um classificador personalizado treinado ou um reconhecedor personalizado de entidade principal no Amazon Comprehend em sua Conta da AWS. Para mais informações sobre o treinamento de modelos personalizados, consulte [Classificação personalizada](how-document-classification.md) ou [Reconhecimento de entidade personalizado](custom-entity-recognition.md).
### Permissões obrigatórias
#### Declaração de política do IAM
Antes que seja possível adicionar uma política baseada em recursos a um modelo personalizado, você precisa de permissões no AWS Identity and Access Management (IAM). Seu usuário, grupo ou perfil deve ter uma política anexada para que você possa criar, obter e excluir políticas de modelo, conforme apresentado no exemplo a seguir.
**Example Política do IAM para gerenciar políticas baseadas em recursos para modelos personalizados**
```
{
"Effect": "Allow",
"Action": [
"comprehend:PutResourcePolicy",
"comprehend:DeleteResourcePolicy",
"comprehend:DescribeResourcePolicy"
],
"Resource": "arn:aws:comprehend:{{us-west-2:111122223333}}:document-classifier/{{foo}}/version/*"
}
```
Para obter mais informações sobre como criar uma política do IAM, consulte [Criar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do usuário do IAM*. Para obter informações sobre como anexar a política do IAM, consulte [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) no *Guia do usuário do IAM*.
#### AWS KMS declaração de política chave
Se você estiver compartilhando um modelo criptografado, talvez seja necessário adicionar permissões para AWS KMS o. Esse requisito dependerá do tipo de chave do KMS que você usa para criptografar o modelo no Amazon Comprehend.
An pertence e **Chave pertencente à AWS**é gerenciado por um AWS serviço. Se você usa um Chave pertencente à AWS, não precisa adicionar permissões para AWS KMS, e você pode pular esta seção.
Uma **Chave gerenciada pelo cliente** é uma chave que você cria, possui e gerencia na sua Conta da AWS. Se usar uma chave gerenciada pelo cliente, você deverá adicionar uma instrução à sua política de chave do KMS.
A declaração de política autoriza uma ou mais entidades (como usuários ou contas) a realizar as AWS KMS operações necessárias para descriptografar o modelo.
Você usa chaves de condição para ajudar a evitar o problema “confused deputy”. Para obter mais informações, consulte [Cross-service prevenção delegada confusa](cross-service-confused-deputy-prevention.md).
Use as seguintes chaves de condição na política para validar as entidades principais que acessam sua chave do KMS. Quando um usuário importa o modelo, AWS KMS verifica se o ARN da versão do modelo de origem corresponde à condição. Se você não incluir uma condição na política, as entidades principais especificadas poderão usar sua chave do KMS para descriptografar qualquer versão do modelo:
+ [aws: SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) — Use essa chave de condição com `kms:GenerateDataKey` as `kms:Decrypt` ações e.
+ [kms: EncryptionContext](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-encryption-context) — Use essa chave de condição com as `kms:CreateGrant` ações `kms:GenerateDataKey``kms:Decrypt`, e.
No exemplo a seguir, a política Conta da AWS `444455556666` autoriza o uso da versão 1 do modelo de classificador especificado de propriedade da. Conta da AWS `111122223333`
**Example Política de chaves do KMS para acessar uma versão específica do modelo de classificador**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS":
"arn:aws:iam::{{444455556666}}:root"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceArn":
"arn:aws:comprehend:{{us-west-2:111122223333}}:document-classifier/{{classifierName}}/version/{{1}}"
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{444455556666}}:root"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:comprehend:arn":
"arn:aws:comprehend:{{us-west-2:111122223333}}:document-classifier/{{classifierName}}/version/{{1}}"
}
}
}
]
}
```
O exemplo de política a seguir autoriza o usuário **ExampleUser **ExampleRole****de Conta da AWS `444455556666` e Conta da AWS `123456789012` para acessar essa chave KMS por meio do serviço Amazon Comprehend.
**Example Política de chaves do KMS para permitir o acesso ao serviço Amazon Comprehend (alternativa 1).**
O exemplo de política a seguir Conta da AWS `444455556666` autoriza o acesso a essa chave KMS por meio do serviço Amazon Comprehend, usando uma sintaxe alternativa ao exemplo anterior.
**Example Política de chaves do KMS para permitir o acesso ao serviço Amazon Comprehend (alternativa 2).**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{444455556666}}:root"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:comprehend:arn": "arn:aws:comprehend:*"
}
}
}
]
}
```
Para saber mais, consulte [Políticas de chaves no AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) no *Guia do desenvolvedor do AWS Key Management Service *.
## Resource-based políticas para modelos personalizados
Antes que um usuário do Amazon Comprehend em Conta da AWS outro possa importar um modelo personalizado da AWS sua conta, você deve autorizá-lo a fazer isso. Para autorizá-los, adicione uma *política baseada em recursos* à versão do modelo que deseja compartilhar. Uma política baseada em recursos é uma política do IAM que você anexa a um recurso na AWS.
Quando você anexa uma política de recursos a uma versão de modelo personalizado, a política autoriza usuários, grupos ou funções a executar a ação `comprehend:ImportModel` na versão do modelo.
**Example Resource-based política para uma versão de modelo personalizada**
Este exemplo especifica as entidades autorizadas no atributo `Principal`. O recurso “\*” se refere à versão específica do modelo à qual você anexa a política.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "comprehend:ImportModel",
"Resource": "*",
"Principal": {
"AWS": [
"arn:aws:iam::{{111122223333:root}}",
"arn:aws:iam::{{444455556666}}:user/{{ExampleUser}}",
"arn:aws:iam::{{123456789012}}:role/{{ExampleRole}}"
]
}
}
]
}
```
Para políticas que você anexa a modelos personalizados, `comprehend:ImportModel` é a única ação que o Amazon Comprehend suporta.
*Para obter mais informações sobre políticas baseadas em recursos, consulte políticas [e Identity-based políticas baseadas em recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) no Guia do usuário do IAM.*
## Etapa 1: incluir uma política baseada em recursos em um modelo personalizado
Você pode adicionar uma política baseada em recursos usando a Console de gerenciamento da AWS, AWS CLI, ou a API Amazon Comprehend.
### Console de gerenciamento da AWS
Você pode usar o Amazon Comprehend no Console de gerenciamento da AWS.
**Para adicionar uma política baseada em recurso**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon Comprehend em [https://console.aws.amazon.com/comprehend/](https://console.aws.amazon.com/comprehend/)
1. No menu de navegação à esquerda, em **Personalização**, escolha a página que contém seu modelo personalizado:
1. Se você estiver compartilhando um classificador personalizado de documento, escolha **Classificação personalizada**.
1. Se você estiver compartilhando um reconhecedor personalizado de entidade, escolha **Reconhecimento personalizado de entidade**.
1. Na lista de modelos, escolha o nome do modelo para exibir sua página de detalhes.
1. Em **Versões**, escolha o nome da versão do modelo que deseja compartilhar.
1. Na página de detalhes da versão, escolha a guia **Tags, VPC e política**.
1. Na seção **Resource-based de política**, escolha **Editar**.
1. Na página **Editar página de política baseada em recursos**, faça o seguinte:
1. Em **Nome da política**, insira um nome que ajude a reconhecer a política após criá-la.
1. Em **Autorizar**, especifique uma ou mais das seguintes entidades para autorizá-las a importar seu modelo:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/comprehend/latest/dg/custom-copy-sharing.html)
1. Em **Compartilhar**, você pode copiar o ARN da versão do modelo para ajudar no compartilhamento com a pessoa que importará seu modelo. Quando alguém importa um modelo personalizado de outro Conta da AWS, a versão ARN do modelo é necessária.
1. Escolha **Salvar**. O Amazon Comprehend cria sua política baseada em recursos e a anexa ao seu modelo.
### AWS CLI
Para adicionar uma política baseada em recursos a um modelo personalizado com o AWS CLI, use o [PutResourcePolicy](https://docs.aws.amazon.com/comprehend/latest/dg/API_PutResourcePolicy.html)comando. O comando usa os seguintes parâmetros:
+ `resource-arn`: o ARN do modelo personalizado, incluindo a versão do modelo.
+ `resource-policy`: um arquivo JSON que define a política baseada em recursos a ser anexada ao seu modelo personalizado.
Você também pode fornecer a política como uma string JSON em linha. Para fornecer JSON válido para sua política, coloque os nomes e valores dos atributos entre aspas duplas. Se o corpo do JSON também estiver entre aspas duplas, você fará o escape das aspas duplas que estão dentro da política.
+ `policy-revision-id`: o ID de revisão que o Amazon Comprehend atribuiu à política que você está atualizando. Se você estiver criando uma nova política que não tenha uma versão anterior, não use esse parâmetro. O Amazon Comprehend cria o ID de revisão para você.
**Example Adicionar uma política baseada em recursos a um modelo personalizado usando o comando `put-resource-policy`**
Este exemplo define uma política em um arquivo JSON chamado **policy File.json** e associa a política a um modelo. O modelo é a versão **v2** de um classificador chamado **mycf1**.
```
$ aws comprehend put-resource-policy \
> --resource-arn {{arn:aws:comprehend:us-west-2:111122223333:document-classifier/mycf1/version/v2}} \
> --resource-policy file://{{policyFile.json}} \
> --policy-revision-id {{revision-id}}
```
O arquivo JSON da política de recursos contém o seguinte conteúdo:
+ *Ação*: a política autoriza o uso de `comprehend:ImportModel` pelas entidades principais nomeadas.
+ *Recurso*: o ARN do modelo personalizado. O recurso “\*” se refere à versão do modelo que você especifica no comando `put-resource-policy`.
+ *Principal* — A política autoriza o usuário de Conta da AWS 444455556666 e todos os usuários `jane` de 123456789012. Conta da AWS
****
```
{
"Version":"2012-10-17",
"Statement":[
{"Sid":"ResourcePolicyForImportModel",
"Effect":"Allow",
"Action":["comprehend:ImportModel"],
"Resource":"*",
"Principal":
{"AWS":
["arn:aws:iam::444455556666:user/jane",
"123456789012"]
}
}
]
}
```
### API Amazon Comprehend
Para adicionar uma política baseada em recursos a um modelo personalizado usando a API Amazon Comprehend, use a operação da API. [PutResourcePolicy](https://docs.aws.amazon.com/comprehend/latest/dg/API_PutResourcePolicy.html)
Você também pode adicionar uma política a um modelo personalizado na solicitação de API que cria o modelo. Para fazer isso, forneça a política JSON para o ModelPolicy parâmetro ao enviar uma [CreateEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/dg/API_CreateEntityRecognizer.html)solicitação [CreateDocumentClassifier](https://docs.aws.amazon.com/comprehend/latest/dg/API_CreateDocumentClassifier.html)or.
## Etapa 2: fornecer os detalhes que outras pessoas precisam importar
Agora que você adicionou a política baseada em recursos ao seu modelo personalizado, você autorizou outros usuários do Amazon Comprehend a importar seu modelo para as Contas da AWS deles. No entanto, você deve fornecer os seguintes detalhes antes que eles possam importar:
+ O nome do recurso da Amazon (ARN) da versão do modelo.
+ A Região da AWS que contém o modelo. Qualquer pessoa que importe seu modelo deverá usar a mesma Região da AWS .
+ Se o modelo é criptografado e, em caso afirmativo, o tipo de AWS KMS chave que você usa: Chave pertencente à AWS ou chave gerenciada pelo cliente.
+ Se seu modelo for criptografado com uma chave gerenciada pelo cliente, será necessário fornecer o ARN da chave do KMS. Qualquer pessoa que importe seu modelo deverá incluir o ARN em um perfil de serviço do IAM em sua Conta da AWS. Esse perfil autoriza o Amazon Comprehend a usar a chave do KMS para descriptografar o modelo durante a importação.
Para obter mais informações sobre como outros usuários importam seu modelo, consulte [Importando um modelo personalizado de outro Conta da AWS](custom-copy-importing.md).