用于自定义模型导入作业的 Amazon S3 存储桶跨账户访问 - Amazon Bedrock
配置对 Amazon S3 存储桶的跨账户访问配置对使用自定义加密的 Amazon S3 存储桶的跨账户访问权限 AWS KMS key

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

用于自定义模型导入作业的 Amazon S3 存储桶跨账户访问

如果您要从 Amazon S3 存储桶导入模型并使用跨账户 Amazon S3,则需要先向存储桶拥有者账户中的用户授予权限来访问存储桶,然后才能导入自定义模型。请参阅导入自定义模型的先决条件

配置对 Amazon S3 存储桶的跨账户访问

本部分将引导您完成创建策略的步骤,供存储桶拥有者账户中的用户访问 Amazon S3 存储桶。

  1. 在存储桶拥有者账户中,创建存储桶策略,向存储桶拥有者账户中的用户提供访问权限。

    以下示例存储桶策略(由存储桶拥有者创建并应用到存储桶 s3://amzn-s3-demo-bucket)向存储桶拥有者账户 123456789123 中的用户授予访问权限。

    JSON
    { 
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/ImportRole"
            },           
            "Action": [
                "s3:ListBucket",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

  2. 在用户的AWS 账户,创建导入执行角色策略。为aws:ResourceAccount此,请指定存储桶所有者的账户 ID AWS 账户。

    用户账户中的以下示例导入执行角色策略,向存储桶拥有者的账户 ID 111222333444555 提供对 Amazon S3 存储桶 s3://amzn-s3-demo-bucket 的访问权限。

    JSON
    { 
    "Version":"2012-10-17",		 	 	 
   "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
    }
  ]
}

配置对使用自定义加密的 Amazon S3 存储桶的跨账户访问权限 AWS KMS key

如果您有一个使用自定义 AWS Key Management Service (AWS KMS) 密钥加密的 Amazon S3 存储桶,则需要向存储桶拥有者账户的用户授予访问该存储桶的权限。

配置对使用自定义加密的 Amazon S3 存储桶的跨账户访问权限 AWS KMS key

  1. 在存储桶拥有者账户中,创建存储桶策略,向存储桶拥有者账户中的用户提供访问权限。

    以下示例存储桶策略(由存储桶拥有者创建并应用到存储桶 s3://amzn-s3-demo-bucket)向存储桶拥有者账户 123456789123 中的用户授予访问权限。

    JSON
    { 
   "Version":"2012-10-17",		 	 	 
   "Statement": [
    {
        "Sid": "CrossAccountAccess",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::123456789012:role/ImportRole"
        },           
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ]
     }
   ]
}

  2. 在存储桶拥有者账户中,创建以下资源策略以允许用户的账户导入角色进行解密。

    {
   "Sid": "Allow use of the key by the destination account",
   "Effect": "Allow",
   "Principal": {
   "AWS": "arn:aws:iam::"arn:aws:iam::123456789123:role/ImportRole"
    },
    "Action": [
          "kms:Decrypt",
          "kms:DescribeKey"
    ],
    "Resource": "*"
}

  3. 在用户的AWS 账户,创建导入执行角色策略。为aws:ResourceAccount此,请指定存储桶所有者的账户 ID AWS 账户。此外,还要提供AWS KMS key对用于加密存储桶的的访问权限。

    以下示例用户账户中的导入执行角色策略为存储桶拥有者的账户 ID 提供了对 Amazon S3 存储桶的111222333444555访问权限s3://amzn-s3-demo-bucket以及 AWS KMS key arn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

    JSON
    { 
    "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
     },
     {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:123456789012:key/111aa2bb-333c-4d44-5555-a111bb2c33dd"
    }
  ]
 }