本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 满足共享模型的先决条件
Amazon Bedrock 与 [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/) 和 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/) 服务连接,支持共享模型。在与其他账户共享模型之前,您必须满足以下先决条件:
## 使用模型共享者和 AWS Organizations 接收者创建组织并添加模型
要使一个账户与另一个账户共享模型,则这两个账户必须属于同一个组织, AWS Organizations 并且 AWS RAM 必须为该组织启用资源共享。要设置一个组织并邀请账户加入该组织,请执行以下操作:
1. AWS Organizations 按照《 AWS RAM 用户指南》 AWS RAM 中的 “[启用资源共享” 中的](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)步骤在 AWS Organizations中启用资源共享。
1. AWS Organizations 按照 AWS Organizations 用户指南中[创建组织中的步骤在中创建组织](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html)。
1. 按照 AWS Organizations 用户指南中邀请[加入您的组织中的步骤邀请](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)您想要与之共享模型的账号。 AWS 账户
1. 您向其发送邀请的账户的管理员必须按照[接受或拒绝来自组织的邀请](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html#orgs_manage_accounts_accept-decline-invite)中的步骤接受邀请。
## 将基于身份的策略添加到 IAM 角色以允许其共享模型
要使角色拥有共享模型的权限,它必须同时拥有对 Amazon Bedrock 和 AWS RAM 操作的权限。附加以下策略到角色:
1. 要为角色提供通过管理与其他账户共享模型的权限 AWS Resource Access Manager,请将以下基于身份的策略附加到该角色以提供最低权限:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ShareResources",
"Effect": "Allow",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare",
"ram:DeleteResourceShare",
"ram:AssociateResourceShare",
"ram:DisassociateResourceShare",
"ram:GetResourceShares"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/{{model-id}}"
]
}
]
}
```
------
{{${model-arn}}}替换为您要共享的模型的 Amazon 资源名称 (ARN)。根据需要将模型添加到 `Resource` 列表中。您可以查看该角色的[操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceaccessmanagerram.html), AWS Resource Access Manager并根据需要修改该角色可以执行的 AWS RAM 操作。
**注意**
您也可以将更宽松的[AWS ResourceManagerFullAccess 托管策略](https://docs.aws.amazon.com/ram/latest/userguide/security-iam-managed-policies.html#security-iam-managed-policies-AWSResourceAccessManagerFullAccess)附加到该角色。
1. 检查该角色是否已附加[AmazonBedrockFullAccess 策略](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)。如果不是,则还必须为角色附加以下策略,以允许其在必要时共享模型(替换{{${model-arn}}}):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ShareCustomModels",
"Effect": "Allow",
"Action": [
"bedrock:GetCustomModel",
"bedrock:ListCustomModels",
"bedrock:PutResourcePolicy",
"bedrock:GetResourcePolicy",
"bedrock:DeleteResourcePolicy"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{model-id}}"
]
}
]
}
```
------
## (可选)设置 KMS 密钥策略以加密模型并允许其被解密
**注意**
如果您共享的模型未使用客户管理的密钥进行加密,并且您不打算将其加密,请跳过此先决条件。
如果您需要在与其他账户共享模型之前,使用客户管理的密钥对模型进行加密,请按照[设置用于加密自定义模型的密钥权限](encryption-custom-job.md#encryption-cm)中的步骤,为将要用于加密模型的 KMS 密钥附加权限。
如果您与其他账户共享的模型使用客户管理的密钥进行了加密,请按照[设置用于复制自定义模型的密钥权限](encryption-custom-job.md#encryption-copy)中的步骤向加密该模型的 KMS 密钥附加权限,以允许接收者账户对其进行解密。