自訂模型匯入任務的 Amazon S3 儲存貯體跨帳戶存取權 - Amazon Bedrock
設定 Amazon S3 儲存貯體的跨帳戶存取權設定跨帳戶存取使用自訂加密的 Amazon S3 儲存貯體 AWS KMS key

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

自訂模型匯入任務的 Amazon S3 儲存貯體跨帳戶存取權

如果您要從 Amazon S3 儲存貯體匯入模型並使用跨帳戶 Amazon S3,則需要在匯入自訂模型之前,將存取儲存貯體的許可授予儲存貯體擁有者帳戶中的使用者。請參閱 匯入自訂模型的先決條件

設定 Amazon S3 儲存貯體的跨帳戶存取權

本節將逐步解說為儲存貯體擁有者帳戶中的使用者建立政策以存取 Amazon S3 儲存貯體的步驟。

  1. 在儲存貯體擁有者帳戶中,建立儲存貯體政策,為儲存貯體擁有者帳戶中的使用者提供存取權。

    下列s3://amzn-s3-demo-bucket由儲存貯體擁有者建立並套用至儲存貯體的範例儲存貯體政策會將存取權授予儲存貯體擁有者帳戶中的使用者 123456789123

    JSON
    { 
   "Version": "2012-10-17",
   "Statement": [
    {
        "Sid": "CrossAccountAccess",
        "Effect": "Allow",
        "Principal": {
           "AWS": "arn:aws::iam::123456789012:role/ImportRole"
          },           
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
        "arn:aws::s3:::amzn-s3-demo-bucket",
    "arn:aws::s3:::amzn-s3-demo-bucket/*"
        ]
     }
   ]
}

  2. 在使用者的 中 AWS 帳戶,建立匯入執行角色政策。對於aws:ResourceAccount指定儲存貯體擁有者的帳戶 ID AWS 帳戶。

    下列範例匯入執行角色政策位於使用者帳戶中,可讓儲存貯體擁有者的帳戶 ID 111222333444555存取 Amazon S3 儲存貯體 s3://amzn-s3-demo-bucket

    JSON
    { 
    "Version": "2012-10-17",
   "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
    }
  ]
}

設定跨帳戶存取使用自訂加密的 Amazon S3 儲存貯體 AWS KMS key

如果您有使用 custom AWS Key Management Service (AWS KMS) 金鑰加密的 Amazon S3 儲存貯體,則需要將存取權授予儲存貯體擁有者帳戶的使用者。

設定跨帳戶存取使用自訂加密的 Amazon S3 儲存貯體 AWS KMS key

  1. 在儲存貯體擁有者帳戶中,建立儲存貯體政策,為儲存貯體擁有者帳戶中的使用者提供存取權。

    下列s3://amzn-s3-demo-bucket由儲存貯體擁有者建立並套用至儲存貯體的範例儲存貯體政策會將存取權授予儲存貯體擁有者帳戶中的使用者 123456789123

    JSON
    { 
   "Version": "2012-10-17",
   "Statement": [
    {
        "Sid": "CrossAccountAccess",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::123456789012:role/ImportRole"
        },           
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ]
     }
   ]
}

  2. 在儲存貯體擁有者帳戶中,建立下列資源政策,以允許使用者的帳戶匯入角色解密。

    {
   "Sid": "Allow use of the key by the destination account",
   "Effect": "Allow",
   "Principal": {
   "AWS": "arn:aws:iam::"arn:aws:iam::123456789123:role/ImportRole"
    },
    "Action": [
          "kms:Decrypt",
          "kms:DescribeKey"
    ],
    "Resource": "*"
}

  3. 在使用者的 中 AWS 帳戶,建立匯入執行角色政策。對於aws:ResourceAccount指定儲存貯體擁有者的帳戶 ID AWS 帳戶。此外,提供用於加密儲存貯體 AWS KMS key 的 存取權。

    下列範例匯入執行角色政策在使用者帳戶中,提供儲存貯體擁有者對 Amazon S3 儲存貯體s3://amzn-s3-demo-bucket和 的帳戶 ID 111222333444555存取權 AWS KMS key arn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

    JSON
    { 
    "Version": "2012-10-17",
   "Statement": [
      {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
     },
     {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:123456789012:key/111aa2bb-333c-4d44-5555-a111bb2c33dd"
    }
  ]
 }