自訂模型匯入任務的 Amazon S3 儲存貯體跨帳戶存取權 - Amazon Bedrock
設定 Amazon S3 儲存貯體的跨帳戶存取權設定跨帳戶存取使用自訂加密的 Amazon S3 儲存貯體AWS KMS key

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

自訂模型匯入任務的 Amazon S3 儲存貯體跨帳戶存取權

如果您要從 Amazon S3 儲存貯體匯入模型並使用跨帳戶 Amazon S3,則需要在匯入自訂模型之前,將存取儲存貯體的許可授予儲存貯體擁有者帳戶中的使用者。請參閱 匯入自訂模型的先決條件

設定 Amazon S3 儲存貯體的跨帳戶存取權

本節將逐步解說步驟,說明如何為儲存貯體擁有者帳戶中的使用者建立政策以存取 Amazon S3 儲存貯體。

  1. 在儲存貯體擁有者帳戶中,建立儲存貯體政策,為儲存貯體擁有者帳戶中的使用者提供存取權。

    以下範例儲存貯體政策由儲存貯體擁有者建立並套用至 s3://amzn-s3-demo-bucket 儲存貯體,會將存取權授予儲存貯體擁有者帳戶 123456789123 中的使用者。

    JSON
    { 
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/ImportRole"
            },           
            "Action": [
                "s3:ListBucket",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

  2. 在使用者的 中AWS 帳戶,建立匯入執行角色政策。對於aws:ResourceAccount指定儲存貯體擁有者的帳戶 IDAWS 帳戶。

    下列範例匯入執行角色政策位於使用者帳戶中,可讓儲存貯體擁有者的帳戶 ID 111222333444555 存取 Amazon S3 儲存貯體 s3://amzn-s3-demo-bucket

    JSON
    { 
    "Version":"2012-10-17",		 	 	 
   "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
    }
  ]
}

設定跨帳戶存取使用自訂加密的 Amazon S3 儲存貯體AWS KMS key

如果您有使用 customAWS Key Management Service(AWS KMS) 金鑰加密的 Amazon S3 儲存貯體,您將需要從儲存貯體擁有者的帳戶授予使用者存取權。

設定跨帳戶存取使用自訂加密的 Amazon S3 儲存貯體AWS KMS key

  1. 在儲存貯體擁有者帳戶中,建立儲存貯體政策,為儲存貯體擁有者帳戶中的使用者提供存取權。

    以下範例儲存貯體政策由儲存貯體擁有者建立並套用至 s3://amzn-s3-demo-bucket 儲存貯體,會將存取權授予儲存貯體擁有者帳戶 123456789123 中的使用者。

    JSON
    { 
   "Version":"2012-10-17",		 	 	 
   "Statement": [
    {
        "Sid": "CrossAccountAccess",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::123456789012:role/ImportRole"
        },           
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ]
     }
   ]
}

  2. 在儲存貯體擁有者帳戶中,建立下列資源政策,以允許使用者的帳戶匯入角色進行解密。

    {
   "Sid": "Allow use of the key by the destination account",
   "Effect": "Allow",
   "Principal": {
   "AWS": "arn:aws:iam::"arn:aws:iam::123456789123:role/ImportRole"
    },
    "Action": [
          "kms:Decrypt",
          "kms:DescribeKey"
    ],
    "Resource": "*"
}

  3. 在使用者的 中AWS 帳戶,建立匯入執行角色政策。對於aws:ResourceAccount指定儲存貯體擁有者的帳戶 IDAWS 帳戶。此外,提供用於加密儲存貯體AWS KMS key的 存取權。

    使用者帳戶中的下列範例匯入執行角色政策,可讓儲存貯體擁有者的帳戶 ID 111222333444555存取 Amazon S3 儲存貯體s3://amzn-s3-demo-bucket和AWS KMS keyarn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

    JSON
    { 
    "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
     },
     {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:123456789012:key/111aa2bb-333c-4d44-5555-a111bb2c33dd"
    }
  ]
 }