本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 從另一個 匯入自訂模型 AWS 帳戶
在 Amazon Comprehend 中,您可以匯入另一個 中的自訂模型 AWS 帳戶。當您匯入模型時,您會在帳戶中建立新的自訂模型。您的新自訂模型是您所匯入模型的完整訓練複本。
**Topics**
+ [開始之前](#custom-copy-importing-prerequisites)
+ [匯入自訂模型](#custom-copy-importing-procedure)
## 開始之前
在您從另一個 匯入自訂模型之前 AWS 帳戶,請確定與您共用模型的人員執行下列動作:
+ 授權您執行匯入。此授權會在連接至模型版本的以資源為基礎的政策中授予。如需詳細資訊,請參閱[自訂模型的資源型政策](custom-copy-sharing.md#custom-copy-sharing-example-policy)。
+ 為您提供下列資訊:
+ 模型版本的 Amazon Resource Name (ARN)。
+ 包含模型的 AWS 區域 。匯入 AWS 區域 時,您必須使用相同的 。
+ 模型是否使用 AWS KMS 金鑰加密,如果是,則為使用的金鑰類型。
如果模型已加密,您可能需要採取其他步驟,取決於使用的 KMS 金鑰類型:
+ **AWS 擁有的金鑰** – 此類型的 KMS 金鑰由 擁有和管理 AWS。如果模型使用 加密 AWS 擁有的金鑰,則不需要其他步驟。
+ **客戶受管金鑰** – 這類 KMS 金鑰是由 AWS 客戶在其 中建立、擁有和管理 AWS 帳戶。如果模型使用客戶受管金鑰加密,則共用模型的人員必須:
+ 授權您解密模型。此授權會在客戶受管金鑰的 KMS 金鑰政策中授予。如需詳細資訊,請參閱[AWS KMS 金鑰政策陳述式](custom-copy-sharing.md#custom-copy-sharing-prerequisites-permissions-kms)。
+ 提供客戶受管金鑰的 ARN。您在建立 IAM 服務角色時使用此 ARN。此角色授權 Amazon Comprehend 使用 KMS 金鑰來解密模型。
### 所需的許可
您或您的管理員必須先在 AWS Identity and Access Management (IAM) 中授權必要的動作,才能匯入自訂模型。身為 Amazon Comprehend 使用者,您必須獲得 IAM 政策陳述式的匯入授權。如果在匯入期間需要加密或解密,則必須授權 Amazon Comprehend 使用必要的 AWS KMS 金鑰。
### IAM 政策陳述式
您的使用者、群組或角色必須連接允許 `ImportModel`動作的政策,如下列範例所示。
**Example 匯入自訂模型的 IAM 政策**
```
{
"Effect": "Allow",
"Action": [
"comprehend:ImportModel"
],
"Resource": "arn:aws:comprehend:us-west-2:111122223333:document-classifier/foo/version/*"
}
```
如需建立 IAM 政策的相關資訊,請參閱《[IAM 使用者指南》中的建立 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。 **如需有關連接 IAM 政策的資訊,請參閱《[IAM 使用者指南》中的新增和移除 IAM 身分許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。 **
### 用於 AWS KMS 加密的 IAM 服務角色
匯入自訂模型時,您必須授權 Amazon Comprehend 在下列任一情況下使用 AWS KMS 金鑰:
+ 您正在匯入使用客戶受管金鑰加密的自訂模型 AWS KMS。在此情況下,Amazon Comprehend 需要存取 KMS 金鑰,以便在匯入期間解密模型。
+ 您想要加密透過匯入建立的新自訂模型,並且想要使用客戶受管金鑰。在此情況下,Amazon Comprehend 需要存取您的 KMS 金鑰,才能加密新模型。
若要授權 Amazon Comprehend 使用這些 AWS KMS 金鑰,您可以建立 *IAM 服務角色*。這種類型的 IAM 角色允許 AWS 服務代表您存取其他 服務中的資源。如需服務角色的詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以將許可委派給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
如果您使用 Amazon Comprehend 主控台匯入,您可以讓 Amazon Comprehend 為您建立服務角色。否則,您必須在 IAM 中建立服務角色,才能匯入。
IAM 服務角色必須具有許可政策和信任政策,如下列範例所示。
**Example 許可政策**
下列許可政策允許 Amazon Comprehend 用來加密和解密自訂模型 AWS KMS 的操作。它授予對兩個 KMS 金鑰的存取權:
+ 一個 KMS 金鑰位於 中 AWS 帳戶 ,其中包含要匯入的模型。它用於加密模型,Amazon Comprehend 會在匯入期間使用它來解密模型。
+ 另一個 KMS 金鑰位於 AWS 帳戶 匯入模型的 中。Amazon Comprehend 使用此金鑰來加密匯入所建立的新自訂模型。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
],
"Resource": [
"arn:aws:kms:us-west-2:111122223333:key/key-id",
"arn:aws:kms:us-west-2:444455556666:key/key-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDatakey"
],
"Resource": [
"arn:aws:kms:us-west-2:111122223333:key/key-id",
"arn:aws:kms:us-west-2:444455556666:key/key-id"
],
"Condition": {
"StringEquals": {
"kms:ViaService": [
"s3.us-west-2.amazonaws.com"
]
}
}
}
]
}
```
**Example 信任政策**
下列信任政策允許 Amazon Comprehend 擔任該角色並取得其許可。它可讓`comprehend.amazonaws.com`服務主體執行 `sts:AssumeRole`操作。為了協助[預防混淆代理人](cross-service-confused-deputy-prevention.md),您可以使用一或多個全域條件內容索引鍵來限制許可的範圍。針對 `aws:SourceAccount`,指定要匯入模型之使用者的帳戶 ID。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "comprehend.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "444455556666"
}
}
}
]
}
```
------
## 匯入自訂模型
您可以使用 AWS 管理主控台 AWS CLI或 Amazon Comprehend API 匯入自訂模型。
## AWS 管理主控台
您可以在 中使用 Amazon Comprehend AWS 管理主控台。
**匯入自訂模型**
1. 登入 AWS 管理主控台 並前往 https://[https://console.aws.amazon.com/comprehend/](https://console.aws.amazon.com/comprehend/) 開啟 Amazon Comprehend 主控台
1. 在左側導覽選單的**自訂**下,選擇您要匯入之模型類型的頁面:
1. 如果您要匯入自訂文件分類器,請選擇**自訂分類**。
1. 如果您要匯入自訂實體辨識器,請選擇**自訂實體辨識**。
1. 選擇**匯入版本**。
1. 在**匯入模型版本**頁面上,輸入下列詳細資訊:
+ **模型版本 ARN** – 要匯入之模型版本的 ARN。
+ **模型名稱** – 匯入所建立新模型的自訂名稱。
+ **版本名稱** – 匯入所建立新模型版本的自訂名稱。
1. 針對**模型加密**,選擇要用來加密您透過匯入所建立之新自訂模型的 KMS 金鑰類型:
+ **使用 AWS 擁有的金鑰** – Amazon Comprehend 會使用由 代表您建立、管理和使用的金鑰 in AWS Key Management Service (AWS KMS) 來加密模型 AWS。
+ **選擇不同的 AWS KMS 金鑰 (進階)** – Amazon Comprehend 會使用您管理的客戶受管金鑰來加密模型 AWS KMS。
如果您選擇此選項,請選取您 中的 KMS 金鑰 AWS 帳戶,或選擇建立金鑰來**建立新的 AWS KMS 金鑰**。
1. 在**服務存取**區段中,授予 Amazon Comprehend 存取其需要的任何 AWS KMS 金鑰,以:
+ 解密您匯入的自訂模型。
+ 加密您使用匯入建立的新自訂模型。
您可以使用允許 Amazon Comprehend 使用 KMS 金鑰的 IAM 服務角色授予存取權。
對於**服務角色**,請執行下列其中一項操作:
+ 如果您有要使用的現有服務角色,請選擇**使用現有的 IAM 角色**。然後,在**角色名稱**下選取它。
+ 如果您希望 Amazon Comprehend 為您建立角色,請選擇**建立 IAM 角色**。
1. 如果您選擇讓 Amazon Comprehend 為您建立角色,請執行下列動作:
1. 針對**角色名稱**,輸入角色名稱尾碼,以協助您稍後辨識角色。
1. 針對**來源 KMS 金鑰 ARN**,輸入用來加密您匯入之模型的 KMS 金鑰 ARN。Amazon Comprehend 使用此金鑰在匯入期間解密模型。
1. (選用) 在**標籤**區段中,您可以將標籤新增至匯入所建立的新自訂模型。如需標記自訂模型的詳細資訊,請參閱 [標記新資源](tagging-newtags.md)。
1. 選擇**確認**。
## AWS CLI
您可以使用 執行命令來使用 Amazon Comprehend AWS CLI。
**Example Import-model 命令**
若要匯入自訂模型,請使用 `import-model`命令:
```
$ aws comprehend import-model \
> --source-model arn:aws:comprehend:us-west-2:111122223333:document-classifier/foo/version/bar \
> --model-name importedDocumentClassifier \
> --version-name versionOne \
> --data-access-role-arn arn:aws:iam::444455556666:role/comprehendAccessRole \
> --model-kms-key-id kms-key-id
```
此範例使用下列參數:
+ `source-model` – 要匯入之自訂模型的 ARN。
+ `model-name` – 匯入所建立新模型的自訂名稱。
+ `version-name` – 匯入所建立之新模型版本的自訂名稱。
+ `data-access-role-arn` – IAM 服務角色的 ARN,允許 Amazon Comprehend 使用必要的 AWS KMS 金鑰來加密或解密自訂模型。
+ `model-kms-key-id` – Amazon Comprehend 用來加密您使用此匯入建立之自訂模型的 KMS 金鑰 ARN 或 ID。此金鑰必須位於 AWS KMS 中的 中 AWS 帳戶。
## Amazon Comprehend API
若要使用 Amazon Comprehend API 匯入自訂模型,請使用 [ImportModel](https://docs.aws.amazon.com/comprehend/latest/dg/API_ImportModel.html) API 動作。