本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立和管理自訂模型
Amazon Comprehend 包含內建 NLP (自然語言處理) 模型,可用於分析洞見或主題建模。您也可以使用 Amazon Comprehend 為實體辨識和文件分類建立自訂模型。
您可以使用模型版本控制來追蹤模型的歷史記錄。當您建立和訓練新的模型版本時,您可以變更訓練資料集。Amazon Comprehend 會在模型詳細資訊頁面上顯示每個模型版本的詳細資訊 (包括模型效能)。隨著時間的推移,您可以查看模型效能如何隨著訓練資料集的變更而改變。
您可以使用 Amazon Comprehend 主控台或 API 建立模型版本。或者,Amazon Comprehend 提供 [飛輪](flywheels.md) 來簡化與訓練和評估新自訂模型版本相關的任務。
建立自訂模型後,您可以允許其他 匯入模型的副本 AWS 帳戶 ,以與其他使用者共用模型。
**Topics**
+ [
# 使用 Amazon Comprehend 進行模型版本控制
](model-versioning.md)
+ [
# 在 之間複製自訂模型 AWS 帳戶
](custom-copy.md)
# 使用 Amazon Comprehend 進行模型版本控制
人工智慧和機器學習 (AI/ML) 都是關於快速實驗。使用 Amazon Comprehend,您可以訓練和建置用來深入了解資料的模型。使用模型版本控制,您可以在提供更多或不同的資料集時,追蹤與模型執行結果相關的模型歷史記錄和分數。您可以搭配自訂分類模型或自訂實體辨識模型使用版本控制。隨著時間的推移,您可以深入了解它們執行的成功程度,並深入了解您用來達到成功狀態的參數。
當您訓練現有自訂分類器模型或實體辨識模型的新版本時,您只需要從模型詳細資訊頁面建立新版本,並填入所有詳細資訊即可。新版本將具有與先前模型相同的名稱 — 我們稱為 versionID — 雖然您將在建立期間為其提供唯一的版本名稱。當您將新版本新增至模型時,您可以在模型詳細資訊頁面的單一檢視中查看所有先前的版本及其詳細資訊。透過版本控制,您可以查看模型效能如何隨著訓練資料集的變更而變更。
![\[具有三個版本的模型圖形,顯示每個版本的 F1 分數。\]](http://docs.aws.amazon.com/zh_tw/comprehend/latest/dg/images/model_versioning.png)
**建立新的**自訂分類器**版本 (主控台)**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/comprehend/](https://console.aws.amazon.com/comprehend/) 開啟 Amazon Comprehend 主控台
1. 從左側功能表中,選擇**自訂**,然後選擇**自訂分類**。
1. 從**分類器**清單中,選擇要建立新版本的自訂模型名稱。隨即顯示自訂模型詳細資訊頁面。
1. 在右上角,選取**建立新模型。**畫面隨即開啟,其中包含來自父自訂分類模型的預先填入詳細資訊。
1. 在**版本名稱**下,將唯一名稱新增至新版本。
1. 在版本詳細資訊下,您可以變更與新模型相關聯的語言和標籤數量。
1. 在**資料規格**區段下,設定您要如何將資料提供給新版本 — 請務必提供完整資料,其中包括先前模型的文件和新文件。您可以變更**分類器模式** (單標籤或多標籤)、**資料格式** (CSV 檔案、增強資訊清單)、**訓練資料集**和**測試資料集** (自動分割或自訂測試資料組態)。
1. (選用) 更新輸出資料的 S3 位置
1. 在**存取許可**下,建立或使用現有的 IAM 角色。
1. (選用) 更新您的 VPC 設定
1. (選用) 將標籤新增至新版本,以協助追蹤詳細資訊。
如需建立自訂分類器的詳細資訊,請參閱[建立自訂分類器](create-custom-classifier-console.md)
**建立新的**自訂實體辨識器**版本 (主控台)**
1. 登入 AWS 管理主控台 並前往 https://[https://console.aws.amazon.com/comprehend/](https://console.aws.amazon.com/comprehend/) 開啟 Amazon Comprehend 主控台
1. 從左側功能表中,選擇**自訂**,然後選擇**自訂實體辨識**。
1. 從**辨識器模型**清單中,選擇您要從中建立新版本的辨識器名稱。詳細資訊頁面隨即顯示。
1. 在右上角,選取**訓練新版本。**畫面隨即開啟,其中包含來自父實體辨識器的預先填入詳細資訊。
1. 在**版本名稱**下,將唯一名稱新增至新版本。
1. 在自訂實體類型下,新增您希望辨識器在資料集中識別的自訂標籤或標籤,然後選取**新增類型**。從您提供的註釋或實體清單中選擇自訂實體類型。然後,識別器將使用所有包含的實體類型,在執行任務時識別資料集中的實體。每個實體類型都必須是大寫,並使用多個單字,並以 和底線分隔。最多允許 25 種類型。
1. (選用) 選取**辨識器加密**,在處理任務時加密儲存磁碟區中的資料。
1. 在訓練資料區段下,指定**註釋和資料格式詳細資訊 **(CSV 檔案、增強資訊清單)單一標籤或多標籤)、**資料格式** (CSV、增強資訊清單)、您的**訓練資料集**,以及您的**測試資料集** (自動分割或自訂測試資料組態)。
1. (選用) 更新輸出資料的 S3 位置
1. 在**存取許可**下,建立或使用現有的 IAM 角色。
1. (選用) 更新您的 VPC 設定
1. (選用) 將標籤新增至新版本,以協助追蹤詳細資訊。
若要進一步了解自訂實體辨識器,請參閱[自訂實體辨識](custom-entity-recognition.md)和[使用主控台建立自訂實體辨識器](realtime-analysis-cer.md)。
# 在 之間複製自訂模型 AWS 帳戶
Amazon Comprehend 使用者可以在 AWS 帳戶 之間以兩步驟程序複製訓練過的自訂模型。首先,一個 AWS 帳戶 (帳戶 A) 中的使用者*共用*其帳戶中的自訂模型。然後,另一個 AWS 帳戶 (帳戶 B) 中的使用者*將模型匯入*其帳戶。帳戶 B 使用者不需要訓練模型,也不需要複製 (或存取) 原始訓練資料或測試資料。
若要在帳戶 A 中共用自訂模型,使用者會將 AWS Identity and Access Management (IAM) 政策連接至模型版本。此政策授權帳戶 B 中的實體,例如使用者或角色,在其 中將模型版本匯入 Amazon Comprehend AWS 帳戶。帳戶 B 使用者必須將模型匯入與原始模型相同的 AWS 區域 。
若要在帳戶 B 中匯入模型,此帳戶的使用者會提供 Amazon Comprehend 必要的詳細資訊,例如模型的 Amazon Resource Name (ARN)。透過匯入模型,此使用者會在其 中建立新的自訂模型 AWS 帳戶 ,以複寫其匯入的模型。此模型經過完整訓練,可用於推論任務,例如文件分類或具名實體辨識。
在以下情況下,複製自訂模型很有用:
+ 您屬於使用多個 的組織 AWS 帳戶。例如,您的組織可能 AWS 帳戶 針對每個開發階段都有 ,例如建置、階段、測試和部署。或者,它 AWS 帳戶 在資料科學和工程等業務職能方面可能有所不同。
+ 您的組織與 AWS 合作夥伴等其他 合作,在 Amazon Comprehend 中訓練自訂模型,並將它們做為其用戶端提供給您。
在這類情況下,您可以將訓練過的自訂實體辨識器或文件分類器從一個快速複製到 AWS 帳戶 另一個。以這種方式複製模型比替代方法更容易,您可以在其中在 之間複製訓練資料 AWS 帳戶 以訓練重複的模型。
**Topics**
+ [
# 與另一個 共用自訂模型 AWS 帳戶
](custom-copy-sharing.md)
+ [
# 從另一個 匯入自訂模型 AWS 帳戶
](custom-copy-importing.md)
# 與另一個 共用自訂模型 AWS 帳戶
使用 Amazon Comprehend,您可以與他人共用自訂模型,讓他們可以將模型匯入其 AWS 帳戶。當使用者匯入其中一個自訂模型時,會在其帳戶中建立新的自訂模型。他們的新模型會複製您共用的模型。
若要共用自訂模型,請將授權其他人匯入的政策連接到該模型。然後,您會提供這些使用者所需的詳細資訊。
**注意**
當其他使用者匯入您已共用的自訂模型時,他們必須使用包含模型的相同 AWS 區域 - 例如美國東部 (維吉尼亞北部)。
**Topics**
+ [
## 開始之前
](#custom-copy-sharing-prerequisites)
+ [
## 自訂模型的資源型政策
](#custom-copy-sharing-example-policy)
+ [
## 步驟 1:將資源型政策新增至自訂模型
](#custom-copy-sharing-adding-policy)
+ [
## 步驟 2:提供其他人匯入所需的詳細資訊
](#custom-copy-sharing-details)
## 開始之前
您必須先在 Amazon Comprehend 中擁有訓練過的自訂分類器或自訂實體識別器,才能共用模型 AWS 帳戶。如需訓練自訂模型的詳細資訊,請參閱 [自訂分類](how-document-classification.md)或 [自訂實體辨識](custom-entity-recognition.md)。
### 所需的許可
#### IAM 政策陳述式
在將資源型政策新增至自訂模型之前,您需要 (IAM) 中的 AWS Identity and Access Management 許可。您的使用者、群組或角色必須連接政策,才能建立、取得和刪除模型政策,如下列範例所示。
**Example 管理自訂模型之資源型政策的 IAM 政策**
```
{
"Effect": "Allow",
"Action": [
"comprehend:PutResourcePolicy",
"comprehend:DeleteResourcePolicy",
"comprehend:DescribeResourcePolicy"
],
"Resource": "arn:aws:comprehend:us-west-2:111122223333:document-classifier/foo/version/*"
}
```
如需建立 IAM 政策的相關資訊,請參閱《[IAM 使用者指南》中的建立 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。 **如需有關連接 IAM 政策的資訊,請參閱《[IAM 使用者指南》中的新增和移除 IAM 身分許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。 **
#### AWS KMS 金鑰政策陳述式
如果您要共用加密的模型,則可能需要新增 的許可 AWS KMS。此要求取決於您在 Amazon Comprehend 中用來加密模型的 KMS 金鑰類型。
**AWS 擁有的金鑰** 由 AWS 服務擁有和管理。如果您使用 AWS 擁有的金鑰,則不需要新增 的許可 AWS KMS,而且可以略過本節。
**客戶受管金鑰**是您在 中建立、擁有和管理的金鑰 AWS 帳戶。如果您使用客戶受管金鑰,則必須將陳述式新增至 KMS 金鑰政策。
政策陳述式會授權一或多個實體 (例如使用者或帳戶) 執行解密模型所需的 AWS KMS 操作。
您可以使用條件索引鍵來協助防止混淆代理人問題。如需詳細資訊,請參閱[預防跨服務混淆代理人](cross-service-confused-deputy-prevention.md)。
在政策中使用下列條件金鑰來驗證存取 KMS 金鑰的實體。當使用者匯入模型時, 會 AWS KMS 檢查來源模型版本的 ARN 是否符合條件。如果您未在政策中包含條件,則指定的委託人可以使用 KMS 金鑰來解密任何模型版本:
+ [aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) – 使用此條件索引鍵搭配 `kms:GenerateDataKey`和 `kms:Decrypt`動作。
+ [kms:EncryptionContext](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-encryption-context) – 使用此條件索引鍵搭配 `kms:GenerateDataKey`、 `kms:Decrypt`和 `kms:CreateGrant`動作。
在下列範例中,政策授權 AWS 帳戶 `444455556666` 使用 擁有 AWS 帳戶 的指定分類器模型第 1 版`111122223333`。
**Example 存取特定分類器模型版本的 KMS 金鑰政策**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS":
"arn:aws:iam::444455556666:root"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceArn":
"arn:aws:comprehend:us-west-2:111122223333:document-classifier/classifierName/version/1"
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::444455556666:root"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:comprehend:arn":
"arn:aws:comprehend:us-west-2:111122223333:document-classifier/classifierName/version/1"
}
}
}
]
}
```
下列範例政策授權來自 的使用者 **ExampleUser ** AWS 帳戶 `123456789012` AWS 帳戶 `444455556666`和來自 的 **ExampleRole**,透過 Amazon Comprehend 服務存取此 KMS 金鑰。
**Example 允許存取 Amazon Comprehend 服務的 KMS 金鑰政策 (替代 1)。**
下列範例政策授權 AWS 帳戶 `444455556666` 使用上一個範例的替代語法,透過 Amazon Comprehend 服務存取此 KMS 金鑰。
**Example 允許存取 Amazon Comprehend 服務的 KMS 金鑰政策 (替代 2)。**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::444455556666:root"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:comprehend:arn": "arn:aws:comprehend:*"
}
}
}
]
}
```
如需詳細資訊,請參閱*《AWS Key Management Service 開發人員指南》*中的[在 AWS KMS中使用金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。
## 自訂模型的資源型政策
在另一個 中的 Amazon Comprehend 使用者可從您的帳戶 AWS 帳戶 AWS 匯入自訂模型之前,您必須授權他們這樣做。若要授權這些政策,請將*資源型政策*新增至您要共用的模型版本。以資源為基礎的政策是您連接到資源的 IAM 政策 AWS。
當您將資源政策連接至自訂模型版本時,政策會授權使用者、群組或角色對模型版本執行`comprehend:ImportModel`動作。
**Example 自訂模型版本的資源型政策**
此範例會在 `Principal` 屬性中指定授權的實體。資源「\$1」是指您連接政策的特定模型版本。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "comprehend:ImportModel",
"Resource": "*",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:user/ExampleUser",
"arn:aws:iam::123456789012:role/ExampleRole"
]
}
}
]
}
```
對於您連接到自訂模型的政策, `comprehend:ImportModel`是 Amazon Comprehend 支援的唯一動作。
如需資源型政策的詳細資訊,請參閱《*IAM 使用者指南*》中的[身分型政策和資源型政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)。
## 步驟 1:將資源型政策新增至自訂模型
您可以使用 AWS 管理主控台 AWS CLI或 Amazon Comprehend API 來新增資源型政策。
### AWS 管理主控台
您可以在 中使用 Amazon Comprehend AWS 管理主控台。
**新增以資源為基礎的政策**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/comprehend/](https://console.aws.amazon.com/comprehend/) 的 Amazon Comprehend 主控台
1. 在左側導覽選單的**自訂**下,選擇包含自訂模型的頁面:
1. 如果您要共用自訂文件分類器,請選擇**自訂分類**。
1. 如果您要共用自訂實體辨識器,請選擇**自訂實體辨識**。
1. 在模型清單中,選擇模型名稱以開啟其詳細資訊頁面。
1. 在**版本**下,選擇您要共用的模型版本名稱。
1. 在版本詳細資訊頁面上,選擇**標籤、VPC 和政策**索引標籤。
1. 在**資源型政策**區段中,選擇**編輯**。
1. 在**編輯資源型政策頁面上**,執行下列動作:
1. 針對**政策名稱**,輸入可協助您在建立政策之後辨識政策的名稱。
1. 在**授權**下,指定下列一或多個實體,以授權它們匯入您的模型:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/comprehend/latest/dg/custom-copy-sharing.html)
1. 在**共用**下,您可以複製模型版本的 ARN,以協助您與將匯入模型的人員共用。當有人從不同的 匯入自訂模型時 AWS 帳戶,需要模型版本 ARN。
1. 選擇**儲存**。Amazon Comprehend 會建立以資源為基礎的政策,並將其連接到您的模型。
### AWS CLI
若要使用 將資源型政策新增至自訂模型 AWS CLI,請使用 [PutResourcePolicy](https://docs.aws.amazon.com/comprehend/latest/dg/API_PutResourcePolicy.html) 命令。 命令接受下列參數:
+ `resource-arn` – 自訂模型的 ARN,包括模型版本。
+ `resource-policy` – JSON 檔案,定義要連接到自訂模型的資源型政策。
您也可以提供政策做為內嵌 JSON 字串。若要為您的政策提供有效的 JSON,請使用雙引號括住屬性名稱和值。如果 JSON 內文也以雙引號括住,您會逸出政策內的雙引號。
+ `policy-revision-id` – Amazon Comprehend 指派給您正在更新之政策的修訂 ID。如果您要建立沒有先前版本的新政策,請勿使用此參數。Amazon Comprehend 會為您建立修訂 ID。
**Example 使用 `put-resource-policy`命令將資源型政策新增至自訂模型**
此範例在名為 **policyFile.json** 的 JSON 檔案中定義政策,並將政策與模型建立關聯。模型是名為 **mycf1** 的分類器版本 **v2**。
```
$ aws comprehend put-resource-policy \
> --resource-arn arn:aws:comprehend:us-west-2:111122223333:document-classifier/mycf1/version/v2 \
> --resource-policy file://policyFile.json \
> --policy-revision-id revision-id
```
資源政策的 JSON 檔案包含下列內容:
+ *動作* – 政策授權具名委託人使用 `comprehend:ImportModel`。
+ *資源* – 自訂模型的 ARN。資源「\$1」是指您在 `put-resource-policy` 命令中指定的模型版本。
+ *委託人* – 政策授權`jane`來自 AWS 帳戶 444455556666 的使用者和來自 AWS 帳戶 123456789012 的所有使用者。
****
```
{
"Version":"2012-10-17",
"Statement":[
{"Sid":"ResourcePolicyForImportModel",
"Effect":"Allow",
"Action":["comprehend:ImportModel"],
"Resource":"*",
"Principal":
{"AWS":
["arn:aws:iam::444455556666:user/jane",
"123456789012"]
}
}
]
}
```
### Amazon Comprehend API
若要使用 Amazon Comprehend API 將資源型政策新增至自訂模型,請使用 [PutResourcePolicy](https://docs.aws.amazon.com/comprehend/latest/dg/API_PutResourcePolicy.html) API 操作。
您也可以在建立模型的 API 請求中,將政策新增至自訂模型。若要這樣做,請在提交 [CreateDocumentClassifier](https://docs.aws.amazon.com/comprehend/latest/dg/API_CreateDocumentClassifier.html) 或 [CreateEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/dg/API_CreateEntityRecognizer.html) 請求時,提供 ModelPolicy 參數的政策 JSON。
## 步驟 2:提供其他人匯入所需的詳細資訊
現在您已將資源型政策新增至自訂模型,您已授權其他 Amazon Comprehend 使用者將模型匯入其 AWS 帳戶。不過,在他們可以匯入之前,您必須提供他們下列詳細資訊:
+ 模型版本的 Amazon Resource Name (ARN)。
+ 包含模型的 AWS 區域 。匯入模型的任何人都必須使用相同的 AWS 區域 。
+ 模型是否已加密,如果是,則為您使用的 AWS KMS 金鑰類型: AWS 擁有的金鑰 或客戶受管金鑰。
+ 如果您的模型使用客戶受管金鑰加密,則必須提供 KMS 金鑰的 ARN。匯入模型的任何人都必須在其 IAM 服務角色中包含 ARN AWS 帳戶。此角色授權 Amazon Comprehend 在匯入期間使用 KMS 金鑰解密模型。
如需其他使用者如何匯入模型的詳細資訊,請參閱 [從另一個 匯入自訂模型 AWS 帳戶](custom-copy-importing.md)。
# 從另一個 匯入自訂模型 AWS 帳戶
在 Amazon Comprehend 中,您可以匯入另一個 中的自訂模型 AWS 帳戶。當您匯入模型時,您會在帳戶中建立新的自訂模型。您的新自訂模型是您所匯入模型的完整訓練複本。
**Topics**
+ [
## 開始之前
](#custom-copy-importing-prerequisites)
+ [
## 匯入自訂模型
](#custom-copy-importing-procedure)
## 開始之前
在您從另一個 匯入自訂模型之前 AWS 帳戶,請確定與您共用模型的人員執行下列動作:
+ 授權您執行匯入。此授權會在連接至模型版本的以資源為基礎的政策中授予。如需詳細資訊,請參閱[自訂模型的資源型政策](custom-copy-sharing.md#custom-copy-sharing-example-policy)。
+ 為您提供下列資訊:
+ 模型版本的 Amazon Resource Name (ARN)。
+ 包含模型的 AWS 區域 。匯入 AWS 區域 時,您必須使用相同的 。
+ 模型是否使用 AWS KMS 金鑰加密,如果是,則為使用的金鑰類型。
如果模型已加密,您可能需要採取其他步驟,取決於使用的 KMS 金鑰類型:
+ **AWS 擁有的金鑰** – 此類型的 KMS 金鑰由 擁有和管理 AWS。如果模型使用 加密 AWS 擁有的金鑰,則不需要其他步驟。
+ **客戶受管金鑰** – 這類 KMS 金鑰是由 AWS 客戶在其 中建立、擁有和管理 AWS 帳戶。如果模型使用客戶受管金鑰加密,則共用模型的人員必須:
+ 授權您解密模型。此授權會在客戶受管金鑰的 KMS 金鑰政策中授予。如需詳細資訊,請參閱[AWS KMS 金鑰政策陳述式](custom-copy-sharing.md#custom-copy-sharing-prerequisites-permissions-kms)。
+ 提供客戶受管金鑰的 ARN。您在建立 IAM 服務角色時使用此 ARN。此角色授權 Amazon Comprehend 使用 KMS 金鑰來解密模型。
### 所需的許可
您或您的管理員必須先在 AWS Identity and Access Management (IAM) 中授權必要的動作,才能匯入自訂模型。身為 Amazon Comprehend 使用者,您必須獲得 IAM 政策陳述式的匯入授權。如果在匯入期間需要加密或解密,則必須授權 Amazon Comprehend 使用必要的 AWS KMS 金鑰。
### IAM 政策陳述式
您的使用者、群組或角色必須連接允許 `ImportModel`動作的政策,如下列範例所示。
**Example 匯入自訂模型的 IAM 政策**
```
{
"Effect": "Allow",
"Action": [
"comprehend:ImportModel"
],
"Resource": "arn:aws:comprehend:us-west-2:111122223333:document-classifier/foo/version/*"
}
```
如需有關建立 IAM 政策的資訊,請參閱《[IAM 使用者指南》中的建立 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。 **如需有關連接 IAM 政策的資訊,請參閱《[IAM 使用者指南》中的新增和移除 IAM 身分許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。 **
### 用於 AWS KMS 加密的 IAM 服務角色
當您匯入自訂模型時,您必須授權 Amazon Comprehend 在下列任一情況下使用 AWS KMS 金鑰:
+ 您正在匯入使用客戶受管金鑰加密的自訂模型 AWS KMS。在此情況下,Amazon Comprehend 需要存取 KMS 金鑰,以便在匯入期間解密模型。
+ 您想要加密透過匯入建立的新自訂模型,並且想要使用客戶受管金鑰。在此情況下,Amazon Comprehend 需要存取您的 KMS 金鑰,才能加密新模型。
若要授權 Amazon Comprehend 使用這些 AWS KMS 金鑰,您可以建立 *IAM 服務角色*。這種類型的 IAM 角色可讓 AWS 服務代表您存取其他 服務中的資源。如需服務角色的詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以將許可委派給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
如果您使用 Amazon Comprehend 主控台匯入,您可以讓 Amazon Comprehend 為您建立服務角色。否則,您必須在 IAM 中建立服務角色,才能匯入。
IAM 服務角色必須具有許可政策和信任政策,如下列範例所示。
**Example 許可政策**
下列許可政策允許 Amazon Comprehend 用來加密和解密自訂模型 AWS KMS 的操作。它授予對兩個 KMS 金鑰的存取權:
+ 一個 KMS 金鑰位於 中 AWS 帳戶 ,其中包含要匯入的模型。它用於加密模型,Amazon Comprehend 會在匯入期間使用它來解密模型。
+ 另一個 KMS 金鑰位於 AWS 帳戶 匯入模型的 中。Amazon Comprehend 使用此金鑰來加密匯入所建立的新自訂模型。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
],
"Resource": [
"arn:aws:kms:us-west-2:111122223333:key/key-id",
"arn:aws:kms:us-west-2:444455556666:key/key-id"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDatakey"
],
"Resource": [
"arn:aws:kms:us-west-2:111122223333:key/key-id",
"arn:aws:kms:us-west-2:444455556666:key/key-id"
],
"Condition": {
"StringEquals": {
"kms:ViaService": [
"s3.us-west-2.amazonaws.com"
]
}
}
}
]
}
```
**Example 信任政策**
下列信任政策允許 Amazon Comprehend 擔任該角色並取得其許可。它可讓`comprehend.amazonaws.com`服務主體執行 `sts:AssumeRole`操作。為了協助[預防混淆代理人](cross-service-confused-deputy-prevention.md),您可以使用一或多個全域條件內容索引鍵來限制許可的範圍。針對 `aws:SourceAccount`,指定匯入模型之使用者的帳戶 ID。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "comprehend.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "444455556666"
}
}
}
]
}
```
------
## 匯入自訂模型
您可以使用 AWS 管理主控台 AWS CLI或 Amazon Comprehend API 匯入自訂模型。
## AWS 管理主控台
您可以在 中使用 Amazon Comprehend AWS 管理主控台。
**匯入自訂模型**
1. 登入 AWS 管理主控台 並前往 https://[https://console.aws.amazon.com/comprehend/](https://console.aws.amazon.com/comprehend/) 開啟 Amazon Comprehend 主控台
1. 在左側導覽選單的**自訂**下,選擇您要匯入之模型類型的頁面:
1. 如果您要匯入自訂文件分類器,請選擇**自訂分類**。
1. 如果您要匯入自訂實體辨識器,請選擇**自訂實體辨識**。
1. 選擇**匯入版本**。
1. 在**匯入模型版本**頁面上,輸入下列詳細資訊:
+ **模型版本 ARN** – 要匯入之模型版本的 ARN。
+ **模型名稱** – 匯入所建立新模型的自訂名稱。
+ **版本名稱** – 匯入所建立新模型版本的自訂名稱。
1. 針對**模型加密**,選擇要用來加密您透過匯入建立之新自訂模型的 KMS 金鑰類型:
+ **使用 AWS 擁有的金鑰** – Amazon Comprehend 會使用由 代表您建立、管理和使用的金鑰 in AWS Key Management Service (AWS KMS) 來加密模型 AWS。
+ **選擇不同的 AWS KMS 金鑰 (進階)** – Amazon Comprehend 會使用您管理的客戶受管金鑰來加密模型 AWS KMS。
如果您選擇此選項,請選取您 中的 KMS 金鑰 AWS 帳戶,或選擇建立金鑰**來建立新的 AWS KMS 金鑰**。
1. 在**服務存取**區段中,授予 Amazon Comprehend 存取其需要的任何 AWS KMS 金鑰,以:
+ 解密您匯入的自訂模型。
+ 加密您使用匯入建立的新自訂模型。
您可以使用允許 Amazon Comprehend 使用 KMS 金鑰的 IAM 服務角色授予存取權。
對於**服務角色**,請執行下列其中一項操作:
+ 如果您有要使用的現有服務角色,請選擇**使用現有的 IAM 角色**。然後,在**角色名稱**下選取它。
+ 如果您希望 Amazon Comprehend 為您建立角色,請選擇**建立 IAM 角色**。
1. 如果您選擇讓 Amazon Comprehend 為您建立角色,請執行下列動作:
1. 針對**角色名稱**,輸入角色名稱尾碼,以協助您稍後辨識角色。
1. 針對**來源 KMS 金鑰 ARN**,輸入用來加密您匯入之模型的 KMS 金鑰 ARN。Amazon Comprehend 使用此金鑰在匯入期間解密模型。
1. (選用) 在**標籤**區段中,您可以將標籤新增至匯入所建立的新自訂模型。如需標記自訂模型的詳細資訊,請參閱 [標記新資源](tagging-newtags.md)。
1. 選擇**確認**。
## AWS CLI
您可以使用 執行命令來使用 Amazon Comprehend AWS CLI。
**Example Import-model 命令**
若要匯入自訂模型,請使用 `import-model`命令:
```
$ aws comprehend import-model \
> --source-model arn:aws:comprehend:us-west-2:111122223333:document-classifier/foo/version/bar \
> --model-name importedDocumentClassifier \
> --version-name versionOne \
> --data-access-role-arn arn:aws:iam::444455556666:role/comprehendAccessRole \
> --model-kms-key-id kms-key-id
```
此範例使用以下參數:
+ `source-model` – 要匯入之自訂模型的 ARN。
+ `model-name` – 匯入所建立新模型的自訂名稱。
+ `version-name` – 匯入所建立之新模型版本的自訂名稱。
+ `data-access-role-arn` – IAM 服務角色的 ARN,允許 Amazon Comprehend 使用必要的 AWS KMS 金鑰來加密或解密自訂模型。
+ `model-kms-key-id` – Amazon Comprehend 用來加密您使用此匯入建立之自訂模型的 KMS 金鑰的 ARN 或 ID。此金鑰必須位於 AWS KMS 中的 中 AWS 帳戶。
## Amazon Comprehend API
若要使用 Amazon Comprehend API 匯入自訂模型,請使用 [ImportModel](https://docs.aws.amazon.com/comprehend/latest/dg/API_ImportModel.html) API 動作。