View a markdown version of this page

Cross-account Zugriff auf den Amazon S3 S3-Bucket für Importaufträge mit benutzerdefinierten Modellen - Amazon Bedrock
Konfigurieren des kontoübergreifenden Zugriffs auf Amazon-S3-BucketsKonfigurieren Sie den kontoübergreifenden Zugriff auf den Amazon S3 S3-Bucket, der mit einem benutzerdefinierten Code verschlüsselt ist AWS KMS key

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Cross-account Zugriff auf den Amazon S3 S3-Bucket für Importaufträge mit benutzerdefinierten Modellen

Wenn Sie Ihr Modell aus einem Amazon S3 S3-Bucket in einen anderen importieren AWS-Konto, müssen Sie Zugriffsberechtigungen für den Bucket erteilen, bevor Sie Ihr benutzerdefiniertes Modell importieren. Siehe Voraussetzungen für das Importieren von benutzerdefinierten Modellen.

Anmerkung

Wenn der Importauftrag für benutzerdefinierte Modelle über die Amazon Bedrock-Konsole eingereicht wurde, wird automatisch eine Standard-Importausführungsrolle erstellt. Sie müssen die Standardrichtlinie für aws:ResourceAccount die Importausführungsrolle bearbeiten und die angegebene Konto-ID durch die AWS-Konto ID des Bucket-Besitzers ersetzen.

Konfigurieren des kontoübergreifenden Zugriffs auf Amazon-S3-Buckets

Gehen Sie wie folgt vor, um den kontoübergreifenden Zugriff auf einen Amazon S3 S3-Bucket für einen Importjob mit benutzerdefiniertem Modell zu konfigurieren.

  1. Eine Importausführungsrolle erstellen — Erstellen Sie in der Rolle des Benutzers AWS-Konto (dem Konto, das den Importauftrag ausführt) eine IAM-Rolle, die Amazon Bedrock übernehmen kann. Weitere Informationen zum Erstellen einer Servicerolle für den Import eines benutzerdefinierten Modells finden Sie unter. Voraussetzungen für das Importieren von benutzerdefinierten Modellen

  2. Bucket-Richtlinie erstellen — Erstellen Sie im Konto des Bucket-Besitzers eine Bucket-Richtlinie, die Zugriff auf die Importausführungsrolle im Konto des Benutzers gewährt.

    Im folgenden Beispiel einer Bucket-Richtlinie, die vom Bucket-Eigentümer erstellt und auf den Bucket s3://amzn-s3-demo-bucket angewendet wurde, wird einem Benutzer im Konto 123456789123 des Bucket-Eigentümers Zugriff gewährt.

    JSON
    { 
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "CrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/ImportRole"
            },           
            "Action": [
                "s3:ListBucket",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

  3. Eine Richtlinie für die Importausführungsrolle erstellen — Fügen Sie in der Richtlinie des AWS-Konto Benutzers der Importausführungsrolle eine Richtlinie hinzu, die den Zugriff auf den kontoübergreifenden Bucket ermöglicht. Geben Sie für aws:ResourceAccount die Konto-ID des Bucket-Besitzers an AWS-Konto.

    Im folgenden Beispiel einer Richtlinie für die Importausführungsrolle im Benutzerkonto wird der Konto-ID 111222333444555 des Bucket-Eigentümers Zugriff auf den Amazon-S3-Bucket s3://amzn-s3-demo-bucket gewährt.

    JSON
    { 
    "Version":"2012-10-17",
   "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
    }
  ]
}

Konfigurieren Sie den kontoübergreifenden Zugriff auf den Amazon S3 S3-Bucket, der mit einem benutzerdefinierten Code verschlüsselt ist AWS KMS key

Wenn der Amazon S3 S3-Bucket mit einem benutzerdefinierten Schlüssel AWS Key Management Service (AWS KMS) verschlüsselt ist, müssen Sie zusätzliche Schritte ausführen, um der Importausführungsrolle Berechtigungen zum Entschlüsseln des Schlüssels zu erteilen.

  1. Eine Importausführungsrolle erstellen — Erstellen Sie in der Rolle des AWS-Konto Benutzers eine IAM-Rolle, die Amazon Bedrock übernehmen kann. Weitere Informationen finden Sie unter Voraussetzungen für das Importieren von benutzerdefinierten Modellen.

  2. Eine Bucket-Richtlinie erstellen — Erstellen Sie im Konto des Bucket-Besitzers eine Bucket-Richtlinie, die Zugriff auf die Importausführungsrolle im Konto des Benutzers gewährt.

    Im folgenden Beispiel einer Bucket-Richtlinie, die vom Bucket-Eigentümer erstellt und auf den Bucket s3://amzn-s3-demo-bucket angewendet wurde, wird einem Benutzer im Konto 123456789123 des Bucket-Eigentümers Zugriff gewährt.

    JSON
    { 
   "Version":"2012-10-17",
   "Statement": [
    {
        "Sid": "CrossAccountAccess",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::123456789012:role/ImportRole"
        },           
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ]
     }
   ]
}

  3. Aktualisieren Sie die AWS KMS Schlüsselrichtlinie — Fügen Sie im Konto des Bucket-Besitzers die folgende Anweisung zur AWS KMS Schlüsselrichtlinie hinzu, damit die Importausführungsrolle des Benutzers Objekte entschlüsseln kann.

    {
    "Sid": "Allow use of the key by the destination account",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::123456789123:role/ImportRole"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

  4. Eine Richtlinie für die Importausführungsrolle erstellen — Fügen Sie in der Richtlinie des AWS-Konto Benutzers der Rolle für die Ausführung des Imports eine Richtlinie hinzu, die den Zugriff auf den kontoübergreifenden Bucket und den AWS KMS Schlüssel ermöglicht. Geben Sie für aws:ResourceAccount die Konto-ID des Bucket-Besitzers an AWS-Konto.

    Das folgende Beispiel für eine Rollenrichtlinie zur Importausführung bietet Zugriff auf das Amazon S3 S3-Bucket-Konto des s3://amzn-s3-demo-bucket Bucket-Besitzers 111222333444555 und das AWS KMS key arn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd.

    JSON
    { 
    "Version":"2012-10-17",
   "Statement": [
      {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
     },
     {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:123456789012:key/111aa2bb-333c-4d44-5555-a111bb2c33dd"
    }
  ]
 }