Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Kontoübergreifender Zugriff auf Amazon-S3-Buckets für benutzerdefinierte Modellimportaufträge
Wenn Sie Ihr Modell aus dem Amazon-S3-Bucket importieren und Amazon S3 kontoübergreifend verwenden, müssen Sie den Benutzern im Konto des Bucket-Eigentümers Berechtigungen für den Zugriff auf den Bucket gewähren, bevor Sie Ihr benutzerdefiniertes Modell importieren. Siehe [Voraussetzungen für das Importieren von benutzerdefinierten Modellen](custom-model-import-prereq.md).
## Konfigurieren des kontoübergreifenden Zugriffs auf Amazon-S3-Buckets
Dieser Abschnitt führt Sie durch die Schritte zum Erstellen von Richtlinien für Benutzer im Konto des Bucket-Eigentümers für den Zugriff auf Amazon-S3-Buckets.
1. Erstellen Sie im Konto des Bucket-Eigentümers eine Bucket-Richtlinie, die den Benutzern im Konto des Bucket-Eigentümers Zugriff gewährt.
Im folgenden Beispiel einer Bucket-Richtlinie, die vom Bucket-Eigentümer erstellt und auf den Bucket `s3://amzn-s3-demo-bucket` angewendet wurde, wird einem Benutzer im Konto `123456789123` des Bucket-Eigentümers Zugriff gewährt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccountAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/ImportRole"
},
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. Erstellen Sie in der Richtlinie des AWS-Konto Benutzers eine Richtlinie für die Importausführungsrolle. `aws:ResourceAccount`Geben Sie dazu die Konto-ID des Bucket-Besitzers an AWS-Konto.
Im folgenden Beispiel einer Richtlinie für die Importausführungsrolle im Benutzerkonto wird der Konto-ID `111222333444555` des Bucket-Eigentümers Zugriff auf den Amazon-S3-Bucket `s3://amzn-s3-demo-bucket` gewährt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
------
## Konfigurieren Sie den kontoübergreifenden Zugriff auf den Amazon S3 S3-Bucket, der mit einem benutzerdefinierten Code verschlüsselt ist AWS KMS key
Wenn Sie einen Amazon S3 S3-Bucket haben, der mit einem benutzerdefinierten Schlüssel AWS Key Management Service (AWS KMS) verschlüsselt ist, müssen Sie Benutzern vom Konto des Bucket-Besitzers aus Zugriff darauf gewähren.
Um den kontoübergreifenden Zugriff auf einen Amazon S3 S3-Bucket zu konfigurieren, der mit einem benutzerdefinierten AWS KMS key
1. Erstellen Sie im Konto des Bucket-Eigentümers eine Bucket-Richtlinie, die den Benutzern im Konto des Bucket-Eigentümers Zugriff gewährt.
Im folgenden Beispiel einer Bucket-Richtlinie, die vom Bucket-Eigentümer erstellt und auf den Bucket `s3://amzn-s3-demo-bucket` angewendet wurde, wird einem Benutzer im Konto `123456789123` des Bucket-Eigentümers Zugriff gewährt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccountAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/ImportRole"
},
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. Erstellen Sie im Konto des Bucket-Eigentümers die folgende Ressourcenrichtlinie, damit die Importrolle des Benutzerkontos entschlüsselt werden kann.
```
{
"Sid": "Allow use of the key by the destination account",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::"arn:aws:iam::123456789123:role/ImportRole"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
}
```
1. Erstellen Sie in der Richtlinie des AWS-Konto Benutzers eine Richtlinie für die Importausführungsrolle. `aws:ResourceAccount`Geben Sie dazu die Konto-ID des Bucket-Besitzers an AWS-Konto. Stellen Sie außerdem Zugriff auf den bereit AWS KMS key , der zum Verschlüsseln des Buckets verwendet wird.
Die folgende Beispielrichtlinie für die Importausführung im Benutzerkonto gewährt der Account-ID des Bucket-Besitzers `111222333444555` Zugriff auf den Amazon S3 S3-Bucket `s3://amzn-s3-demo-bucket` und die AWS KMS key `arn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/111aa2bb-333c-4d44-5555-a111bb2c33dd"
}
]
}
```
------