Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Kontoübergreifender Offline-Zugriff auf den Shop
Amazon SageMaker Feature Store ermöglicht es Benutzern, eine Feature-Gruppe in einem Konto (Konto A) zu erstellen und sie mit einem Offline-Store unter Verwendung eines Amazon S3 S3-Buckets in einem anderen Konto (Konto B) zu konfigurieren. Sie können dies mithilfe der Schritte im folgenden Abschnitt einrichten.
**Topics**
+ [Schritt 1: Richten Sie die Offline-Speicher-Zugriffsrolle in Konto A ein](#feature-store-setup-step1)
+ [Schritt 2: Richten Sie einen Amazon-S3-Bucket im Offline-Speicher in Konto B ein](#feature-store-setup-step2)
+ [Schritt 3: Richten Sie einen AWS KMS Offline-Shop-Verschlüsselungsschlüssel in Konto A ein](#feature-store-setup-step3)
+ [Schritt 4: Erstellen Sie eine Feature-Gruppe in Konto A](#feature-store-setup-step4)
## Schritt 1: Richten Sie die Offline-Speicher-Zugriffsrolle in Konto A ein
Richten Sie zunächst eine Rolle für Amazon SageMaker Feature Store ein, um die Daten in den Offline-Store zu schreiben. Der einfachste Weg, dies zu erreichen, besteht darin, mithilfe der `AmazonSageMakerFeatureStoreAccess` Richtlinie eine neue Rolle zu erstellen oder eine bestehende Rolle zu verwenden, an die die `AmazonSageMakerFeatureStoreAccess` Richtlinie bereits angehängt ist. In diesem Dokument wird diese Richtlinie als `Account-A-Offline-Feature-Store-Role-ARN` bezeichnet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
}
]
}
```
------
Der vorherige Codeausschnitt zeigt die `AmazonSageMakerFeatureStoreAccess` Richtlinie. Der `Resource` Abschnitt der Richtlinie ist standardmäßig auf S3-Buckets beschränkt, deren Namen, oder enthalten `SageMaker` `Sagemaker` oder `sagemaker`. Das bedeutet, dass der verwendete Amazon-S3-Bucket im Offline-Speicher dieser Namenskonvention entsprechen muss. Wenn dies nicht der Fall ist oder Sie die Ressource weiter eingrenzen möchten, können Sie die Richtlinie kopieren und in Ihre Amazon-S3-Bucket-Richtlinie in der Konsole einfügen, den entsprechenden `Resource` Abschnitt anpassen und dann der Rolle zuordnen. `arn:aws:s3:::your-offline-store-bucket-name`
Darüber hinaus müssen dieser Rolle AWS KMS Berechtigungen zugewiesen sein. Sie benötigt mindestens die `kms:GenerateDataKey` Erlaubnis, mit Ihrem vom Kunden verwalteten Schlüssel in den Offline-Speicher schreiben zu können. In Schritt 3 erfahren Sie, warum ein vom Kunden verwalteter Schlüssel für das kontoübergreifende Szenario erforderlich ist und wie Sie ihn einrichten. Die folgende Richtlinie zeigt ein Beispiel.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:*:111122223333:key/*"
}
]
}
```
------
Der `Resource` Abschnitt dieser Richtlinie ist auf jeden Schlüssel in Konto A beschränkt. Um diesen Bereich weiter einzuschränken, kehren Sie nach der Einrichtung des KMS-Schlüssels für den Offline-Speicher in Schritt 3 zu dieser Richtlinie zurück und ersetzen Sie ihn durch den Schlüssel ARN.
## Schritt 2: Richten Sie einen Amazon-S3-Bucket im Offline-Speicher in Konto B ein
Erstellen Sie einen Amazon-S3-Bucket in Konto B. Wenn Sie die `AmazonSageMakerFeatureStoreAccess` Standardrichtlinie verwenden, muss der Bucket-Name `SageMaker`,`Sagemaker`, oder `sagemaker` enthalten. Bearbeiten Sie die Bucket-Richtlinie wie im folgenden Beispiel gezeigt, damit Konto A Objekte lesen und schreiben kann.
Dieses Dokument bezieht sich auf die folgende Beispiel-Bucket-Richtlinie als `Account-B-Offline-Feature-Store-Bucket`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3CrossAccountBucketAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetBucketAcl"
],
"Principal": {
"AWS": [
"Account-A-Offline-Feature-Store-Role-ARN"
]
},
"Resource": [
"arn:aws:s3:::offline-store-bucket-name/*",
"arn:aws:s3:::offline-store-bucket-name"
]
}
]
}
```
------
In der vorherigen Richtlinie ist der Principal die Rolle`Account-A-Offline-Feature-Store-Role-ARN`, die in Schritt 1 in Konto A erstellt und Amazon SageMaker Feature Store zur Verfügung gestellt wurde, um in den Offline-Shop zu schreiben. Sie können mehrere ARN-Rollen unter `Principal` angeben.
## Schritt 3: Richten Sie einen AWS KMS Offline-Shop-Verschlüsselungsschlüssel in Konto A ein
Amazon SageMaker Feature Store stellt sicher, dass die serverseitige Verschlüsselung für Amazon S3 S3-Objekte im Offline-Store immer aktiviert ist. Für kontoübergreifende Anwendungsfälle müssen Sie einen vom Kunden verwalteten Schlüssel bereitstellen, sodass Sie kontrollieren können, wer in den Offline-Speicher schreiben kann (in diesem Fall `Account-A-Offline-Feature-Store-Role-ARN` von Konto A) und wer aus dem Offline-Speicher lesen kann (in diesem Fall Identitäten aus Konto B).
Dieses Dokument bezieht sich auf das folgende Beispiel für eine Schlüsselrichtlinie als `Account-A-Offline-Feature-Store-KMS-Key-ARN`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Administrator"
]
},
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:TagResource",
"kms:UntagResource",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "*"
},
{
"Sid": "Allow Feature Store to get information about the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*"
],
"Resource": "*"
},
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"Account-A-Offline-Feature-Store-Role-ARN",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:GenerateDataKey",
"kms:ListAliases",
"kms:ListGrants"
],
"Resource": "*"
}
]
}
```
------
## Schritt 4: Erstellen Sie eine Feature-Gruppe in Konto A
Erstellen Sie als Nächstes die Feature-Gruppe in Konto A mit einem Amazon-S3-Bucket im Offline-Speicher in Konto B. Geben Sie dazu jeweils die folgenden Parameter für `RoleArn`, `OfflineStoreConfig.S3StorageConfig.KmsKeyId` und `OfflineStoreConfig.S3StorageConfig.S3Uri` an:
+ Geben Sie an `Account-A-Offline-Feature-Store-Role-ARN` als `RoleArn`.
+ Geben Sie `Account-A-Offline-Feature-Store-KMS-Key-ARN` für `OfflineStoreConfig.S3StorageConfig.KmsKeyId`.
+ Geben Sie `Account-B-Offline-Feature-Store-Bucket` für `OfflineStoreConfig.S3StorageConfig.S3Uri`.