Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Kontenübergreifende Auffindbarkeit und Zugriff auf Funktionsgruppen
Datenwissenschaftler und Dateningenieure können von der Erkundung und dem Zugriff auf Funktionen profitieren, die sich über mehrere Konten erstrecken, um die Datenkonsistenz zu fördern, die Zusammenarbeit zu optimieren und Doppelarbeit zu reduzieren.
Mit Amazon SageMaker Feature Store können Sie Feature-Gruppenressourcen für mehrere Konten gemeinsam nutzen. Bei den Ressourcen, die im Feature Store gemeinsam genutzt werden können, handelt es sich um Featuregruppen-Entitäten oder um den Featuregruppenkatalog, wobei der Featuregruppenkatalog alle Featuregruppen-Entitäten in Ihrem Konto enthält. Das Konto des Ressourcenbesitzers teilt sich Ressourcen mit den Konten der Ressourcennutzer. Es gibt zwei unterschiedliche Kategorien von Berechtigungen im Zusammenhang mit der gemeinsamen Nutzung von Ressourcen:
+ **Berechtigung zur Auffindbarkeit**: *Auffindbarkeit* bedeutet, dass die Namen und Metadaten von Featuregruppen eingesehen werden können. Wenn Sie den Feature-Gruppenkatalog teilen und die Berechtigung zur Auffindbarkeit gewähren, können alle Featuregruppen-Entitäten in dem Konto, von dem aus Sie die Daten teilen (Ressourcenbesitzerkonto), von den Konten gefunden werden, mit denen Sie die Daten teilen (Ressourcennutzerkonto). Wenn Sie beispielsweise dafür sorgen, dass der Featuregruppenkatalog im Ressourcenbesitzerkonto für ein Ressourcennutzerkonto auffindbar ist, können die Hauptbenutzer des Ressourcennutzerkontos alle Featuregruppen sehen, die im Ressourcenbesitzerkonto enthalten sind. Das bedeutet, dass die Auffindbarkeit auf Kontoebene (regionalisiert) „alles oder nichts“ ist. Diese Berechtigung wird Ressourcennutzerkonten mithilfe des Ressourcentyps Featuregruppenkatalog erteilt.
+ **Zugriffsberechtigungen**: Wenn Sie eine Zugriffsberechtigung erteilen, erfolgt dies auf der Ebene der Featuregruppen-Ressourcen (nicht auf Kontoebene). Auf diese Weise haben Sie eine genauere Kontrolle darüber, wie Sie Zugriff auf Daten gewähren. Folgende Zugriffsberechtigungen können erteilt werden: Schreibgeschützt, Lese-/Schreibzugriff und Administratorzugriff. Sie können beispielsweise je nach Ihren Geschäftsanforderungen nur bestimmte Funktionsgruppen aus dem Ressourcenbesitzerkonto auswählen, auf die die Prinzipale des Ressourcennutzerkontos zugreifen können. Diese Berechtigung wird Ressourcennutzerkonten erteilt, indem der Ressourcentyp Featuregruppe verwendet und Featuregruppen-Entitäten angegeben werden.
Bei der Einrichtung von Cross-Account-Sharing sollten Sie unbedingt den Unterschied zwischen Auffindbarkeit und Zugriff berücksichtigen. Außerdem unterscheiden sich die Methoden zur gemeinsamen Nutzung von Ressourcen, je nachdem, ob Sie Online- oder Offline-Featuregruppen gemeinsam nutzen. Informationen zu Online- und Offline-Featuregruppen finden Sie unter [Feature Store-Konzepte](feature-store-concepts.md). In den folgenden Themen erfahren Sie, wie Sie Auffindbarkeit und Zugriffsberechtigungen auf Ihre gemeinsam genutzten Ressourcen anwenden können.
Das folgende Beispieldiagramm veranschaulicht die Feature-Gruppenkatalogressource im Vergleich zu einer Feature-Gruppen-Ressourcenentität. Der Feature-Gruppenkatalog enthält *alle* Ihre Feature-Gruppen-Entitäten und kann mit der Suchberechtigung geteilt werden. Wenn dem Ressourcennutzerkonto eine Berechtigung zur Auffindbarkeit erteilt wurde, kann es *alle* Featuregruppen-Entitäten innerhalb des Ressourcenbesitzerkontos suchen und entdecken. Eine Featuregruppen-Entität enthält Ihre Machine-Learning-Daten und kann mit der Zugriffsberechtigung geteilt werden. Wenn dem Ressourcennutzerkonto eine Zugriffsberechtigung erteilt wurde, kann es auf die Featuregruppendaten zugreifen, wobei der Zugriff durch die entsprechende Zugriffsberechtigung bestimmt wird.
![\[Example showing how a resource owner account contains a feature group catalog, which contains feature groups.\]](http://docs.aws.amazon.com/de_de/sagemaker/latest/dg/images/feature-store/feature-store-cross-account-resource-types.png)
**Topics**
+ [Aktivierung der kontoübergreifenden Auffindbarkeit](feature-store-cross-account-discoverability.md)
+ [Aktivierung des kontoübergreifenden Zugriffs](feature-store-cross-account-access.md)
# Aktivierung der kontoübergreifenden Auffindbarkeit
Mit AWS Resource Access Manager (AWS RAM) können Sie den Feature-Gruppenkatalog, der all Ihre Feature-Gruppen- und Feature-Ressourcen enthält, auf sichere Weise mit anderen AWS-Konten teilen. Auf diese Weise können Mitglieder Ihres Teams nach Funktionsgruppen und Funktionen suchen und diese entdecken, die sich über mehrere Konten erstrecken, wodurch die Datenkonsistenz gefördert, die Zusammenarbeit optimiert und Doppelarbeit reduziert wird.
Das Konto des Ressourcenbesitzers kann Ressourcen mit anderen Personen gemeinsam nutzen, AWS-Konten indem es Berechtigungen erteilt AWS RAM. Das Ressourcennutzerkonto ist das Konto, AWS-Konto mit dem eine Ressource gemeinsam genutzt wird. Es ist durch die vom Ressourcenbesitzerkonto erteilten Berechtigungen begrenzt. Wenn Sie eine Organisation sind, möchten Sie vielleicht die Vorteile nutzen AWS Organizations, mit denen Sie Ressourcen für einzelne Konten AWS-Konten, für alle Konten in Ihrer Organisation oder für eine Organisationseinheit (OU) gemeinsam nutzen können, ohne jedem Konto Berechtigungen zuweisen zu müssen. Lehrvideos und weitere Informationen zu AWS RAM Konzepten und Vorteilen finden Sie unter [Was ist AWS Resource Access Manager?](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) im AWS RAM Benutzerhandbuch.
In diesem Abschnitt wird beschrieben, wie das Konto des Ressourcenbesitzers den Featuregruppenkatalog auswählen und Ressourcennutzerkonten Auffindbarkeitsberechtigungen gewähren kann. Außerdem wird beschrieben, wie Ressourcennutzerkonten mit der Berechtigung Auffindbarkeit die Featuregruppen innerhalb des Ressourcenbesitzerkontos suchen und finden können. Die Berechtigung „Auffindbarkeit“ gewährt keine Zugriffsberechtigungen (nur Lesen, Lesen und Schreiben oder Administrator). Zugriffsberechtigungen werden auf Ressourcenebene und nicht auf Kontoebene erteilt. Informationen zum erteilen dieser Berechtigungen finden Sie unter [Aktivierung des kontoübergreifenden Zugriffs](feature-store-cross-account-access.md).
In den folgenden Themen wird erläutert, wie Sie den Featuregruppenkatalog gemeinsam nutzen und wie Sie nach gemeinsam genutzten Ressourcen suchen, wobei die Suchberechtigungen angewendet werden.
**Topics**
+ [Teilen Sie Ihren Featuregruppenkatalog](feature-store-cross-account-discoverability-share-feature-group-catalog.md)
+ [Suchen Sie nach auffindbaren Ressourcen](feature-store-cross-account-discoverability-use.md)
# Teilen Sie Ihren Featuregruppenkatalog
Der Featuregruppenkatalog, `DefaultFeatureGroupCatalog`, enthält *alle* Featuregruppen-Entitäten, die dem Konto des Ressourcenbesitzers gehören. Der Katalog kann vom Konto des Ressourcenbesitzers freigegeben werden, um einem oder mehreren Ressourcenverbraucherkonten die Auffindbarkeit zu gewähren. Dies wird erreicht, indem ein Resource Share in AWS Resource Access Manager (AWS RAM) erstellt wird. Eine Feature-Gruppe ist die Hauptressource im Amazon SageMaker Feature Store und besteht aus Feature-Definitionen und Datensätzen, die von Feature Store verwaltet werden. Weitere Informationen über dieses Feature finden Sie unter [Feature Store-Konzepte](feature-store-concepts.md).
Auffindbarkeit bedeutet, dass die Konten, die Ressourcen nutzen, nach den auffindbaren Ressourcen suchen können. Die auffindbaren Ressourcen werden sich ansehen, als ob sie sich in ihrem eigenen Konto befänden (ohne Tags). Wenn der Featuregruppenkatalog auffindbar sein soll, erhalten die Ressourcennutzerkonten standardmäßig keine Zugriffsberechtigungen (schreibgeschützt, lesen/schreiben oder admin). Zugriffsberechtigungen werden auf Ressourcenebene und nicht auf Kontoebene gewährt. Informationen zum erteilen dieser Berechtigungen finden Sie unter [Aktivierung des kontoübergreifenden Zugriffs](feature-store-cross-account-access.md).
Um die kontoübergreifende Auffindbarkeit zu ermöglichen, müssen Sie den SageMaker AI-Ressourcenkatalog und den Feature-Gruppenkatalog angeben und dabei die Anweisungen zum [AWS RAM Erstellen einer gemeinsamen Nutzung von Ressourcen](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create) im AWS RAM Entwicklerhandbuch verwenden. Im Folgenden geben wir die Spezifikationen für die Verwendung der AWS RAM Konsolenanweisungen an.
1. **Geben Sie Details zur gemeinsamen Nutzung der Ressource**:
+ Ressourcentyp: Wählen Sie **SageMaker AI Resource Catalogs.**
+ ARN: Wählen Sie den Featuregruppenkatalog ARN mit dem Format: `arn:aws:sagemaker:us-east-1:111122223333:sagemaker-catalog/DefaultFeatureGroupCatalog`
*`us-east-1`* ist die Region der Ressource und *`111122223333`* ist die Konto-ID des Ressourcenbesitzers.
+ Ressourcen-ID: Wählen Sie `DefaultFeatureGroupCatalog`.
1. **Verwaltete Berechtigungen ordnen**:
+ Verwaltete Berechtigung: Wählen Sie `AWSRAMPermissionSageMakerCatalogResourceSearch`.
1. **Hauptbenutzern Zugriff gewähren**:
+ Wählen Sie die Haupttypen (AWS-Konto, Organisation oder Organisationseinheit) und geben Sie die entsprechende ID ein.
Wenn Sie eine Organisation sind, sollten Sie diese Vorteile AWS Organizations nutzen. Mit Organizations können Sie Ressourcen mit einzelnen AWS-Konten, allen Konten in Ihrer Organisation oder mit einer Organisationseinheit (OU) teilen. Dies vereinfacht das Anwenden von Berechtigungen, ohne dass für jedes Konto Berechtigungen zugewiesen werden müssen. Weitere Informationen zur gemeinsamen Nutzung Ihrer Ressourcen und zur Erteilung von Berechtigungen innerhalb von AWS Ressourcen finden Sie AWS Organizations im AWS Resource Access Manager Entwicklerhandbuch unter [Aktivieren der gemeinsamen Nutzung von Ressourcen innerhalb](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs).
1. **Überprüfen und erstellen**
+ Wählen Sie **Ressourcenfreigabe erstellen** aus.
Es kann einige Minuten dauern, bis die Ressourcen- und Prinzipal-Zuordnungen abgeschlossen ist. Sobald die Ressourcenfreigabe und die Hauptzuordnungen festgelegt sind, erhalten die angegebenen Ressourcennutzerkonten eine Einladung, um der Ressourcenfreigabe beizutreten. Die Ressourcennutzerkonten können die Einladungen anzeigen und annehmen, indem sie in der AWS RAM Konsole die Seite [Für mich freigegeben: Gemeinsam genutzte Ressourcen](https://console.aws.amazon.com/ram/home#SharedResourceShares) öffnen. Weitere Informationen zum Annehmen und Anzeigen von Ressourcen finden Sie unter [Zugreifen auf mit Ihnen geteilte AWS Ressourcen](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared.html). AWS RAM In diesen Fällen werden keine Einladungen gesendet:
+ Wenn Sie Teil einer Organisation sind AWS Organizations und das Teilen in Ihrer Organisation aktiviert ist. In diesem Fall erhalten Principals in der Organisation automatisch ohne Einladungen Zugriff auf die freigegebenen Ressourcen.
+ Wenn Sie Inhalte mit AWS-Konto demjenigen teilen, dem die Ressource gehört, erhalten die Prinzipale in diesem Konto automatisch ohne Einladungen Zugriff auf die gemeinsam genutzten Ressourcen.
Weitere Informationen zum Akzeptieren und Verwenden einer gemeinsamen Nutzung von Ressourcen finden Sie unter [Suchen Sie nach auffindbaren Ressourcen](feature-store-cross-account-discoverability-use.md).
## Teilen Sie den Feature-Gruppenkatalog mithilfe der AWS SDK für Python (Boto3)
Sie können das Formular verwenden AWS RAM APIs , AWS SDK für Python (Boto3) um eine gemeinsame Nutzung von Ressourcen zu erstellen. Der folgende Code ist ein Beispiel für eine Konto-ID des Ressourcenbesitzers *`111122223333`* in der Region*us-east-1*. Der Ressourcenbesitzer erstellt eine Ressourcenfreigabe mit dem Namen *`test-cross-account-catalog`*. Sie teilen sich den Feature-Gruppenkatalog mit der Konto-ID des Ressourcennutzers *`444455556666`*. Um das Python-SDK für zu verwenden AWS RAM APIs, fügen Sie die `AWSRAMPermissionSageMakerCatalogResourceSearch` Richtlinie der Ausführungsrolle hinzu. Weitere Details finden Sie unter [AWS RAM APIs](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/ram/client/create_resource_share.html).
```
#Call list resource catalogs as a prerequisite for RAM share
sagemaker_client.list_resource_catalogs()
# Share DefaultFeatureGroupCatalog with other account
ram_client = boto3.client("ram")
response = ram_client.create_resource_share(
name='test-cross-account-catalog', # Change to your custom resource share name
resourceArns=[
'arn:aws:sagemaker:us-east-1:111122223333:sagemaker-catalog/' + 'DefaultFeatureGroupCatalog', # Change 111122223333 to the resource owner account ID
],
principals=[
'444455556666', # Change 444455556666 to the resource consumer account ID
],
permissionArns = ["arn:aws:ram::aws:permission/AWSRAMPermissionSageMakerCatalogResourceSearch"] # AWSRAMPermissionSageMakerCatalogResourceSearch is the only policy allowed for SageMaker Catalog
)
```
Principals sind Akteure in einem Sicherheitssystem. In einer ressourcenbasierten Richtlinie sind IAM-Benutzer, IAM-Rollen, das Root-Konto oder ein anderer Dienst die zulässigen Prinzipale. AWS
# Suchen Sie nach auffindbaren Ressourcen
Das Konto des Ressourcenbesitzers muss den Ressourcennutzerkonten Berechtigungen gewähren, um Auffindbarkeit oder Zugriffsrechte (Schreibgeschützt, Lesen/Schreiben oder Administratorrechte) für eine gemeinsam genutzte Ressource zu gewähren. In den folgenden Abschnitten finden Sie Anweisungen dazu, wie Sie eine Einladung zu gemeinsam genutzten Ressourcen annehmen können, sowie Beispiele, die zeigen, wie Sie nach auffindbaren Feature-Gruppen suchen können.
**Nehmen Sie eine Einladung zu geteilten Ressourcen an**
Als Ressourcennutzerkonto erhalten Sie eine Einladung zur Teilnahme an einer Ressourcenfreigabe, sobald das Ressourcenbesitzerkonto die entsprechende Genehmigung erteilt hat. Um die Einladung zu allen gemeinsam genutzten Ressourcen anzunehmen, öffnen Sie in der AWS RAM Konsole die Seite [Für mich freigegeben: Gemeinsam genutzte Ressourcen. Dort](https://console.aws.amazon.com/ram/home#SharedResourceShares) können Sie Einladungen einsehen und darauf antworten. In diesen Fällen werden keine Einladungen gesendet:
+ Wenn Sie Teil einer Organisation in Ihrer Organisation sind AWS Organizations und die gemeinsame Nutzung in Ihrer Organisation aktiviert ist, erhalten Prinzipale in der Organisation automatisch ohne Einladungen Zugriff auf die gemeinsam genutzten Ressourcen.
+ Wenn Sie die Ressource mit dem teilen AWS-Konto , dem die Ressource gehört, erhalten die Prinzipale in diesem Konto automatisch und ohne Einladungen Zugriff auf die gemeinsam genutzten Ressourcen.
Weitere Informationen zum Annehmen und Verwenden einer Ressourcenfreigabe in AWS RAM finden Sie unter [Antworten auf die Einladung zur gemeinsamen Nutzung von Ressourcen](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-shared.html).
## Beispiel für die Suche nach auffindbaren Feature-Gruppen
Sobald Ressourcen mit einem Ressourcennutzerkonto geteilt wurden, für das die Auffindbarkeitsberechtigung aktiviert wurde, kann das Ressourcennutzerkonto mithilfe der Konsolen-Benutzeroberfläche und des SageMaker Feature Store-SDK nach den gemeinsam genutzten Ressourcen im Amazon Feature Store suchen und diese entdecken. Beachten Sie, dass Sie nicht anhand von Tags nach kontoübergreifenden Ressourcen suchen können. Die maximale Anzahl sichtbarer Funktionsgruppenkataloge beträgt 1 000. Weitere Informationen zum Erteilen von -Benutzerberechtigungen finden Sie unter [Aktivierung der kontoübergreifenden Auffindbarkeit](feature-store-cross-account-discoverability.md).
Einzelheiten zum Anzeigen gemeinsam genutzter Feature-Gruppen in der Konsole finden Sie unter [Suchen Sie in Ihrem Feature Store nach Feature-Gruppen](feature-store-search-feature-group-metadata.md).
Im folgenden Beispiel verwendet das Ressourcenverbraucherkonto die SageMaker KI-Suche, um nach Ressourcen zu suchen, die für ihn auffindbar gemacht wurden, wenn diese Einstellung auf gesetzt `CrossAccountFilterOption` ist: `"CrossAccount"`
```
from sagemaker.session import Session
sagemaker_session = Session(boto_session=boto_session)
sagemaker_session.search(
resource="FeatureGroup",
search_expression={
"Filters": [
{
"Name": "FeatureGroupName",
"Value": "MyFeatureGroup",
"Operator": "Contains",
}
],
"Operator": "And",
},
sort_by="Name",
sort_order="Ascending",
next_token="token",
max_results=50,
CrossAccountFilterOption="CrossAccount"
)
```
Weitere Informationen zur SageMaker KI-Suche und den Anforderungsparametern finden Sie unter [Suchen](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html) in der Amazon SageMaker API-Referenz.
# Aktivierung des kontoübergreifenden Zugriffs
Die Zugriffsberechtigungen sind schreibgeschützt, Lese- und Schreibberechtigungen sowie Administratorberechtigungen. Der Name, die Beschreibung und die Liste der für die einzelnen Berechtigungen APIs verfügbaren spezifischen Berechtigungen sind im Folgenden aufgeführt:
+ Schreibgeschützte Berechtigung (`AWSRAMPermissionSageMakerFeatureGroupReadOnly`): Die Leseberechtigung ermöglicht es Ressourcennutzerkonten, Datensätze in den gemeinsam genutzten Featuregruppen zu lesen und Details und Metadaten anzuzeigen.
+ `DescribeFeatureGroup`: Ruft Details zu einer Featuregruppe und ihrer Konfiguration ab
+ `DescribeFeatureMetadata`: Zeigt die Metadaten für ein Feature innerhalb einer Feature-Gruppe
+ `BatchGetRecord`: Ruft einen Batch von Datensätzen aus einer Funktionsgruppe ab
+ `GetRecord`: Abrufen eines Datensatzes aus einer Feature-Gruppe
+ Lese-Schreibberechtigung (`AWSRAMPermissionSagemakerFeatureGroupReadWrite`): Mit der Lese-Schreibberechtigung können Ressourcennutzerkonten zusätzlich zu den Leseberechtigungen auch Datensätze in die gemeinsam genutzten Featuregruppen schreiben und Datensätze aus diesen löschen.
+ `PutRecord`: Ablegen eines Datensatzes in einer Feature-Gruppe.
+ `DeleteRecord`: Abrufen eines Datensatzes aus einer Feature-Gruppe.
+ APIs aufgeführt in `AWSRAMPermissionSageMakerFeatureGroupReadOnly`
+ Administratorberechtigung (`AWSRAMPermissionSagemakerFeatureGroupAdmin`): Mit der Administratorberechtigung können die Ressourcennutzerkonten zusätzlich zu den Lese- und Schreibberechtigungen die Beschreibung und Parameter von Funktionen innerhalb der gemeinsam genutzten Featuregruppen aktualisieren, die Konfiguration der gemeinsam genutzten Featuregruppen aktualisieren.
+ `DescribeFeatureMetadata`: Zeigt die Metadaten für ein Feature innerhalb einer Feature-Gruppe
+ `UpdateFeatureGroup`: Aktualisiert eine Featuregruppen-Konfiguration
+ `UpdateFeatureMetadata`: Aktualisiert die Beschreibung und die Parameter einer Funktion in der Featuregruppe
+ APIs gelistet in `AWSRAMPermissionSagemakerFeatureGroupReadWrite`
In den folgenden Themen erfahren Sie, wie Sie Onlineshop- und Offline-Featuregruppen gemeinsam nutzen können. Beim Teilen gibt es Unterschiede zwischen den beiden.
**Topics**
+ [Teilen Sie Online-Feature-Gruppen mit AWS Resource Access Manager](feature-store-cross-account-access-online-store.md)
+ [Kontoübergreifender Offline-Zugriff auf den Shop](feature-store-cross-account-access-offline-store.md)
# Teilen Sie Online-Feature-Gruppen mit AWS Resource Access Manager
Mit AWS Resource Access Manager (AWS RAM) können Sie Amazon SageMaker Feature Store-Online-Feature-Gruppen sicher mit anderen teilen AWS-Konten. Mitglieder Ihres Teams können Funktionsgruppen erkunden und darauf zugreifen, die sich über mehrere Konten erstrecken. Dies fördert die Datenkonsistenz, optimiert die Zusammenarbeit und reduziert Doppelarbeit.
Das Konto des Ressourcenbesitzers kann Ressourcen mit anderen Personen teilen, AWS-Konten indem es Berechtigungen erteilt AWS RAM. Das Ressourcennutzerkonto ist das Konto, AWS-Konto mit dem eine Ressource gemeinsam genutzt wird. Es ist durch die vom Ressourcenbesitzerkonto erteilten Berechtigungen begrenzt. Wenn Sie eine Organisation sind, möchten Sie vielleicht die Vorteile nutzen AWS Organizations, mit denen Sie Ressourcen für einzelne Konten AWS-Konten, für alle Konten in Ihrer Organisation oder für eine Organisationseinheit (OU) gemeinsam nutzen können, ohne jedem Konto Berechtigungen zuweisen zu müssen. Lehrvideos und weitere Informationen zu AWS RAM Konzepten und Vorteilen finden Sie unter [Was ist AWS Resource Access Manager?](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) im AWS RAM Benutzerhandbuch.
Beachten Sie, dass es eine weiche Obergrenze für Transaktionen pro Sekunde (TPS) pro API pro AWS-Konto API gibt. Das maximale TPS-Limit gilt für *alle* Transaktionen auf den Ressourcen innerhalb des Ressourceneigentümerkontos, sodass auch Transaktionen von den Ressourcennutzerkonten auf diese Obergrenze angerechnet werden. Weitere Informationen zu Service-Kontingenten und zum Anfordern einer Kontingenterhöhung finden Sie unter [AWS Service-Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).
In diesem Abschnitt wird beschrieben, wie das Konto des Ressourcenbesitzers Feature-Gruppen auswählen und Ressourcennutzerkonten Zugriffsrechte (nur Lesen, Lesen und Schreiben und Administrator) gewähren kann. Außerdem wird beschrieben, wie Ressourcennutzerkonten mit Zugriffsrechten diese Featuregruppen verwenden können. Die Zugriffsberechtigungen ermöglichen es den Ressourcennutzerkonten nicht, nach Feature-Gruppen zu suchen und diese zu entdecken. Damit Ressourcennutzerkonten Featuregruppen vom Ressourcenbesitzerkonto aus suchen und entdecken können, muss das Ressourcenbesitzerkonto den Ressourcennutzerkonten die Berechtigung zur Auffindbarkeit gewähren, wobei alle Featuregruppen innerhalb des Ressourcenbesitzerkontos von den Ressourcennutzerkonten auffindbar sind. Weitere Informationen zum Erteilen der Discoverability-Berechtigung finden Sie unter [Aktivierung der kontoübergreifenden Auffindbarkeit](feature-store-cross-account-discoverability.md).
In den folgenden Themen wird gezeigt, wie Sie Feature Store-Onlineshop-Ressourcen über die AWS RAM Konsole gemeinsam nutzen können. Informationen zum Teilen Ihrer Ressourcen und zum Erteilen von Berechtigungen innerhalb der AWS AWS RAM Konsole oder AWS Command Line Interface (AWS CLI) finden Sie unter [AWS Ressourcen teilen](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html).
**Topics**
+ [Teilen Sie Ihre Featuregruppen-Entitäten](feature-store-cross-account-access-online-store-share-feature-group.md)
+ [Verwenden Sie gemeinsam genutzte Online-Speicher-Ressourcen mit Zugriffsberechtigungen](feature-store-cross-account-access-online-store-use.md)
# Teilen Sie Ihre Featuregruppen-Entitäten
Als Ressourceneigentümerkonto können Sie den Ressourcentyp Feature-Gruppe für Amazon SageMaker Feature Store verwenden, um Featuregruppen-Entitäten gemeinsam zu nutzen, indem Sie eine Ressource Share in AWS Resource Access Manager (AWS RAM) erstellen.
Verwenden Sie die folgenden Anweisungen zusammen mit den Anweisungen zum [Teilen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create) im AWS RAM Benutzerhandbuch.
Wenn Sie den Ressourcentyp der Featuregruppe über die AWS RAM Konsole gemeinsam nutzen, müssen Sie die folgenden Optionen treffen.
1. **Geben Sie Details zur gemeinsamen Nutzung der Ressource**:
+ Ressourcentyp: Wählen Sie „**SageMaker AI Feature Groups“**.
+ ARN: Wählen Sie Ihren Feature-Gruppen-ARN im Format: `arn:aws:sagemaker:us-east-1:111122223333:feature-group/your-feature-group-name`.
`us-east-1` ist die Region der Ressource, `111122223333` ist die Konto-ID des Ressourcenbesitzers und `your-feature-group-name` ist die Feature-Gruppe, die Sie teilen.
+ Ressourcen-ID: Wählen Sie die Feature-Gruppe aus `your-feature-group-name`, der Sie Zugriffsberechtigungen gewähren möchten.
1. **Ordnen Sie verwaltete Berechtigungen**:
+ Verwaltete Berechtigung: Wählen Sie die Zugriffsberechtigung aus. Weitere Informationen zu den Zugriffsberechtigungen finden Sie unter [Aktivierung des kontoübergreifenden Zugriffs](feature-store-cross-account-access.md).
1. **Hauptbenutzern Zugriff gewähren**:
+ Wählen Sie den Prinzipaltyp (AWS-Konto, Organisation, Organisationseinheit, IAM-Rolle oder IAM-Benutzer) und geben Sie die entsprechende ID oder ARN ein.
1. **Überprüfen und erstellen**
+ Wählen Sie **Ressourcenfreigabe erstellen** aus.
Durch die Erteilung von Zugriffsberechtigungen wird den Ressourcennutzerkonten nicht die Berechtigung zur Auffindbarkeit erteilt, sodass Ressourcennutzerkonten mit Zugriffsberechtigungen diese Featuregruppen nicht suchen und ermitteln können. Damit Ressourcennutzerkonten Feature-Gruppen vom Ressourcenbesitzerkonto aus suchen und entdecken können, muss das Ressourcenbesitzerkonto den Ressourcennutzerkonten die Berechtigung zur Auffindbarkeit gewähren, wobei *alle* Featuregruppen innerhalb des Ressourcenbesitzerkontos von den Ressourcennutzerkonten auffindbar sind. Weitere Informationen zum Erteilen der Discoverability-Berechtigung finden Sie unter [Aktivierung der kontoübergreifenden Auffindbarkeit](feature-store-cross-account-discoverability.md).
Wenn den Ressourcennutzerkonten nur Zugriffsberechtigungen gewährt werden, können die Featuregruppen-Entitäten trotzdem auf AWS RAM angezeigt werden. Informationen zum Anzeigen von Ressourcen finden Sie im AWS RAM Benutzerhandbuch unter [Zugreifen auf AWS RAM mit Ihnen geteilte AWS Ressourcen](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared.html).
Es kann einige Minuten dauern, bis die Ressourcen- und Prinzipal-Zuordnungen abgeschlossen ist. Sobald die Ressourcenfreigabe und die Hauptzuordnungen festgelegt sind, erhalten die angegebenen Ressourcennutzerkonten eine Einladung, um der Ressourcenfreigabe beizutreten. Die Ressourcennutzerkonten können die Einladungen anzeigen und annehmen, indem sie in der AWS RAM Konsole die Seite [Für mich freigegeben: Gemeinsam genutzte Ressourcen](https://console.aws.amazon.com/ram/home#SharedResourceShares) öffnen. In diesen Fällen werden keine Einladungen gesendet:
+ Wenn Sie Teil einer Organisation in Ihrer Organisation sind AWS Organizations und das Teilen in Ihrer Organisation aktiviert ist, erhalten Prinzipale in der Organisation automatisch ohne Einladungen Zugriff auf die gemeinsam genutzten Ressourcen.
+ Wenn Sie die Ressource mit dem teilen AWS-Konto , dem die Ressource gehört, erhalten die Prinzipale in diesem Konto automatisch und ohne Einladungen Zugriff auf die gemeinsam genutzten Ressourcen.
Weitere Informationen zum Akzeptieren und Verwenden einer gemeinsam genutzten Ressource finden Sie im AWS RAM AWS RAM Benutzerhandbuch [unter Verwenden gemeinsam genutzter AWS Ressourcen](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-shared.html).
## Teilen Sie Onlineshop-Funktionsgruppen mithilfe der AWS SDK für Python (Boto3)
Sie können das Formular verwenden AWS RAM APIs , AWS SDK für Python (Boto3) um eine gemeinsame Nutzung von Ressourcen zu erstellen. Der folgende Code ist ein Beispiel für eine Konto-ID des `111122223333` Ressourcenbesitzers, die eine Ressourcenfreigabe mit dem Namen`'test-cross-account-fg'` erstellt, die angegebene Featuregruppe `'my-feature-group'` mit der Konto-ID des `444455556666` Ressourcennutzers teilt und gleichzeitig die `AWSRAMPermissionSageMakerFeatureGroupReadOnly` Berechtigung erteilt. Weitere Informationen zu den Zugriffsberechtigungen finden Sie unter [Aktivierung des kontoübergreifenden Zugriffs](feature-store-cross-account-access.md). Um das Python-SDK für verwenden zu können AWS RAM APIs, müssen Sie eine verwaltete AWS RAM Vollzugriffsrichtlinie mit Ausführungsrolle anhängen. Weitere Informationen finden [Sie unter create\$1resource\$1share API](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/ram/client/create_resource_share.html) AWS RAM .
```
import boto3
# Choose feature group name
feature_group_name = 'my-feature-group' # Change to your feature group name
# Share 'my-feature-group' with other account
ram_client = boto3.client("ram")
response = ram_client.create_resource_share(
name='test-cross-account-fg', # Change to your custom resource share name
resourceArns=[
'arn:aws:sagemaker:us-east-1:111122223333:feature-group/' + feature_group_name, # Change 111122223333 to the resource owner account ID
],
principals=[
'444455556666', # Change 444455556666 to the resource consumer account ID
],
permissionArns = ["arn:aws:ram::aws:permission/AWSRAMPermissionSageMakerFeatureGroupReadOnly"]
)
```
Principals sind Akteure in einem Sicherheitssystem. In einer ressourcenbasierten Richtlinie sind die erlaubten Prinzipale IAM-Benutzer, IAM-Rollen, das Root-Konto oder ein anderes AWS-Service.
# Verwenden Sie gemeinsam genutzte Online-Speicher-Ressourcen mit Zugriffsberechtigungen
Das Konto des Ressourcenbesitzers muss den Konten, die Ressourcen nutzen, Berechtigungen gewähren, damit diese für eine gemeinsam genutzte Ressource auffindbar sind und nur Lese-, Schreib- oder Administratorrechte haben. In den folgenden Abschnitten finden Sie Anweisungen dazu, wie Sie eine Einladung zum Zugriff auf gemeinsam genutzte Ressourcen annehmen können. Außerdem finden Sie Beispiele dafür, wie Sie gemeinsam genutzte Feature-Gruppen aufrufen und mit ihnen interagieren können.
**Nehmen Sie eine Einladung zum Zugriff auf gemeinsam genutzte Ressourcen an AWS RAM**
Als Ressourcennutzerkonto erhalten Sie eine Einladung zur Teilnahme an einer Resource Share, sobald das Konto des Ressourcenbesitzers die entsprechende Genehmigung erteilt hat. Um die Einladung zu geteilten Ressourcen anzunehmen, öffnen Sie in der AWS RAM Konsole die Seite [Mit mir geteilt: Gemeinsam genutzte Ressourcen](https://console.aws.amazon.com/ram/home#SharedResourceShares). Dort können Sie sich Einladungen ansehen und darauf antworten. In diesen Fällen werden keine Einladungen gesendet:
+ Wenn Sie Teil einer Organisation in Ihrer Organisation sind AWS Organizations und die gemeinsame Nutzung in Ihrer Organisation aktiviert ist, erhalten Prinzipale in der Organisation automatisch ohne Einladungen Zugriff auf die gemeinsam genutzten Ressourcen.
+ Wenn Sie die Ressource mit dem teilen AWS-Konto , dem die Ressource gehört, erhalten die Prinzipale in diesem Konto automatisch und ohne Einladungen Zugriff auf die gemeinsam genutzten Ressourcen.
Weitere Informationen zum Akzeptieren und Verwenden einer gemeinsam genutzten Ressource finden Sie im AWS RAM AWS RAM Benutzerhandbuch [unter Verwenden gemeinsam genutzter AWS Ressourcen](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-shared.html).
## Zeigen Sie gemeinsam genutzte Ressourcen auf der AWS RAM Konsole an
Durch das Erteilen von Zugriffsberechtigungen wird den Ressourcennutzerkonten nicht die Berechtigung zur Auffindbarkeit erteilt, sodass Ressourcennutzerkonten mit Zugriffsberechtigungen diese Featuregruppen nicht suchen und ermitteln können. Damit Ressourcennutzerkonten Feature-Gruppen vom Ressourcenbesitzerkonto aus suchen und entdecken können, muss das Ressourcenbesitzerkonto den Ressourcennutzerkonten die Berechtigung zur Auffindbarkeit gewähren, wobei alle Featuregruppen innerhalb des Ressourcenbesitzerkontos von den Ressourcennutzerkonten auffindbar sind. Weitere Informationen zum Erteilen der Discoverability-Berechtigung finden Sie unter [Aktivierung der kontoübergreifenden Auffindbarkeit](feature-store-cross-account-discoverability.md).
Um die gemeinsam genutzten Ressourcen auf der AWS RAM Konsole anzuzeigen, öffnen Sie in der AWS RAM Konsole die Seite [Für mich freigegeben: Gemeinsam genutzte Ressourcen](https://console.aws.amazon.com/ram/home#SharedResourceShares).
## Beispiel für Lese- und Schreibaktionen mit einer gemeinsam genutzten Featuregruppe
Sobald Ihrem Ressourcennutzerkonto vom Konto des Ressourcenbesitzers die entsprechenden Berechtigungen erteilt wurden, können Sie mithilfe des Feature Store SDK Aktionen für die gemeinsam genutzten Ressourcen ausführen. Sie können dies tun, indem Sie den Ressourcen-ARN als angeben `FeatureGroupName`. Um den Featuregruppen-ARN abzurufen, können Sie die AWS SDK für Python (Boto3) [https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/sagemaker/client/describe_feature_group.html#describe-feature-group](https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/sagemaker/client/describe_feature_group.html#describe-feature-group)Funktion oder die Benutzeroberfläche der Konsole verwenden. Informationen zur Verwendung der Benutzeroberfläche der Konsole zum Anzeigen von Feature-Gruppendetails finden Sie unter [Details zur Featuregruppe von der Konsole aus anzeigen](feature-store-use-with-studio.md#feature-store-view-feature-group-detail-studio).
In den folgenden Beispielen wird `PutRecord` und `GetRecord` mit einer gemeinsam genutzten Featuregruppen-Entität verwendet. Informationen zur Anforderungs- und Antwortsyntax AWS SDK für Python (Boto3) finden Sie in der Dokumentation zu [https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/firehose/client/put_record.html#put-record](https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/firehose/client/put_record.html#put-record)und [https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/sagemaker-featurestore-runtime/client/get_record.html#get-record](https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/sagemaker-featurestore-runtime/client/get_record.html#get-record).
```
import boto3
sagemaker_featurestore_runtime = boto3.client('sagemaker-featurestore-runtime')
# Put record into feature group named 'test-fg' within the resource owner account ID 111122223333
featurestore_runtime.put_record(
FeatureGroupName="arn:aws:sagemaker:us-east-1:111122223333:feature-group/test-fg",
Record=[value.to_dict() for value in record] # You will need to define record prior to calling PutRecord
)
```
```
import boto3
sagemaker_featurestore_runtime = boto3.client('sagemaker-featurestore-runtime')
# Choose record identifier
record_identifier_value = str(2990130)
# Get record from feature group named 'test-fg' within the resource owner account ID 111122223333
featurestore_runtime.get_record(
FeatureGroupName="arn:aws:sagemaker:us-east-1:111122223333:feature-group/test-fg",
RecordIdentifierValueAsString=record_identifier_value
)
```
Weitere Informationen über das Erteilen von Amazon-EKS-Berechtigungen für IAM-Entitäten finden Sie unter [Teilen Sie Ihre Featuregruppen-Entitäten](feature-store-cross-account-access-online-store-share-feature-group.md).
# Kontoübergreifender Offline-Zugriff auf den Shop
Amazon SageMaker Feature Store ermöglicht es Benutzern, eine Feature-Gruppe in einem Konto (Konto A) zu erstellen und sie mit einem Offline-Store unter Verwendung eines Amazon S3 S3-Buckets in einem anderen Konto (Konto B) zu konfigurieren. Sie können dies mithilfe der Schritte im folgenden Abschnitt einrichten.
**Topics**
+ [Schritt 1: Richten Sie die Offline-Speicher-Zugriffsrolle in Konto A ein](#feature-store-setup-step1)
+ [Schritt 2: Richten Sie einen Amazon-S3-Bucket im Offline-Speicher in Konto B ein](#feature-store-setup-step2)
+ [Schritt 3: Richten Sie einen AWS KMS Offline-Shop-Verschlüsselungsschlüssel in Konto A ein](#feature-store-setup-step3)
+ [Schritt 4: Erstellen Sie eine Feature-Gruppe in Konto A](#feature-store-setup-step4)
## Schritt 1: Richten Sie die Offline-Speicher-Zugriffsrolle in Konto A ein
Richten Sie zunächst eine Rolle für Amazon SageMaker Feature Store ein, um die Daten in den Offline-Store zu schreiben. Der einfachste Weg, dies zu erreichen, besteht darin, mithilfe der `AmazonSageMakerFeatureStoreAccess` Richtlinie eine neue Rolle zu erstellen oder eine bestehende Rolle zu verwenden, an die die `AmazonSageMakerFeatureStoreAccess` Richtlinie bereits angehängt ist. In diesem Dokument wird diese Richtlinie als `Account-A-Offline-Feature-Store-Role-ARN` bezeichnet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
}
]
}
```
------
Der vorherige Codeausschnitt zeigt die `AmazonSageMakerFeatureStoreAccess` Richtlinie. Der `Resource` Abschnitt der Richtlinie ist standardmäßig auf S3-Buckets beschränkt, deren Namen, oder enthalten `SageMaker` `Sagemaker` oder `sagemaker`. Das bedeutet, dass der verwendete Amazon-S3-Bucket im Offline-Speicher dieser Namenskonvention entsprechen muss. Wenn dies nicht der Fall ist oder Sie die Ressource weiter eingrenzen möchten, können Sie die Richtlinie kopieren und in Ihre Amazon-S3-Bucket-Richtlinie in der Konsole einfügen, den entsprechenden `Resource` Abschnitt anpassen und dann der Rolle zuordnen. `arn:aws:s3:::your-offline-store-bucket-name`
Darüber hinaus müssen dieser Rolle AWS KMS Berechtigungen zugewiesen sein. Sie benötigt mindestens die `kms:GenerateDataKey` Erlaubnis, mit Ihrem vom Kunden verwalteten Schlüssel in den Offline-Speicher schreiben zu können. In Schritt 3 erfahren Sie, warum ein vom Kunden verwalteter Schlüssel für das kontoübergreifende Szenario erforderlich ist und wie Sie ihn einrichten. Die folgende Richtlinie zeigt ein Beispiel.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:*:111122223333:key/*"
}
]
}
```
------
Der `Resource` Abschnitt dieser Richtlinie ist auf jeden Schlüssel in Konto A beschränkt. Um diesen Bereich weiter einzuschränken, kehren Sie nach der Einrichtung des KMS-Schlüssels für den Offline-Speicher in Schritt 3 zu dieser Richtlinie zurück und ersetzen Sie ihn durch den Schlüssel ARN.
## Schritt 2: Richten Sie einen Amazon-S3-Bucket im Offline-Speicher in Konto B ein
Erstellen Sie einen Amazon-S3-Bucket in Konto B. Wenn Sie die `AmazonSageMakerFeatureStoreAccess` Standardrichtlinie verwenden, muss der Bucket-Name `SageMaker`,`Sagemaker`, oder `sagemaker` enthalten. Bearbeiten Sie die Bucket-Richtlinie wie im folgenden Beispiel gezeigt, damit Konto A Objekte lesen und schreiben kann.
Dieses Dokument bezieht sich auf die folgende Beispiel-Bucket-Richtlinie als `Account-B-Offline-Feature-Store-Bucket`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3CrossAccountBucketAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetBucketAcl"
],
"Principal": {
"AWS": [
"Account-A-Offline-Feature-Store-Role-ARN"
]
},
"Resource": [
"arn:aws:s3:::offline-store-bucket-name/*",
"arn:aws:s3:::offline-store-bucket-name"
]
}
]
}
```
------
In der vorherigen Richtlinie ist der Principal die Rolle`Account-A-Offline-Feature-Store-Role-ARN`, die in Schritt 1 in Konto A erstellt und Amazon SageMaker Feature Store zur Verfügung gestellt wurde, um in den Offline-Shop zu schreiben. Sie können mehrere ARN-Rollen unter `Principal` angeben.
## Schritt 3: Richten Sie einen AWS KMS Offline-Shop-Verschlüsselungsschlüssel in Konto A ein
Amazon SageMaker Feature Store stellt sicher, dass die serverseitige Verschlüsselung für Amazon S3 S3-Objekte im Offline-Store immer aktiviert ist. Für kontoübergreifende Anwendungsfälle müssen Sie einen vom Kunden verwalteten Schlüssel bereitstellen, sodass Sie kontrollieren können, wer in den Offline-Speicher schreiben kann (in diesem Fall `Account-A-Offline-Feature-Store-Role-ARN` von Konto A) und wer aus dem Offline-Speicher lesen kann (in diesem Fall Identitäten aus Konto B).
Dieses Dokument bezieht sich auf das folgende Beispiel für eine Schlüsselrichtlinie als `Account-A-Offline-Feature-Store-KMS-Key-ARN`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Administrator"
]
},
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:TagResource",
"kms:UntagResource",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "*"
},
{
"Sid": "Allow Feature Store to get information about the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*"
],
"Resource": "*"
},
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"Account-A-Offline-Feature-Store-Role-ARN",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:GenerateDataKey",
"kms:ListAliases",
"kms:ListGrants"
],
"Resource": "*"
}
]
}
```
------
## Schritt 4: Erstellen Sie eine Feature-Gruppe in Konto A
Erstellen Sie als Nächstes die Feature-Gruppe in Konto A mit einem Amazon-S3-Bucket im Offline-Speicher in Konto B. Geben Sie dazu jeweils die folgenden Parameter für `RoleArn`, `OfflineStoreConfig.S3StorageConfig.KmsKeyId` und `OfflineStoreConfig.S3StorageConfig.S3Uri` an:
+ Geben Sie an `Account-A-Offline-Feature-Store-Role-ARN` als `RoleArn`.
+ Geben Sie `Account-A-Offline-Feature-Store-KMS-Key-ARN` für `OfflineStoreConfig.S3StorageConfig.KmsKeyId`.
+ Geben Sie `Account-B-Offline-Feature-Store-Bucket` für `OfflineStoreConfig.S3StorageConfig.S3Uri`.