View a markdown version of this page

Cross-account accesso al bucket Amazon S3 per processi di importazione di modelli personalizzati - Amazon Bedrock
Configurazione dell’accesso multi-account per un bucket Amazon S3Configura l'accesso tra account al bucket Amazon S3 crittografato con un file personalizzato AWS KMS key

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Cross-account accesso al bucket Amazon S3 per processi di importazione di modelli personalizzati

Se stai importando il tuo modello da un bucket Amazon S3 in un Account AWS altro, dovrai concedere le autorizzazioni per accedere al bucket prima di importare il modello personalizzato. Per informazioni, consulta Prerequisiti per l’importazione di modelli personalizzati.

Nota

Se il processo di importazione del modello personalizzato è stato inviato tramite la console Amazon Bedrock, viene creato automaticamente un ruolo di esecuzione dell'importazione predefinito. È necessario modificare la politica predefinita del ruolo di esecuzione delle importazioni e sostituire l'ID dell'account specificato aws:ResourceAccount con l' Account AWS ID del proprietario del bucket.

Configurazione dell’accesso multi-account per un bucket Amazon S3

Segui questi passaggi per configurare l'accesso tra account a un bucket Amazon S3 per un processo di importazione di modelli personalizzato.

  1. Crea un ruolo di esecuzione dell'importazione: nell'account dell'utente Account AWS (l'account che eseguirà il processo di importazione), crea un ruolo IAM che Amazon Bedrock può assumere. Per ulteriori informazioni sulla creazione di un ruolo di servizio per l'importazione di modelli personalizzati, consultaPrerequisiti per l’importazione di modelli personalizzati.

  2. Crea una policy bucket: nell'account del proprietario del bucket, crea una policy bucket che conceda l'accesso al ruolo di esecuzione dell'importazione nell'account dell'utente.

    La seguente policy di bucket di esempio, creata e applicata al bucket s3://amzn-s3-demo-bucket dal proprietario del bucket, concede l’accesso a un utente nell’account del proprietario del bucket 123456789123.

    JSON
    { 
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "CrossAccountAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/ImportRole"
            },           
            "Action": [
                "s3:ListBucket",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

  3. Crea una politica per il ruolo di esecuzione dell'importazione: nell'area dell'utente Account AWS, allega una politica al ruolo di esecuzione dell'importazione che consenta l'accesso al bucket tra account. Peraws:ResourceAccount, specifica l'ID dell'account del proprietario del bucket. Account AWS

    Il seguente esempio di policy di importazione del ruolo di esecuzione nell’account dell’utente fornisce all’ID account del proprietario del bucket 111222333444555 l’accesso al bucket Amazon S3 s3://amzn-s3-demo-bucket.

    JSON
    { 
    "Version":"2012-10-17",
   "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
    }
  ]
}

Configura l'accesso tra account al bucket Amazon S3 crittografato con un file personalizzato AWS KMS key

Se il bucket Amazon S3 è crittografato con una chiave personalizzata AWS Key Management Service (AWS KMS), è necessario eseguire passaggi aggiuntivi per concedere al ruolo di esecuzione dell'importazione le autorizzazioni per decrittografare la chiave.

  1. Crea un ruolo di esecuzione delle importazioni: in quello dell'utente Account AWS, crea un ruolo IAM che Amazon Bedrock può assumere. Per ulteriori informazioni, consulta Prerequisiti per l’importazione di modelli personalizzati.

  2. Crea una policy bucket: nell'account del proprietario del bucket, crea una policy bucket che conceda l'accesso al ruolo di esecuzione delle importazioni nell'account dell'utente.

    La seguente policy di bucket di esempio, creata e applicata al bucket s3://amzn-s3-demo-bucket dal proprietario del bucket, concede l’accesso a un utente nell’account del proprietario del bucket 123456789123.

    JSON
    { 
   "Version":"2012-10-17",
   "Statement": [
    {
        "Sid": "CrossAccountAccess",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::123456789012:role/ImportRole"
        },           
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ]
     }
   ]
}

  3. Aggiorna la politica AWS KMS chiave: nell'account del proprietario del bucket, aggiungi la seguente dichiarazione alla politica AWS KMS chiave per consentire al ruolo di esecuzione dell'importazione dell'utente di decrittografare gli oggetti.

    {
    "Sid": "Allow use of the key by the destination account",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::123456789123:role/ImportRole"
    },
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

  4. Crea una politica relativa al ruolo di esecuzione dell'importazione: nell'account dell'utente Account AWS, allega una politica al ruolo di esecuzione dell'importazione che consenta l'accesso al bucket interaccount e alla chiave. AWS KMS Peraws:ResourceAccount, specifica l'ID dell'account del proprietario del bucket. Account AWS

    Il seguente esempio di politica del ruolo di esecuzione delle importazioni fornisce l'accesso al bucket Amazon S3 del proprietario del s3://amzn-s3-demo-bucket bucket nell'111222333444555account e al. AWS KMS key arn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

    JSON
    { 
    "Version":"2012-10-17",
   "Statement": [
      {
        "Effect": "Allow",
        "Action": [
            "s3:ListBucket",
            "s3:GetObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": "123456789012"
            }
        }
     },
     {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:123456789012:key/111aa2bb-333c-4d44-5555-a111bb2c33dd"
    }
  ]
 }