Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Abilitazione dell'accesso multi-account
Le autorizzazioni di accesso sono autorizzazioni di sola lettura, lettura-scrittura e admin. Il nome dell'autorizzazione, la descrizione e l'elenco delle specifiche APIs disponibili per ogni autorizzazione sono elencati di seguito:
+ Autorizzazione di sola lettura (`AWSRAMPermissionSageMakerFeatureGroupReadOnly`): il privilegio di lettura consente agli account utilizzatori delle risorse di leggere i record nei gruppi di funzionalità condivisi e visualizzare dettagli e metadati.
+ `DescribeFeatureGroup`: recupera i dettagli su un gruppo di funzionalità e sulla sua configurazione
+ `DescribeFeatureMetadata`: mostra i metadati per una funzionalità all'interno di un gruppo di funzionalità
+ `BatchGetRecord`: recupera un batch di record da un gruppo di funzionalità
+ `GetRecord`: recupera un record da un gruppo di funzionalità
+ Autorizzazione di lettura-scrittura (`AWSRAMPermissionSagemakerFeatureGroupReadWrite`): il privilegio di lettura/scrittura consente agli account utilizzatori delle risorse di scrivere ed eliminare record dai gruppi di funzionalità condivisi, oltre alle autorizzazioni di lettura.
+ `PutRecord`: scrive un record in un gruppo di funzionalità
+ `DeleteRecord`: rimuove un record da un gruppo di funzionalità
+ APIs elencato in `AWSRAMPermissionSageMakerFeatureGroupReadOnly`
+ Autorizzazione admin (`AWSRAMPermissionSagemakerFeatureGroupAdmin`): il privilegio di admin consente agli account utilizzatori delle risorse di aggiornare la descrizione e i parametri delle funzionalità all'interno dei gruppi di funzionalità condivisi, aggiornare la configurazione dei gruppi di funzionalità condivisi, oltre alle autorizzazioni di lettura/scrittura.
+ `DescribeFeatureMetadata`: mostra i metadati per una funzionalità all'interno di un gruppo di funzionalità
+ `UpdateFeatureGroup`: aggiorna la configurazione di un gruppo di funzionalità
+ `UpdateFeatureMetadata`: aggiorna la descrizione e i parametri di una funzionalità nel gruppo di funzionalità
+ APIs elencato in `AWSRAMPermissionSagemakerFeatureGroupReadWrite`
Nei seguenti argomenti puoi scoprire come condividere gruppi di funzionalità dell'archivio online e offline: ci sono differenze tra i due quando si tratta di condivisione.
**Topics**
+ [Condividi gruppi di funzionalità online con AWS Resource Access Manager](feature-store-cross-account-access-online-store.md)
+ [Accesso all'archivio offline multi-account](feature-store-cross-account-access-offline-store.md)
# Condividi gruppi di funzionalità online con AWS Resource Access Manager
Con AWS Resource Access Manager (AWS RAM) puoi condividere in modo sicuro i gruppi di SageMaker funzionalità online di Amazon Feature Store con altri Account AWS. I membri del team possono esplorare e accedere ai gruppi di funzionalità che si estendono su più account, promuovendo la coerenza dei dati, semplificando la collaborazione e riducendo la duplicazione degli sforzi.
L'account proprietario della risorsa può condividere risorse con altre persone Account AWS concedendo le autorizzazioni utilizzando. AWS RAM L'account consumatore di risorse è l'account Account AWS con cui viene condivisa una risorsa, limitato dalle autorizzazioni concesse dall'account del proprietario della risorsa. Se sei un'organizzazione, potresti voler sfruttare la possibilità di AWS Organizations condividere le risorse con singoli utenti Account AWS, con tutti gli account dell'organizzazione o in un'unità organizzativa (OU), senza dover applicare le autorizzazioni a ciascun account. Per video didattici e ulteriori informazioni su AWS RAM concetti e vantaggi, vedi [Cos'è? AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) nella Guida per l' AWS RAM utente.
Tieni presente che esiste un limite massimo flessibile alle transazioni al secondo (TPS) per API per Account AWS. Il limite TPS massimo si applica a *tutte* le transazioni sulle risorse all'interno dell'account proprietario delle risorse, pertanto anche le transazioni dagli account utilizzatori delle risorse vengono conteggiate ai fini di questo limite massimo. Per ulteriori informazioni sulle quote di servizio e su come richiedere un aumento delle quote, consulta [Quote di servizio AWS](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).
Questa sezione illustra come l'account proprietario delle risorse può scegliere i gruppi di funzionalità e concedere privilegi di accesso (sola lettura, lettura-scrittura e admin) agli account utilizzatori delle risorse, e quindi come gli account utilizzatori delle risorse con privilegi di accesso possono utilizzare tali gruppi di funzionalità. Le autorizzazioni di accesso non consentono agli account utilizzatori delle risorse di cercare e reperire gruppi di funzionalità. Per consentire agli account utilizzatori delle risorse di cercare e reperire i gruppi di funzionalità dall'account proprietario delle risorse, l'account proprietario delle risorse deve concedere l'autorizzazione di reperibilità agli account utilizzatori delle risorse, per cui tutti i gruppi di funzionalità all'interno dell'account proprietario delle risorse sono reperibili dagli account utilizzatori delle risorse. Per ulteriori informazioni su come concedere l'autorizzazione di reperibilità, consulta [Abilitare la reperibilità tra account](feature-store-cross-account-discoverability.md).
I seguenti argomenti mostrano come condividere le risorse del negozio online Feature Store utilizzando la AWS RAM console. Per informazioni sulla condivisione delle risorse e sulla concessione delle autorizzazioni all'interno della AWS AWS RAM console o AWS Command Line Interface (AWS CLI), consulta [Condivisione delle](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html) risorse. AWS
**Topics**
+ [Condividi le entità del tuo gruppo di funzionalità](feature-store-cross-account-access-online-store-share-feature-group.md)
+ [Utilizza le risorse condivise dell'archivio online con autorizzazioni di accesso](feature-store-cross-account-access-online-store-use.md)
# Condividi le entità del tuo gruppo di funzionalità
In qualità di account proprietario della risorsa, puoi utilizzare il tipo di risorsa del gruppo di SageMaker funzionalità per Amazon Feature Store per condividere entità di gruppi di funzionalità, creando una condivisione di risorse in AWS Resource Access Manager (AWS RAM).
Utilizza le seguenti istruzioni insieme alle istruzioni per [la condivisione AWS delle risorse](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create) nella Guida per l' AWS RAM utente.
Quando si condivide il tipo di risorsa del gruppo di funzionalità utilizzando la AWS RAM console, è necessario effettuare le seguenti scelte.
1. **Specifica i dettagli della condivisione delle risorse**:
+ Tipo di risorsa: scegli **SageMaker AI Feature Groups**.
+ ARN: scegli l'ARN del gruppo di funzionalità con il formato: `arn:aws:sagemaker:us-east-1:111122223333:feature-group/your-feature-group-name`.
`us-east-1` è la Regione della risorsa, `111122223333` è l'ID dell'account proprietario della risorsa e `your-feature-group-name` è il gruppo di funzionalità che stai condividendo.
+ ID risorsa: scegli il gruppo di funzionalità, `your-feature-group-name`, a cui desideri concedere le autorizzazioni di accesso.
1. **Associa autorizzazioni gestite**:
+ Autorizzazione gestita: scegli l'autorizzazione di accesso. Per ulteriori informazioni sulle autorizzazioni di accesso, consultare [Abilitazione dell'accesso multi-account](feature-store-cross-account-access.md).
1. **Concedi l'accesso ai principali:**
+ Scegli il tipo di principale (Account AWS, organizzazione, unità organizzativa, ruolo IAM o utente IAM) e inserisci l'ID o l'ARN appropriato.
1. **Revisione e creazione**:
+ Revisiona, quindi seleziona **Crea condivisione risorse**.
La concessione di qualsiasi autorizzazione di accesso non concede agli utilizzatori delle risorse l'autorizzazione di reperibilità, quindi gli account utilizzatori delle risorse con autorizzazioni di accesso non possono cercare e reperire tali gruppi di funzionalità. Per consentire agli account utilizzatori delle risorse di cercare e reperire i gruppi di funzionalità dall'account proprietario delle risorse, l'account proprietario delle risorse deve concedere l'autorizzazione di reperibilità agli account utilizzatori delle risorse, per cui *tutti* i gruppi di funzionalità all'interno dell'account proprietario delle risorse sono reperibili dagli account utilizzatori delle risorse. Per ulteriori informazioni su come concedere l'autorizzazione di reperibilità, consulta [Abilitare la reperibilità tra account](feature-store-cross-account-discoverability.md).
Se agli account utilizzatori delle risorse vengono concesse solo autorizzazioni di accesso, le entità del gruppo di funzionalità possono comunque essere visualizzate su AWS RAM. Per visualizzare le risorse su AWS RAM, consulta [Accedere alle AWS risorse condivise con te](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared.html) nella Guida AWS RAM per l'utente.
Il completamento delle associazioni tra la condivisione di risorse e il principale o l'account utilizzatore delle risorse potrebbe richiedere alcuni minuti. Una volta impostate le associazioni tra la condivisione di risorse e il principale, gli account utilizzatori delle risorse specificati ricevono un invito a partecipare alla condivisione di risorse. Gli account consumer delle risorse possono visualizzare e accettare gli inviti aprendo la pagina [Condivisi con me: condivisioni di risorse](https://console.aws.amazon.com/ram/home#SharedResourceShares) nella AWS RAM console. Gli inviti non vengono inviati nei seguenti casi:
+ Se fai parte di un'organizzazione AWS Organizations e la condivisione all'interno dell'organizzazione è abilitata, i responsabili dell'organizzazione ottengono automaticamente l'accesso alle risorse condivise senza inviti.
+ Se condividi la Account AWS risorsa con il proprietario, i responsabili di quell'account avranno automaticamente accesso alle risorse condivise senza inviti.
Per ulteriori informazioni sull'accettazione e l'utilizzo di una condivisione di risorse in AWS RAM, consulta [Utilizzo AWS delle risorse condivise nella Guida](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-shared.html) per l' AWS RAM utente.
## Condividi i gruppi di funzionalità del negozio online utilizzando il AWS SDK per Python (Boto3)
Puoi usare il form AWS SDK per Python (Boto3) per AWS RAM APIs creare una condivisione di risorse. Il codice seguente è un esempio di un ID `111122223333` di account proprietario delle risorse che crea una condivisione di risorse denominata `'test-cross-account-fg'` e condivide il gruppo di funzionalità denominato `'my-feature-group'` con l'ID `444455556666` di account utilizzatore delle risorse, concedendo anche l'autorizzazione `AWSRAMPermissionSageMakerFeatureGroupReadOnly`. Per ulteriori informazioni sulle autorizzazioni di accesso, consultare [Abilitazione dell'accesso multi-account](feature-store-cross-account-access.md). Per utilizzare Python SDK per AWS RAM APIs, devi allegare una policy gestita ad accesso AWS RAM completo con il ruolo di esecuzione. Vedi l'API [create\$1resource\$1share](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/ram/client/create_resource_share.html) AWS RAM per maggiori dettagli.
```
import boto3
# Choose feature group name
feature_group_name = 'my-feature-group' # Change to your feature group name
# Share 'my-feature-group' with other account
ram_client = boto3.client("ram")
response = ram_client.create_resource_share(
name='test-cross-account-fg', # Change to your custom resource share name
resourceArns=[
'arn:aws:sagemaker:us-east-1:111122223333:feature-group/' + feature_group_name, # Change 111122223333 to the resource owner account ID
],
principals=[
'444455556666', # Change 444455556666 to the resource consumer account ID
],
permissionArns = ["arn:aws:ram::aws:permission/AWSRAMPermissionSageMakerFeatureGroupReadOnly"]
)
```
I principali sono attori di un sistema di sicurezza. In una policy basata sulle risorse, i principali consentiti sono utenti IAM, ruoli IAM, l'account root o un altro Servizio AWS.
# Utilizza le risorse condivise dell'archivio online con autorizzazioni di accesso
L'account proprietario delle risorse deve concedere le autorizzazioni agli account utilizzatori delle risorse per consentire i privilegi di reperibilità, sola lettura, lettura-scrittura o admin a una risorsa condivisa. Nelle sezioni seguenti, forniamo istruzioni su come accettare un invito ad accedere a risorse condivise e mostriamo esempi che illustrano come visualizzare e interagire con gruppi di funzionalità condivisi.
**Accetta un invito ad accedere a risorse condivise tramite AWS RAM**
In qualità di account utilizzatore delle risorse, riceverai un invito a partecipare a una condivisione di risorse dopo che l'account proprietario delle risorse avrà concesso l'autorizzazione. Per accettare l'invito a qualsiasi risorsa condivisa, apri la pagina [Condivisi con me: condivisioni di risorse](https://console.aws.amazon.com/ram/home#SharedResourceShares) nella AWS RAM console per visualizzare e rispondere agli inviti. Gli inviti non vengono inviati nei seguenti casi:
+ Se fai parte di un'organizzazione AWS Organizations e la condivisione all'interno dell'organizzazione è abilitata, i responsabili dell'organizzazione ottengono automaticamente l'accesso alle risorse condivise senza inviti.
+ Se condividi la Account AWS risorsa con il proprietario, i responsabili di quell'account avranno automaticamente accesso alle risorse condivise senza inviti.
Per ulteriori informazioni sull'accettazione e l'utilizzo di una condivisione di risorse in AWS RAM, consulta [Utilizzo AWS delle risorse condivise nella Guida](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-shared.html) per l' AWS RAM utente.
## Visualizza le risorse condivise sulla AWS RAM console
La concessione di qualsiasi autorizzazione di accesso non concede agli utilizzatori delle risorse l'autorizzazione di reperibilità, quindi gli account utilizzatori delle risorse con autorizzazioni di accesso non possono cercare e reperire tali gruppi di funzionalità. Per consentire agli account utilizzatori delle risorse di cercare e reperire i gruppi di funzionalità dall'account proprietario delle risorse, l'account proprietario delle risorse deve concedere l'autorizzazione di reperibilità agli account utilizzatori delle risorse, per cui tutti i gruppi di funzionalità all'interno dell'account proprietario delle risorse sono reperibili dagli account utilizzatori delle risorse. Per ulteriori informazioni su come concedere l'autorizzazione di reperibilità, consulta [Abilitare la reperibilità tra account](feature-store-cross-account-discoverability.md).
Per visualizzare le risorse condivise sulla AWS RAM console, apri la pagina [Condivisi con me: condivisioni di risorse](https://console.aws.amazon.com/ram/home#SharedResourceShares) nella AWS RAM console.
## Azioni di lettura e scrittura con un esempio di gruppi di funzionalità condivisi
Dopo aver ottenuto sul tuo account utilizzatore delle risorse le autorizzazioni appropriate dall'account proprietario delle risorse, puoi eseguire azioni sulle risorse condivise utilizzando l'SDK dell'archivio funzionalità. È possibile fare ciò fornendo l'ARN della risorsa come `FeatureGroupName`. Per ottenere l'ARN del Feature Group, puoi utilizzare la AWS SDK per Python (Boto3) [https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/sagemaker/client/describe_feature_group.html#describe-feature-group](https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/sagemaker/client/describe_feature_group.html#describe-feature-group)funzione o utilizzare l'interfaccia utente della console. Per informazioni sull’utilizzo dell’interfaccia utente della console per visualizzare i dettagli dei gruppi di funzionalità, consulta [Visualizzazione dei dettagli del gruppo di funzionalità dalla console](feature-store-use-with-studio.md#feature-store-view-feature-group-detail-studio).
I seguenti esempi utilizzano `PutRecord` e `GetRecord` con un'entità di gruppo di funzionalità condivisa. Consultate la sintassi di richiesta e risposta nella AWS SDK per Python (Boto3) documentazione di [https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/firehose/client/put_record.html#put-record](https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/firehose/client/put_record.html#put-record)and. [https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/sagemaker-featurestore-runtime/client/get_record.html#get-record](https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/sagemaker-featurestore-runtime/client/get_record.html#get-record)
```
import boto3
sagemaker_featurestore_runtime = boto3.client('sagemaker-featurestore-runtime')
# Put record into feature group named 'test-fg' within the resource owner account ID 111122223333
featurestore_runtime.put_record(
FeatureGroupName="arn:aws:sagemaker:us-east-1:111122223333:feature-group/test-fg",
Record=[value.to_dict() for value in record] # You will need to define record prior to calling PutRecord
)
```
```
import boto3
sagemaker_featurestore_runtime = boto3.client('sagemaker-featurestore-runtime')
# Choose record identifier
record_identifier_value = str(2990130)
# Get record from feature group named 'test-fg' within the resource owner account ID 111122223333
featurestore_runtime.get_record(
FeatureGroupName="arn:aws:sagemaker:us-east-1:111122223333:feature-group/test-fg",
RecordIdentifierValueAsString=record_identifier_value
)
```
Per ulteriori informazioni su come concedere autorizzazioni alle entità di gruppo di funzionalità, consulta [Condividi le entità del tuo gruppo di funzionalità](feature-store-cross-account-access-online-store-share-feature-group.md).
# Accesso all'archivio offline multi-account
Amazon SageMaker Feature Store consente agli utenti di creare un gruppo di funzionalità in un account (Account A) e configurarlo con un negozio offline utilizzando un bucket Amazon S3 in un altro account (Account B). Puoi configurare questa operazione completando le fasi riportate nella sezione seguente.
**Topics**
+ [Fase 1: configurazione del ruolo di accesso dell'archivio offline nell'Account A](#feature-store-setup-step1)
+ [Fase 2: configurazione di un bucket Amazon S3 dell'archivio offline nell'Account B](#feature-store-setup-step2)
+ [Passaggio 3: configura una chiave di AWS KMS crittografia per un negozio offline nell'Account A](#feature-store-setup-step3)
+ [Fase 4: creazione di un gruppo di funzionalità nell'account A](#feature-store-setup-step4)
## Fase 1: configurazione del ruolo di accesso dell'archivio offline nell'Account A
Innanzitutto, configura un ruolo per Amazon SageMaker Feature Store per scrivere i dati nell'archivio offline. Il modo più semplice per fare ciò è creare un nuovo ruolo utilizzando la policy `AmazonSageMakerFeatureStoreAccess` o utilizzare un ruolo esistente a cui è già collegata la policy `AmazonSageMakerFeatureStoreAccess`. Questo documento fa riferimento a questa policy come `Account-A-Offline-Feature-Store-Role-ARN`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
}
]
}
```
------
Il frammento di codice precedente mostra la policy `AmazonSageMakerFeatureStoreAccess`. Per impostazione predefinita, la sezione `Resource` della policy è limitata ai bucket S3 con nomi che contengono `SageMaker`, `Sagemaker`, o `sagemaker`. Ciò significa che il bucket Amazon S3 dell'archivio offline utilizzato deve seguire questa convenzione di denominazione. Se questo non è il tuo caso, o se desideri limitare ulteriormente la risorsa, puoi copiare e incollare la policy nella tua policy del bucket Amazon S3 nella console, personalizzare la sezione `Resource` inserendo `arn:aws:s3:::your-offline-store-bucket-name` e quindi collegarla al ruolo.
Inoltre, a questo ruolo devono essere associate AWS KMS delle autorizzazioni. Richiede almeno l'autorizzazione `kms:GenerateDataKey` per poter scrivere nell'archivio offline utilizzando la chiave gestita dal cliente. Consulta la fase 3 per scoprire perché è necessaria una chiave gestita dal cliente per lo scenario multi-account e come configurarla. L'esempio seguente mostra una policy inline:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:*:111122223333:key/*"
}
]
}
```
------
La sezione `Resource` di questa policy si applica a qualsiasi chiave dell'Account A. Per limitarla ulteriormente, dopo aver configurato la chiave KMS dell'archivio offline nella fase 3, torna a questa policy e sostituiscila con l'ARN della chiave.
## Fase 2: configurazione di un bucket Amazon S3 dell'archivio offline nell'Account B
Crea un bucket Amazon S3 nell'Account B. Se utilizzi la policy `AmazonSageMakerFeatureStoreAccess` predefinita, il nome del bucket deve includere `SageMaker`, `Sagemaker` o `sagemaker`. Modifica la policy del bucket come mostrato nell'esempio seguente per consentire all'Account A di leggere e scrivere oggetti.
Questo documento si riferisce al seguente esempio di policy del bucket come `Account-B-Offline-Feature-Store-Bucket`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3CrossAccountBucketAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetBucketAcl"
],
"Principal": {
"AWS": [
"Account-A-Offline-Feature-Store-Role-ARN"
]
},
"Resource": [
"arn:aws:s3:::offline-store-bucket-name/*",
"arn:aws:s3:::offline-store-bucket-name"
]
}
]
}
```
------
Nella politica precedente, il principale è `Account-A-Offline-Feature-Store-Role-ARN` il ruolo creato nell'Account A nella fase 1 e fornito ad Amazon SageMaker Feature Store per scrivere nello store offline. È possibile fornire più ruoli ARN alla voce `Principal`.
## Passaggio 3: configura una chiave di AWS KMS crittografia per un negozio offline nell'Account A
Amazon SageMaker Feature Store garantisce che la crittografia lato server sia sempre abilitata per gli oggetti Amazon S3 nello store offline. Per casi d'uso multi-account, è necessario fornire una chiave gestita dal cliente in modo da avere il controllo su chi può scrivere nell'archivio offline (in questo caso, `Account-A-Offline-Feature-Store-Role-ARN` dall'account A) e chi può leggere dall'archivio offline (in questo caso, le identità dall'account B).
Questo documento si riferisce al seguente esempio di policy della chiave come `Account-A-Offline-Feature-Store-KMS-Key-ARN`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Administrator"
]
},
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:TagResource",
"kms:UntagResource",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "*"
},
{
"Sid": "Allow Feature Store to get information about the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*"
],
"Resource": "*"
},
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"Account-A-Offline-Feature-Store-Role-ARN",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:GenerateDataKey",
"kms:ListAliases",
"kms:ListGrants"
],
"Resource": "*"
}
]
}
```
------
## Fase 4: creazione di un gruppo di funzionalità nell'account A
Quindi, crea il gruppo di funzionalità nell'Account A, con un bucket Amazon S3 dell'archivio offline nell'Account B. A tale scopo, fornisci i seguenti parametri per `RoleArn`, `OfflineStoreConfig.S3StorageConfig.KmsKeyId` e `OfflineStoreConfig.S3StorageConfig.S3Uri`, rispettivamente:
+ Fornisci `Account-A-Offline-Feature-Store-Role-ARN` come `RoleArn`.
+ Fornisci `Account-A-Offline-Feature-Store-KMS-Key-ARN` per `OfflineStoreConfig.S3StorageConfig.KmsKeyId`.
+ Fornisci `Account-B-Offline-Feature-Store-Bucket` per `OfflineStoreConfig.S3StorageConfig.S3Uri`.