本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 自訂模型匯入任務的 Amazon S3 儲存貯體跨帳戶存取權
<a name="cross-account-access-cmi"></a>

如果您要從 Amazon S3 儲存貯體匯入模型並使用跨帳戶 Amazon S3，則需要在匯入自訂模型之前，將存取儲存貯體的許可授予儲存貯體擁有者帳戶中的使用者。請參閱 [匯入自訂模型的先決條件](custom-model-import-prereq.md)。

## 設定 Amazon S3 儲存貯體的跨帳戶存取權
<a name="configure-cross-acct-access"></a>

本節將逐步解說步驟，說明如何為儲存貯體擁有者帳戶中的使用者建立政策以存取 Amazon S3 儲存貯體。

1. 在儲存貯體擁有者帳戶中，建立儲存貯體政策，為儲存貯體擁有者帳戶中的使用者提供存取權。

   以下範例儲存貯體政策由儲存貯體擁有者建立並套用至 `s3://amzn-s3-demo-bucket` 儲存貯體，會將存取權授予儲存貯體擁有者帳戶 `123456789123` 中的使用者。

------
#### [ JSON ]

****  

   ```
   { 
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "CrossAccountAccess",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::123456789012:role/ImportRole"
               },           
               "Action": [
                   "s3:ListBucket",
                   "s3:GetObject"
               ],
               "Resource": [
                   "arn:aws:s3:::amzn-s3-demo-bucket",
                   "arn:aws:s3:::amzn-s3-demo-bucket/*"
               ]
           }
       ]
   }
   ```

------

1. 在使用者的 中 AWS 帳戶，建立匯入執行角色政策。對於`aws:ResourceAccount`指定儲存貯體擁有者的帳戶 ID AWS 帳戶。

   下列範例匯入執行角色政策位於使用者帳戶中，可讓儲存貯體擁有者的帳戶 ID `111222333444555` 存取 Amazon S3 儲存貯體 `s3://amzn-s3-demo-bucket`。

------
#### [ JSON ]

****  

   ```
   { 
       "Version":"2012-10-17",		 	 	 
      "Statement": [
       {
           "Effect": "Allow",
           "Action": [
               "s3:ListBucket",
               "s3:GetObject"
           ],
           "Resource": [
               "arn:aws:s3:::amzn-s3-demo-bucket",
               "arn:aws:s3:::amzn-s3-demo-bucket/*"
           ],
           "Condition": {
               "StringEquals": {
                   "aws:ResourceAccount": "123456789012"
               }
           }
       }
     ]
   }
   ```

------

## 設定跨帳戶存取使用自訂加密的 Amazon S3 儲存貯體 AWS KMS key
<a name="configure-cross-acct-access-kms"></a>

如果您有使用 custom AWS Key Management Service (AWS KMS) 金鑰加密的 Amazon S3 儲存貯體，您將需要從儲存貯體擁有者的帳戶授予使用者存取權。

設定跨帳戶存取使用自訂加密的 Amazon S3 儲存貯體 AWS KMS key

1. 在儲存貯體擁有者帳戶中，建立儲存貯體政策，為儲存貯體擁有者帳戶中的使用者提供存取權。

   以下範例儲存貯體政策由儲存貯體擁有者建立並套用至 `s3://amzn-s3-demo-bucket` 儲存貯體，會將存取權授予儲存貯體擁有者帳戶 `123456789123` 中的使用者。

------
#### [ JSON ]

****  

   ```
   { 
      "Version":"2012-10-17",		 	 	 
      "Statement": [
       {
           "Sid": "CrossAccountAccess",
           "Effect": "Allow",
           "Principal": {
               "AWS": "arn:aws:iam::123456789012:role/ImportRole"
           },           
           "Action": [
               "s3:ListBucket",
               "s3:GetObject"
           ],
           "Resource": [
               "arn:aws:s3:::amzn-s3-demo-bucket",
               "arn:aws:s3:::amzn-s3-demo-bucket/*"
           ]
        }
      ]
   }
   ```

------

1. 在儲存貯體擁有者帳戶中，建立下列資源政策，以允許使用者的帳戶匯入角色進行解密。

   ```
   {
      "Sid": "Allow use of the key by the destination account",
      "Effect": "Allow",
      "Principal": {
      "AWS": "arn:aws:iam::"arn:aws:iam::123456789123:role/ImportRole"
       },
       "Action": [
             "kms:Decrypt",
             "kms:DescribeKey"
       ],
       "Resource": "*"
   }
   ```

1. 在使用者的 中 AWS 帳戶，建立匯入執行角色政策。對於`aws:ResourceAccount`指定儲存貯體擁有者的帳戶 ID AWS 帳戶。此外，提供用於加密儲存貯體 AWS KMS key 的 存取權。

   使用者帳戶中的下列範例匯入執行角色政策，可讓儲存貯體擁有者的帳戶 ID `111222333444555`存取 Amazon S3 儲存貯體`s3://amzn-s3-demo-bucket`和 AWS KMS key `arn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd`

------
#### [ JSON ]

****  

   ```
   { 
       "Version":"2012-10-17",		 	 	 
      "Statement": [
         {
           "Effect": "Allow",
           "Action": [
               "s3:ListBucket",
               "s3:GetObject"
           ],
           "Resource": [
               "arn:aws:s3:::amzn-s3-demo-bucket",
               "arn:aws:s3:::amzn-s3-demo-bucket/*"
           ],
           "Condition": {
               "StringEquals": {
                   "aws:ResourceAccount": "123456789012"
               }
           }
        },
        {
         "Effect": "Allow",
         "Action": [
           "kms:Decrypt",
           "kms:DescribeKey"
         ],
         "Resource": "arn:aws:kms:us-west-2:123456789012:key/111aa2bb-333c-4d44-5555-a111bb2c33dd"
       }
     ]
    }
   ```

------