翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# モデルを共有するための前提条件を満たす
Amazon Bedrock は、モデルの共有を可能にするために、[AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/) および [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/) サービスとのインターフェイスをとります。モデルを別のアカウントと共有する前に、次の前提条件を満たす必要があります。
## を使用して組織を作成し AWS Organizations 、モデル共有者と受信者を追加する
アカウントがモデルを別のアカウントと共有するには、2 つのアカウントが の同じ組織の一部 AWS Organizations であり、 のリソース共有が組織で有効になっている AWS RAM 必要があります。組織を設定してそこにアカウントを招待するには、以下を実行します。
1. 「 AWS RAM ユーザーガイド」の「 内のリソース共有を有効にする AWS Organizations 」の手順に従って、 AWS RAM でリソース共有を有効にします。 [AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)
1. 「 AWS Organizations ユーザーガイド AWS Organizations 」の[「組織の作成」の手順に従って、 で組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html)を作成します。
1. 「 AWS Organizations ユーザーガイド」の[「 を組織に招待 AWS アカウント する」の手順に従って、モデルを共有するアカウントを招待します](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)。
1. 招待を受信したアカウントの管理者は、「[組織からの招待の承認または拒否](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html#orgs_manage_accounts_accept-decline-invite)」の手順に従って招待を承諾する必要があります。
## アイデンティティベースのポリシーを IAM ロールに追加して、モデルを共有できるようにする
モデルを共有するアクセス許可を持つロールには、Amazon Bedrock と AWS RAM アクションの両方に対するアクセス許可が必要です。次のポリシーをロールに付与します。
1. 別のアカウントとのモデルの共有を管理するアクセス許可をロールに付与するには AWS Resource Access Manager、次のアイデンティティベースのポリシーをロールにアタッチして最小限のアクセス許可を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ShareResources",
"Effect": "Allow",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare",
"ram:DeleteResourceShare",
"ram:AssociateResourceShare",
"ram:DisassociateResourceShare",
"ram:GetResourceShares"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/model-id"
]
}
]
}
```
------
*\$1\$1model-arn\$1* を、共有するモデルの Amazon リソースネーム (ARN) に置き換えます。必要に応じてモデルを `Resource` リストに追加します。の[アクション、リソース、および条件キー AWS Resource Access Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceaccessmanagerram.html)を確認し、必要に応じてロールが実行できる AWS RAM アクションを変更できます。
**注記**
より寛容な [AWS ResourceManagerFullAccess マネージドポリシー](https://docs.aws.amazon.com/ram/latest/userguide/security-iam-managed-policies.html#security-iam-managed-policies-AWSResourceAccessManagerFullAccess)をロールにアタッチすることもできます。
1. ロールに [AmazonSageMakerFullAccess ポリシー](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)がアタッチされていることを確認します。そうでない場合は、必要に応じてモデルを共有できるように (*\$1\$1model-arn\$1* を置き換える)、次のポリシーもロールにアタッチする必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ShareCustomModels",
"Effect": "Allow",
"Action": [
"bedrock:GetCustomModel",
"bedrock:ListCustomModels",
"bedrock:PutResourcePolicy",
"bedrock:GetResourcePolicy",
"bedrock:DeleteResourcePolicy"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/model-id"
]
}
]
}
```
------
## (オプション) モデルを暗号化し、かつ復号化できるように KMS キーポリシーを設定する
**注記**
共有するモデルがカスタマーマネージドキーで暗号化されておらず、暗号化する予定がない場合は、この前提条件をスキップします。
別のアカウントと共有する前にカスタマーマネージドキーでモデルを暗号化する必要がある場合は、[カスタムモデルを暗号化するためのキーアクセス権を設定する](encryption-custom-job.md#encryption-cm) の手順に従って、モデルを暗号化するために使用する KMS キーにアクセス許可をアタッチします。
別のアカウントと共有しているモデルがカスタマーマネージドキーで暗号化されている場合は、モデルを暗号化した KMS キーにアクセス許可をアタッチして、受信者アカウントが [カスタムモデルをコピーするためのキーアクセス権を設定する](encryption-custom-job.md#encryption-copy) の手順に従って復号できるようにします。