기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon S3 버킷에서 모델을 가져오고 교차 계정 Amazon S3를 사용하는 경우 사용자 지정 모델을 가져오기 전에 버킷 소유자 계정의 사용자에게 버킷에 액세스할 수 있는 권한을 부여해야 합니다. 사용자 지정 모델을 가져오기 위한 사전 조건을 참조하세요.
Amazon S3 버킷에 대한 교차 계정 액세스 구성
이 섹션에서는 Amazon S3 버킷에 액세스하기 위해 버킷 소유자 계정의 사용자에 대한 정책을 생성하는 단계를 안내합니다.
-
버킷 소유자 계정에서 버킷 소유자 계정의 사용자에게 액세스를 제공하는 버킷 정책을 생성합니다.
버킷 소유자가 생성하여 버킷에 적용
s3://amzn-s3-demo-bucket한 다음 예제 버킷 정책은 버킷 소유자의 계정에 있는 사용자에게 액세스 권한을 부여합니다123456789123.{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountAccess", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789123:role/ImportRole" }, "Action": [ "s3:ListBucket", "s3:GetObject" ], "Resource": [ "arn:aws:s3://amzn-s3-demo-bucket", "arn:aws:s3://amzn-s3-demo-bucket/*" ] } ] } -
사용자의에서 가져오기 실행 역할 정책을 AWS 계정생성합니다. 버킷 소유자의 계정 ID를
aws:ResourceAccount지정합니다 AWS 계정.사용자 계정의 다음 예제 가져오기 실행 역할 정책은 Amazon S3 버킷에 대한 버킷 소유자의 계정 ID
111222333444555액세스를 제공합니다s3://amzn-s3-demo-bucket.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetObject" ], "Resource": [ "arn:aws:s3://amzn-s3-demo-bucket", "arn:aws:s3://amzn-s3-demo-bucket/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "111222333444555" } } } ] }
사용자 지정으로 암호화된 Amazon S3 버킷에 대한 교차 계정 액세스 구성 AWS KMS key
사용자 지정 AWS Key Management Service (AWS KMS) 키로 암호화된 Amazon S3 버킷이 있는 경우 버킷 소유자 계정의 사용자에게 해당 버킷에 대한 액세스 권한을 부여해야 합니다.
사용자 지정으로 암호화된 Amazon S3 버킷에 대한 교차 계정 액세스를 구성하려면 AWS KMS key
-
버킷 소유자 계정에서 버킷 소유자 계정의 사용자에게 액세스를 제공하는 버킷 정책을 생성합니다.
버킷 소유자가 생성하여 버킷에 적용
s3://amzn-s3-demo-bucket한 다음 예제 버킷 정책은 버킷 소유자의 계정에 있는 사용자에게 액세스 권한을 부여합니다123456789123.{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountAccess", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789123:role/ImportRole" }, "Action": [ "s3:ListBucket", "s3:GetObject" ], "Resource": [ "arn:aws:s3://amzn-s3-demo-bucket", "arn:aws:s3://amzn-s3-demo-bucket/*" ] } ] } -
버킷 소유자 계정에서 다음 리소스 정책을 생성하여 사용자의 계정 가져오기 역할이 복호화되도록 허용합니다.
{ "Sid": "Allow use of the key by the destination account", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::"arn:aws:iam::123456789123:role/ImportRole" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*" } -
사용자의에서 가져오기 실행 역할 정책을 AWS 계정생성합니다. 버킷 소유자의 계정 ID를
aws:ResourceAccount지정합니다 AWS 계정. 또한 버킷을 암호화하는 데 AWS KMS key 사용되는에 대한 액세스 권한을 제공합니다.사용자 계정의 다음 예제 가져오기 실행 역할 정책은 Amazon S3 버킷
s3://amzn-s3-demo-bucket및에 대한 버킷 소유자의 계정 ID111222333444555액세스를 제공합니다. AWS KMS keyarn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetObject" ], "Resource": [ "arn:aws:s3://amzn-s3-demo-bucket", "arn:aws:s3://amzn-s3-demo-bucket/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "111222333444555" } } }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd" } ] }
