本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 滿足共用模型的先決條件
Amazon Bedrock 會與 [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/) 和 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/) 服務互動,以允許共用模型。您必須先滿足下列先決條件,才能與其他帳戶共用模型:
## 使用 建立組織, AWS Organizations 並新增模型共享器和收件人
若要讓帳戶與另一個帳戶共用模型,兩個帳戶必須屬於 中的相同組織, AWS Organizations 且 AWS RAM 必須為組織啟用 中的資源共用。若要設定組織並邀請帳戶加入組織,請執行下列動作:
1. AWS Organizations 遵循 AWS RAM 《 使用者指南 AWS RAM 》中的在 中啟用資源共用中的步驟,透過 中的 [啟用資源共用 AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)。
1. AWS Organizations 遵循 AWS Organizations 《 使用者指南》中的建立組織的步驟,在 中[建立組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html)。
1. 依照 AWS Organizations 《 使用者指南》中的[邀請 AWS 帳戶 加入您的組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)的步驟,邀請您要與其共用模型的帳戶。
1. 您要將邀請寄往的帳戶其管理員必須遵循[接受或拒絕來自組織的邀請](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html#orgs_manage_accounts_accept-decline-invite)中的步驟接受邀請。
## 將身分型政策新增至 IAM 角色,以允許其共用模型
若要讓角色擁有共用模型的許可,其必須同時擁有 Amazon Bedrock 和 AWS RAM 動作的許可。將下列政策連接至該角色:
1. 若要為角色提供許可,以透過其他帳戶管理模型的共用 AWS Resource Access Manager,請將下列身分型政策連接至角色,以提供最低許可:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ShareResources",
"Effect": "Allow",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare",
"ram:DeleteResourceShare",
"ram:AssociateResourceShare",
"ram:DisassociateResourceShare",
"ram:GetResourceShares"
],
"Resource": [
"arn:aws:bedrock:us-east-1::foundation-model/{{model-id}}"
]
}
]
}
```
------
將 {{${model-arn}}} 取代為您要共用之模型的 Amazon Resource Name (ARN)。視需要將模型新增至 `Resource` 清單。您可以檢閱 [的動作、資源和條件索引鍵 AWS Resource Access Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceaccessmanagerram.html),並視需要修改角色可執行 AWS RAM 的動作。
**注意**
您也可以將更寬鬆的 [AWS ResourceManagerFullAccess 受管政策](https://docs.aws.amazon.com/ram/latest/userguide/security-iam-managed-policies.html#security-iam-managed-policies-AWSResourceAccessManagerFullAccess)連接至角色。
1. 檢查已連接 [AmazonBedrockFullAccess 政策](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)的角色。如果沒有,您還必須將以下政策連接到角色,以允許其在必要時共用模型 (取代 {{${model-arn}}}):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ShareCustomModels",
"Effect": "Allow",
"Action": [
"bedrock:GetCustomModel",
"bedrock:ListCustomModels",
"bedrock:PutResourcePolicy",
"bedrock:GetResourcePolicy",
"bedrock:DeleteResourcePolicy"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{model-id}}"
]
}
]
}
```
------
## (選用) 設定 KMS 金鑰政策來加密模型並允許其解密
**注意**
如果您共用的模型未使用客戶受管金鑰加密,且您也未打算加密,請略過此先決條件。
如果您需要先使用客戶受管金鑰將模型加密,再與其他帳戶共用該模型,請依照 [設定用於加密自訂模型的金鑰許可](encryption-custom-job.md#encryption-cm) 中的步驟,將許可連接至您將用來加密模型的 KMS 金鑰。
如果您與另一個帳戶共用的模型使用客戶受管金鑰加密,請依照 [設定複製自訂模型的金鑰許可](encryption-custom-job.md#encryption-copy) 中的步驟,將許可連接到加密該模型的 KMS 金鑰,以允許收件人帳戶解密該模型。