Importieren eines benutzerdefinierten Modells aus einem anderen AWS-Konto - Amazon Comprehend
Bevor Sie beginnenImportieren eines benutzerdefinierten Modells

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Importieren eines benutzerdefinierten Modells aus einem anderen AWS-Konto

In Amazon Comprehend können Sie ein benutzerdefiniertes Modell importieren, das sich in einem anderen befindetAWS-Konto. Wenn Sie ein Modell importieren, erstellen Sie ein neues benutzerdefiniertes Modell in Ihrem Konto. Ihr neues benutzerdefiniertes Modell ist ein vollständig trainiertes Duplikat des Modells, das Sie importiert haben.

Bevor Sie beginnen

Bevor Sie ein benutzerdefiniertes Modell aus einem anderen importieren könnenAWS-Konto, stellen Sie sicher, dass die Person, die das Modell für Sie freigegeben hat, Folgendes tut:

  • Autorisiert Sie zum Importieren. Diese Autorisierung wird in der ressourcenbasierten Richtlinie gewährt, die an die Modellversion angehängt ist. Weitere Informationen finden Sie unter Ressourcenbasierte Richtlinien für benutzerdefinierte Modelle.

  • Stellt Ihnen die folgenden Informationen zur Verfügung:

    • Der Amazon-Ressourcenname (ARN) der Modellversion.

    • Die AWS-Region, die das Modell enthält. Sie müssen diese AWS-Region beim Import verwenden.

    • Gibt an, ob das Modell mit einem -AWS KMSSchlüssel verschlüsselt ist, und, falls dies der Fall ist, den verwendeten Schlüsseltyp.

Wenn das Modell verschlüsselt ist, müssen Sie je nach Art des verwendeten KMS-Schlüssels möglicherweise zusätzliche Schritte unternehmen:

  • AWS-eigener Schlüssel – Diese Art von KMS-Schlüssel gehört und wird von verwaltetAWS. Wenn das Modell mit einem verschlüsselt istAWS-eigener Schlüssel, sind keine zusätzlichen Schritte erforderlich.

  • Vom Kunden verwalteter Schlüssel – Diese Art von KMS-Schlüssel wird von einem -AWSKunden in seinem erstellt, besessen und verwaltetAWS-Konto. Wenn das Modell mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, muss die Person, die das Modell freigegeben hat,:

    • Autorisieren Sie Sie zum Entschlüsseln des Modells. Diese Autorisierung wird in der KMS-Schlüsselrichtlinie für den vom Kunden verwalteten Schlüssel erteilt. Weitere Informationen finden Sie unter AWS KMS Schlüsselrichtlinienanweisung.

    • Geben Sie den ARN des vom Kunden verwalteten Schlüssels an. Sie verwenden diesen ARN, wenn Sie eine IAM-Servicerolle erstellen. Diese Rolle autorisiert Amazon Comprehend, den KMS-Schlüssel zum Entschlüsseln des Modells zu verwenden.

Erforderliche Berechtigungen

Bevor Sie ein benutzerdefiniertes Modell importieren können, müssen Sie oder Ihr Administrator die erforderlichen Aktionen in AWS Identity and Access Management (IAM) autorisieren. Als Amazon Comprehend-Benutzer müssen Sie durch eine IAM-Richtlinienanweisung zum Importieren autorisiert sein. Wenn während des Imports eine Verschlüsselung oder Entschlüsselung erforderlich ist, muss Amazon Comprehend zur Verwendung der erforderlichen AWS KMS Schlüssel autorisiert sein.

Ihrem Benutzer, Ihrer Gruppe oder Ihrer Rolle muss eine Richtlinie zugeordnet sein, die die ImportModel Aktion zulässt, wie im folgenden Beispiel gezeigt.

Beispiel IAM-Richtlinie zum Importieren eines benutzerdefinierten Modells
{ 
  "Effect": "Allow",
  "Action": [
    "comprehend:ImportModel"
  ],
  "Resource": "arn:aws:comprehend:us-west-2:111122223333:document-classifier/foo/version/*"
}

Informationen zum Erstellen einer IAM-Richtlinie finden Sie unter Erstellen von IAM-Richtlinien im IAM-Benutzerhandbuch. Informationen zum Anfügen einer IAM-Richtlinie finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen im IAM-Benutzerhandbuch.

Wenn Sie ein benutzerdefiniertes Modell importieren, müssen Sie Amazon Comprehend autorisieren, AWS KMS Schlüssel in einem der folgenden Fälle zu verwenden:

  • Sie importieren ein benutzerdefiniertes Modell, das mit einem vom Kunden verwalteten Schlüssel in verschlüsselt istAWS KMS. In diesem Fall benötigt Amazon Comprehend Zugriff auf den KMS-Schlüssel, damit es das Modell während des Imports entschlüsseln kann.

  • Sie möchten das neue benutzerdefinierte Modell, das Sie mit dem Import erstellen, verschlüsseln und einen vom Kunden verwalteten Schlüssel verwenden. In diesem Fall benötigt Amazon Comprehend Zugriff auf Ihren KMS-Schlüssel, damit er das neue Modell verschlüsseln kann.

Um Amazon Comprehend zur Verwendung dieser AWS KMS Schlüssel zu autorisieren, erstellen Sie eine IAM-Servicerolle . Diese Art von IAM-Rolle ermöglicht es einem -AWSService, in Ihrem Namen auf Ressourcen in anderen -Services zuzugreifen. Weitere Informationen zu Servicerollen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen -AWSService im IAM-Benutzerhandbuch.

Wenn Sie die Amazon Comprehend-Konsole zum Importieren verwenden, kann Amazon Comprehend die Servicerolle für Sie erstellen. Andernfalls müssen Sie eine Servicerolle in IAM erstellen, bevor Sie importieren.

Die IAM-Servicerolle muss über eine Berechtigungsrichtlinie und eine Vertrauensrichtlinie verfügen, wie in den folgenden Beispielen gezeigt.

Beispiel Berechtigungsrichtlinie

Die folgende Berechtigungsrichtlinie erlaubt die AWS KMS Operationen, die Amazon Comprehend zum Verschlüsseln und Entschlüsseln benutzerdefinierter Modelle verwendet. Sie gewährt Zugriff auf zwei KMS-Schlüssel:

  • Ein KMS-Schlüssel befindet sich in der AWS-Konto, die das zu importierende Modell enthält. Es wurde verwendet, um das Modell zu verschlüsseln, und Amazon Comprehend verwendet es, um das Modell während des Imports zu entschlüsseln.

  • Der andere KMS-Schlüssel befindet sich in der AWS-Konto, die das Modell importiert. Amazon Comprehend verwendet diesen Schlüssel, um das neue benutzerdefinierte Modell zu verschlüsseln, das durch den Import erstellt wird.

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:CreateGrant"
        ],
        "Resource": [
            "arn:aws:kms:us-west-2:111122223333:key/key-id",
            "arn:aws:kms:us-west-2:444455556666:key/key-id"
        ]
    },
    {
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt",
            "kms:GenerateDatakey"
        ],
        "Resource": [
            "arn:aws:kms:us-west-2:111122223333:key/key-id",
            "arn:aws:kms:us-west-2:444455556666:key/key-id"
        ],
        "Condition": {
            "StringEquals": {
                "kms:ViaService": [
                    "s3.us-west-2.amazonaws.com"
                ]
            }
        }
    }
  ]
}
Beispiel Vertrauensrichtlinie

Die folgende Vertrauensrichtlinie ermöglicht es Amazon Comprehend, die Rolle zu übernehmen und ihre Berechtigungen zu erhalten. Es ermöglicht dem comprehend.amazonaws.com Service-Prinzipal, den sts:AssumeRole Vorgang auszuführen. Um bei der Prävention von verwirrtem Stellvertreter zu helfen, schränken Sie den Umfang der Berechtigung ein, indem Sie einen oder mehrere globale Bedingungskontextschlüssel verwenden. aws:SourceAccountGeben Sie für die Konto-ID des Benutzers an, der das Modell importiert. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "comprehend.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "444455556666"  
        }
      }
    }
  ]
}

Importieren eines benutzerdefinierten Modells

Sie können ein benutzerdefiniertes Modell mithilfe der AWS Management Console, AWS CLIoder Amazon Comprehend API importieren.

Sie können Amazon Comprehend in der verwendenAWS Management Console.

So importieren Sie ein benutzerdefiniertes Modell

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon Comprehend-Konsole unter https://console.aws.amazon.com/comprehend/

  2. Wählen Sie im Navigationsmenü auf der linken Seite unter Anpassung die Seite für den Modelltyp aus, den Sie importieren:

    1. Wenn Sie einen benutzerdefinierten Dokumentklassifizierer importieren, wählen Sie Benutzerdefinierte Klassifizierung aus.

    2. Wenn Sie eine benutzerdefinierte Entitätserkennung importieren, wählen Sie Benutzerdefinierte Entitätserkennung aus.

  3. Wählen Sie Version importieren aus.

  4. Geben Sie auf der Seite Modellversion importieren die folgenden Details ein:

    • ARN der Modellversion – Der ARN der zu importierenden Modellversion.

    • Modellname – Ein benutzerdefinierter Name für das neue Modell, das durch den Import erstellt wird.

    • Versionsname – Ein benutzerdefinierter Name für die neue Modellversion, die durch den Import erstellt wird.

  5. Wählen Sie für Modellverschlüsselung den Typ des KMS-Schlüssels aus, der zum Verschlüsseln des neuen benutzerdefinierten Modells verwendet werden soll, das Sie mit dem Import erstellen:

    • Schlüssel im AWS Besitz von verwenden – Amazon Comprehend verschlüsselt Ihr Modell mit einem Schlüssel in AWS Key Management Service (AWS KMS), der von in Ihrem Namen erstellt, verwaltet und verwendet wirdAWS.

    • Auswählen eines anderen AWS KMS Schlüssels (erweitert) – Amazon Comprehend verschlüsselt Ihr Modell mithilfe eines vom Kunden verwalteten Schlüssels, den Sie in verwaltenAWS KMS.

      Wenn Sie diese Option wählen, wählen Sie einen KMS-Schlüssel aus, der sich in Ihrem befindetAWS-Konto, oder erstellen Sie einen neuen, indem Sie AWS KMS Schlüssel erstellen auswählen.

  6. Gewähren Sie Amazon Comprehend im Abschnitt Servicezugriff Zugriff auf alle AWS KMS Schlüssel, die es für Folgendes benötigt:

    • Entschlüsseln Sie das benutzerdefinierte Modell, das Sie importieren.

    • Verschlüsseln Sie das neue benutzerdefinierte Modell, das Sie mit dem Import erstellen.

    Sie gewähren Zugriff mit einer IAM-Servicerolle, die es Amazon Comprehend ermöglicht, die KMS-Schlüssel zu verwenden.

    Führen Sie für Servicerolle einen der folgenden Schritte aus:

    • Wenn Sie über eine vorhandene Servicerolle verfügen, die Sie verwenden möchten, wählen Sie Vorhandene IAM-Rolle verwenden aus. Wählen Sie sie dann unter Rollenname aus.

    • Wenn Amazon Comprehend eine Rolle für Sie erstellen soll, wählen Sie Erstellen einer IAM-Rolle aus.

  7. Wenn Sie Amazon Comprehend die Rolle für Sie erstellen lassen möchten, gehen Sie wie folgt vor:

    1. Geben Sie für Rollenname ein Suffix für den Rollennamen ein, das Ihnen später hilft, die Rolle zu erkennen.

    2. Geben Sie für Quell-KMS-Schlüssel-ARN den ARN des KMS-Schlüssels ein, der zum Verschlüsseln des Modells verwendet wird, das Sie importieren. Amazon Comprehend verwendet diesen Schlüssel, um das Modell während des Imports zu entschlüsseln.

  8. (Optional) Im Abschnitt Tags können Sie dem neuen benutzerdefinierten Modell, das Sie durch Importieren erstellen, Tags hinzufügen. Weitere Informationen zum Markieren von benutzerdefinierten Modellen finden Sie unter Eine neue Ressource taggen.

  9. Wählen Sie Bestätigen aus.

Sie können Amazon Comprehend verwenden, indem Sie Befehle mit der ausführenAWS CLI.

Beispiel Import-Model-Befehl

Verwenden Sie den import-model Befehl , um ein benutzerdefiniertes Modell zu importieren:

$ aws comprehend import-model \
> --source-model arn:aws:comprehend:us-west-2:111122223333:document-classifier/foo/version/bar \
> --model-name importedDocumentClassifier \
> --version-name versionOne \
> --data-access-role-arn arn:aws:iam::444455556666:role/comprehendAccessRole \
> --model-kms-key-id kms-key-id

In diesem Beispiel werden die folgenden Parameter verwendet:

  • source-model – Der ARN des zu importierenden benutzerdefinierten Modells.

  • model-name – Ein benutzerdefinierter Name für das neue Modell, das durch den Import erstellt wird.

  • version-name – Ein benutzerdefinierter Name für die neue Modellversion, die durch den Import erstellt wird.

  • data-access-role-arn – Der ARN der IAM-Servicerolle, die es Amazon Comprehend ermöglicht, die erforderlichen AWS KMS Schlüssel zum Verschlüsseln oder Entschlüsseln des benutzerdefinierten Modells zu verwenden.

  • model-kms-key-id – Der ARN oder die ID des KMS-Schlüssels, den Amazon Comprehend zum Verschlüsseln des benutzerdefinierten Modells verwendet, das Sie mit diesem Import erstellen. Dieser Schlüssel muss sich in AWS KMS Ihrem befindenAWS-Konto.

Um ein benutzerdefiniertes Modell mithilfe der Amazon Comprehend API zu importieren, verwenden Sie die ImportModel -API-Aktion.