Importación de un modelo personalizado desde otra Cuenta de AWS - Amazon Comprehend
Antes de empezarImportación de un modelo personalizado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Importación de un modelo personalizado desde otra Cuenta de AWS

En Amazon Comprehend, puede importar un modelo personalizado que esté en otra Cuenta de AWS. Al importar un modelo, crea un nuevo modelo personalizado en su cuenta. Su nuevo modelo personalizado es un duplicado completo del modelo que ha importado.

Antes de empezar

Antes de poder importar un modelo personalizado de otra Cuenta de AWS, asegúrese de que la persona que compartió el modelo con usted haga lo siguiente:

  • Le autoriza a realizar la importación. Esta autorización se otorga mediante la política basada en recursos que se adjunta a la versión del modelo. Para obtener más información, consulte Políticas basadas en recursos para modelos personalizados.

  • Le proporciona la siguiente información:

    • El Nombre de recurso de Amazon (ARN) de la versión del módulo.

    • La Región de AWS que contiene el modelo. Usted debe usar la misma Región de AWS al importar.

    • Si el modelo está cifrado con una clave AWS KMS y, si lo está, el tipo de clave que se utiliza.

Si el modelo está cifrado, es posible que deba tomar medidas adicionales, según el tipo de clave KMS que se utilice:

  • Clave propiedad de AWS este tipo de clave KMS es propiedad de y está administrada por AWS. Si el modelo está cifrado con una Clave propiedad de AWS, no es necesario realizar ningún paso adicional.

  • Clave administrada por el cliente: este tipo de clave KMS la crea, posee y administra un cliente de AWS en su Cuenta de AWS. Si el modelo está cifrado con una clave gestionada por el cliente, la persona que compartió el modelo debe:

    • Autorizarlo a descifrar el modelo. Esta autorización se concede mediante la política de claves de KMS para la clave gestionada por el cliente. Para obtener más información, consulte Instrucción de la política de claves de AWS KMS.

    • Proporcione el ARN de la clave gestionada por el cliente. Este ARN se utiliza al crear un rol de servicio de IAM. Este rol autoriza a Amazon Comprehend a utilizar la clave KMS para descifrar el modelo.

Permisos necesarios

Antes de poder importar un modelo personalizado, usted o su administrador deben autorizar las acciones necesarias en (IAM) AWS Identity and Access Management. Como usuario de Amazon Comprehend, usted debe estar autorizado a importar mediante una declaración de política de IAM. Si se requiere el cifrado o el descifrado durante la importación, Amazon Comprehend debe estar autorizado a utilizar las claves AWS KMS necesarias.

El usuario, grupo o rol debe tener una política adjunta que permita la acción ImportModel, como se muestra en el siguiente ejemplo.

ejemplo Política de IAM para importar un modelo personalizado
{ 
  "Effect": "Allow",
  "Action": [
    "comprehend:ImportModel"
  ],
  "Resource": "arn:aws:comprehend:us-west-2:111122223333:document-classifier/foo/version/*"
}

Para obtener más información acerca de cómo crear una política de IAM, consulte Creación de políticas de IAM en la Guía del usuario de IAM. Para obtener información sobre cómo adjuntar una política de IAM, consulte Adición y eliminación de permisos de identidad de IAM en la Guía del usuario de IAM.

Al importar un modelo personalizado, debe autorizar a Amazon Comprehend a utilizar las claves AWS KMS en cualquiera de los siguientes casos:

  • Usted está importando un modelo personalizado que está cifrado con una clave administrada por el cliente de AWS KMS. En este caso, Amazon Comprehend necesita acceder a la clave KMS para poder descifrar el modelo durante la importación.

  • Usted desea cifrar el nuevo modelo personalizado que ha creado con la importación y quiere utilizar una clave gestionada por el cliente. En este caso, Amazon Comprehend necesita acceder a la clave KMS para poder cifrar el nuevo modelo.

Para autorizar a Amazon Comprehend a utilizar estas claves AWS KMS, debe crear un rol de servicio de IAM. Este tipo de rol de IAM permite a un servicio de AWS acceder a recursos de otros servicios en su nombre. Para obtener más información acerca de cómo crear roles de servicio, consulte Creación de un rol para delegar permisos a un servicio de AWS en la Guía del usuario de IAM.

Si usted utiliza la consola de Amazon Comprehend para importar, puede hacer que Amazon Comprehend cree el rol de servicio por usted. De lo contrario, debe crear un rol de servicio en IAM antes de realizar la importación.

El rol de servicio de IAM debe tener una política de permisos y de confianza, como se muestra en los siguientes ejemplos.

ejemplo política de permisos

La siguiente política de permisos permite las operaciones de AWS KMS que Amazon Comprehend utiliza para cifrar y descifrar modelos personalizados. Otorga acceso a dos claves KMS:

  • Hay una clave KMS en la Cuenta de AWS que contiene el modelo que se va a importar. Se usó para cifrar el modelo y Amazon Comprehend lo usa para descifrar el modelo durante la importación.

  • La otra clave KMS se encuentra en la Cuenta de AWS que importa el modelo. Amazon Comprehend utiliza esta clave para cifrar el nuevo modelo personalizado creado por la importación.

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:CreateGrant"
        ],
        "Resource": [
            "arn:aws:kms:us-west-2:111122223333:key/key-id",
            "arn:aws:kms:us-west-2:444455556666:key/key-id"
        ]
    },
    {
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt",
            "kms:GenerateDatakey"
        ],
        "Resource": [
            "arn:aws:kms:us-west-2:111122223333:key/key-id",
            "arn:aws:kms:us-west-2:444455556666:key/key-id"
        ],
        "Condition": {
            "StringEquals": {
                "kms:ViaService": [
                    "s3.us-west-2.amazonaws.com"
                ]
            }
        }
    }
  ]
}
ejemplo política de confianza

La siguiente política de confianza permite a Amazon Comprehend asumir el rol y obtener sus permisos. Permite a la entidad principal del servicio comprehend.amazonaws.com realizar la operación sts:AssumeRole. Para evitar que se produzcan errores confusos, se restringe el alcance del permiso mediante una o más claves de contexto de condiciones globales. Para aws:SourceAccount, especifique el ID de cuenta del usuario que está importando el modelo. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "comprehend.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "444455556666"  
        }
      }
    }
  ]
}

Importación de un modelo personalizado

Usted puede importar un modelo personalizado mediante la AWS Management Console, la AWS CLI o la API de Amazon Comprehend.

Puede utilizar Amazon Comprehend en la AWS Management Console.

Para importar un modelo personalizado

  1. Inicie sesión en la AWS Management Console y abra la consola de Amazon Comprehend en https://console.aws.amazon.com/comprehend/

  2. En el menú de navegación de la izquierda, en Personalización, elija la página para el tipo de modelo que va a importar:

    1. Si va a importar un clasificador de documentos personalizado, elija Clasificación personalizada.

    2. Si va a importar un reconocedor de entidades personalizado, elija Reconocimiento de entidades personalizado.

  3. Elija Importar versión.

  4. En la página Importar versión del modelo, escriba lo siguiente:

    • ARN de la versión del modelo: el ARN de la versión del modelo que se va a importar.

    • Nombre del modelo: un nombre personalizado para el nuevo modelo que se crea mediante la importación.

    • Nombre del modelo: un nombre personalizado para la nueva versión del modelo que se crea mediante la importación.

  5. Para el Cifrado del modelo, elija el tipo de clave KMS que se utilizará para cifrar el nuevo modelo personalizado que cree con la importación:

    • Utilice una clave propia de AWS: Amazon Comprehend cifra su modelo mediante una clave en AWS Key Management Service (AWS KMS) que es creada, administrada y utilizada en su nombre por AWS.

    • Elija una clave diferente (avanzada) AWS KMS: Amazon Comprehend cifra su modelo mediante una clave gestionada por el cliente en la que usted administra en AWS KMS.

      Si elige esta opción, seleccione una clave KMS que esté en su Cuenta de AWS, o cree una nueva seleccionando Crear una clave AWS KMS.

  6. En la sección Acceso al servicio, conceda a Amazon Comprehend acceso a todas las claves AWS KMS que necesite para:

    • Descifrar el modelo personalizado que va a importar.

    • Cifrar el nuevo modelo personalizado que cree con la importación.

    Conceder acceso con un rol de servicio de IAM que permite a Amazon Comprehend utilizar las claves KMS.

    En Rol de servicio, realice una de las operaciones siguientes:

    • Si ya tiene un rol de servicio que quiera usar, elija Usar un rol de IAM existente. A continuación, selecciónelo en Nombre del rol.

    • Si desea que Amazon Comprehend cree un rol para usted, elija Crear un rol de IAM.

  7. Si ha elegido Amazon Comprehend para que cree el rol por usted, haga lo siguiente:

    1. En Nombre del rol, introduzca un sufijo del nombre del rol que le ayude a reconocerlo más adelante.

    2. En ARN de la clave KMS de origen, introduzca el ARN de la clave KMS que se utiliza para cifrar el modelo que está importando. Amazon Comprehend utiliza esta clave para descifrar el modelo durante la importación.

  8. (Opcional) En la sección Etiquetas, puede añadir etiquetas al nuevo modelo personalizado que ha creado al importar. Para obtener más información sobre el etiquetado de modelos personalizados, consulte Etiquetado de un nuevo recurso.

  9. Seleccione Confirmar.

Puede utilizar Amazon Comprehend ejecutando comandos con la AWS CLI.

ejemplo Comando de importación de modelos

Para importar un modelo personalizado, utilice el comando import-model:

$ aws comprehend import-model \
> --source-model arn:aws:comprehend:us-west-2:111122223333:document-classifier/foo/version/bar \
> --model-name importedDocumentClassifier \
> --version-name versionOne \
> --data-access-role-arn arn:aws:iam::444455556666:role/comprehendAccessRole \
> --model-kms-key-id kms-key-id

Este ejemplo utiliza los parámetros siguientes:

  • source-model— El ARN del modelo personalizado que se va a importar.

  • model-name— Un nombre personalizado para el nuevo modelo que se crea mediante la importación.

  • version-name— Un nombre personalizado para la nueva versión del modelo que se crea mediante la importación.

  • data-access-role-arn— El ARN del rol de servicio de IAM que permite a Amazon Comprehend utilizar las claves AWS KMS necesarias para cifrar o descifrar el modelo personalizado.

  • model-kms-key-id— El ARN o el ID de la clave KMS que Amazon Comprehend utiliza para cifrar el modelo personalizado que se crea con esta importación. Esta clave debe estar en AWS KMS en su Cuenta de AWS.

Para importar un modelo personalizado mediante la API Amazon Comprehend, utilice la acción ImportModelAPI.