Importation d'un modèle personnalisé depuis un autre Compte AWS - Amazon Comprehend
Avant de commencerImportation d'un modèle personnalisé

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Importation d'un modèle personnalisé depuis un autre Compte AWS

Dans Amazon Comprehend, vous pouvez importer un modèle personnalisé qui se trouve dans un autre. Compte AWS Lorsque vous importez un modèle, vous créez un nouveau modèle personnalisé dans votre compte. Votre nouveau modèle personnalisé est une copie entièrement entraînée du modèle que vous avez importé.

Avant de commencer

Avant de pouvoir importer un modèle personnalisé depuis un autreCompte AWS, assurez-vous que la personne qui a partagé le modèle avec vous effectue les opérations suivantes :

  • Vous autorise à effectuer l'importation. Cette autorisation est accordée dans la politique basée sur les ressources attachée à la version du modèle. Pour plus d’informations, consultez Politiques basées sur les ressources pour les modèles personnalisés.

  • Vous fournit les informations suivantes :

    • Le nom de ressource Amazon (ARN) de la version du modèle.

    • Celui Région AWS qui contient le modèle. Vous devez l'utiliser Région AWS lors de l'importation.

    • Si le modèle est chiffré à l'aide d'une AWS KMS clé et, dans l'affirmative, le type de clé utilisé.

Si le modèle est chiffré, vous devrez peut-être prendre des mesures supplémentaires, en fonction du type de clé KMS utilisé :

  • Clé détenue par AWS— Ce type de clé KMS est détenu et géré parAWS. Si le modèle est chiffré avec unClé détenue par AWS, aucune étape supplémentaire n'est nécessaire.

  • Clé gérée par le client — Ce type de clé KMS est créé, détenu et géré par un AWS client dans sonCompte AWS. Si le modèle est chiffré à l'aide d'une clé gérée par le client, la personne qui a partagé le modèle doit :

    • Vous autoriser à déchiffrer le modèle. Cette autorisation est accordée dans la politique de clé KMS pour la clé gérée par le client. Pour plus d’informations, consultez AWS KMSdéclaration de politique clé.

    • Indiquez l'ARN de la clé gérée par le client. Vous utilisez cet ARN lorsque vous créez un rôle de service IAM. Ce rôle autorise Amazon Comprehend à utiliser la clé KMS pour déchiffrer le modèle.

Autorisations nécessaires

Avant de pouvoir importer un modèle personnalisé, vous ou votre administrateur devez autoriser les actions requises dans AWS Identity and Access Management (IAM). En tant qu'utilisateur d'Amazon Comprehend, vous devez être autorisé à importer par une déclaration de politique IAM. Si le chiffrement ou le déchiffrement est requis lors de l'importation, Amazon Comprehend doit être autorisé à utiliser les AWS KMS clés nécessaires.

Votre utilisateur, groupe ou rôle doit être associé à une politique autorisant l'ImportModelaction, comme illustré dans l'exemple suivant.

Exemple Politique IAM pour importer un modèle personnalisé
{ 
  "Effect": "Allow",
  "Action": [
    "comprehend:ImportModel"
  ],
  "Resource": "arn:aws:comprehend:us-west-2:111122223333:document-classifier/foo/version/*"
}

Pour plus d'informations sur la création d'une stratégie IAM, consultez la section Création de politiques IAM dans le Guide de l'utilisateur IAM. Pour plus d'informations sur l'attachement d'une politique IAM, consultez la section Ajout et suppression d'autorisations d'identité IAM dans le guide de l'utilisateur IAM.

Lorsque vous importez un modèle personnalisé, vous devez autoriser Amazon Comprehend à utiliser des AWS KMS clés dans l'un des cas suivants :

  • Vous importez un modèle personnalisé chiffré à l'aide d'une clé gérée par le clientAWS KMS. Dans ce cas, Amazon Comprehend doit accéder à la clé KMS afin de pouvoir déchiffrer le modèle lors de l'importation.

  • Vous souhaitez chiffrer le nouveau modèle personnalisé que vous créez lors de l'importation, et vous souhaitez utiliser une clé gérée par le client. Dans ce cas, Amazon Comprehend a besoin d'accéder à votre clé KMS pour pouvoir chiffrer le nouveau modèle.

Pour autoriser Amazon Comprehend à utiliser ces AWS KMS clés, vous devez créer un rôle de service IAM. Ce type de rôle IAM permet à un AWS service d'accéder aux ressources d'autres services en votre nom. Pour plus d'informations sur les rôles de service, consultez la section Création d'un rôle pour déléguer des autorisations à un AWS service dans le Guide de l'utilisateur IAM.

Si vous utilisez la console Amazon Comprehend pour importer, Amazon Comprehend peut créer le rôle de service pour vous. Dans le cas contraire, vous devez créer un rôle de service dans IAM avant de procéder à l'importation.

Le rôle de service IAM doit disposer d'une politique d'autorisations et d'une politique de confiance, comme le montrent les exemples suivants.

Exemple stratégie d'autorisation

La politique d'autorisation suivante autorise les AWS KMS opérations utilisées par Amazon Comprehend pour chiffrer et déchiffrer des modèles personnalisés. Il donne accès à deux clés KMS :

  • Une clé KMS Compte AWS contient le modèle à importer. Il a été utilisé pour chiffrer le modèle, et Amazon Comprehend l'utilise pour le déchiffrer lors de l'importation.

  • L'autre clé KMS se trouve dans le Compte AWS qui importe le modèle. Amazon Comprehend utilise cette clé pour chiffrer le nouveau modèle personnalisé créé par l'importation.

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:CreateGrant"
        ],
        "Resource": [
            "arn:aws:kms:us-west-2:111122223333:key/key-id",
            "arn:aws:kms:us-west-2:444455556666:key/key-id"
        ]
    },
    {
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt",
            "kms:GenerateDatakey"
        ],
        "Resource": [
            "arn:aws:kms:us-west-2:111122223333:key/key-id",
            "arn:aws:kms:us-west-2:444455556666:key/key-id"
        ],
        "Condition": {
            "StringEquals": {
                "kms:ViaService": [
                    "s3.us-west-2.amazonaws.com"
                ]
            }
        }
    }
  ]
}
Exemple politique d'approbation

La politique de confiance suivante permet à Amazon Comprehend d'assumer le rôle et d'obtenir ses autorisations. Il permet au directeur du comprehend.amazonaws.com service d'effectuer l'sts:AssumeRoleopération. Pour éviter toute confusion chez les adjoints, vous limitez la portée de l'autorisation en utilisant une ou plusieurs clés contextuelles de conditions globales. Pouraws:SourceAccount, spécifiez l'ID de compte de l'utilisateur qui importe le modèle. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "comprehend.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "444455556666"  
        }
      }
    }
  ]
}

Importation d'un modèle personnalisé

Vous pouvez importer un modèle personnalisé à l'aide de l'AWS Management ConsoleAPIAWS CLI, ou Amazon Comprehend.

Vous pouvez utiliser Amazon Comprehend dans le. AWS Management Console

Pour importer un modèle personnalisé

  1. Connectez-vous à la console Amazon Comprehend AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/comprehend/

  2. Dans le menu de navigation de gauche, sous Personnalisation, choisissez la page correspondant au type de modèle que vous importez :

    1. Si vous importez un classificateur de documents personnalisé, choisissez Classification personnalisée.

    2. Si vous importez un outil de reconnaissance d'entité personnalisé, choisissez Reconnaissance d'entité personnalisée.

  3. Choisissez la version d'importation.

  4. Sur la page Importer la version du modèle, entrez les informations suivantes :

    • ARN de la version du modèle : ARN de la version du modèle à importer.

    • Nom du modèle : nom personnalisé du nouveau modèle créé par l'importation.

    • Nom de version : nom personnalisé pour la nouvelle version du modèle créée par l'importation.

  5. Pour le chiffrement du modèle, choisissez le type de clé KMS à utiliser pour chiffrer le nouveau modèle personnalisé que vous créez lors de l'importation :

    • Utiliser AWS une clé propre : Amazon Comprehend chiffre votre modèle à l'aide d'une clé in AWS Key Management Service (AWS KMS) créée, gérée et utilisée en votre nom par. AWS

    • Choisissez une autre AWS KMS clé (avancée) — Amazon Comprehend chiffre votre modèle à l'aide d'une clé gérée par le client dans laquelle vous gérez. AWS KMS

      Si vous choisissez cette option, sélectionnez une clé KMS qui se trouve dans votreCompte AWS, ou créez-en une nouvelle en choisissant Créer une AWS KMS clé.

  6. Dans la section Accès au service, accordez à Amazon Comprehend l'accès à toutes AWS KMS les clés dont il a besoin pour :

    • Déchiffrez le modèle personnalisé que vous importez.

    • Chiffrez le nouveau modèle personnalisé que vous créez lors de l'importation.

    Vous accordez l'accès avec un rôle de service IAM qui permet à Amazon Comprehend d'utiliser les clés KMS.

    Pour le rôle de service, effectuez l'une des opérations suivantes :

    • Si vous souhaitez utiliser un rôle de service existant, choisissez Utiliser un rôle IAM existant. Sélectionnez-le ensuite sous Nom du rôle.

    • Si vous souhaitez qu'Amazon Comprehend crée un rôle pour vous, choisissez Create an IAM role.

  7. Si vous avez choisi de demander à Amazon Comprehend de créer le rôle pour vous, procédez comme suit :

    1. Dans Nom du rôle, entrez un suffixe de nom de rôle qui vous aidera à reconnaître le rôle ultérieurement.

    2. Pour l'ARN de la clé KMS source, entrez l'ARN de la clé KMS utilisée pour chiffrer le modèle que vous importez. Amazon Comprehend utilise cette clé pour déchiffrer le modèle lors de l'importation.

  8. (Facultatif) Dans la section Balises, vous pouvez ajouter des balises au nouveau modèle personnalisé que vous créez par importation. Pour plus d'informations sur le balisage de modèles personnalisés, consultezMarquer une nouvelle ressource.

  9. Choisissez Confirmer.

Vous pouvez utiliser Amazon Comprehend en exécutant des commandes à l'aide du. AWS CLI

Exemple Commande d'importation du modèle

Pour importer un modèle personnalisé, utilisez la import-model commande :

$ aws comprehend import-model \
> --source-model arn:aws:comprehend:us-west-2:111122223333:document-classifier/foo/version/bar \
> --model-name importedDocumentClassifier \
> --version-name versionOne \
> --data-access-role-arn arn:aws:iam::444455556666:role/comprehendAccessRole \
> --model-kms-key-id kms-key-id

Cet exemple utilise les paramètres suivants :

  • source-model— L'ARN du modèle personnalisé à importer.

  • model-name— Un nom personnalisé pour le nouveau modèle créé par l'importation.

  • version-name— Un nom personnalisé pour la nouvelle version du modèle créée par l'importation.

  • data-access-role-arn— L'ARN du rôle de service IAM qui permet à Amazon Comprehend d'utiliser les clés AWS KMS nécessaires pour chiffrer ou déchiffrer le modèle personnalisé.

  • model-kms-key-id— L'ARN ou l'ID de la clé KMS qu'Amazon Comprehend utilise pour chiffrer le modèle personnalisé que vous créez avec cette importation. Cette clé doit se trouver AWS KMS dans votreCompte AWS.

Pour importer un modèle personnalisé à l'aide de l'API Amazon Comprehend, utilisez l'action ImportModelAPI.