Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Partage d'un modèle personnalisé avec un autre Compte AWS
Avec Amazon Comprehend, vous pouvez partager vos modèles personnalisés avec d'autres utilisateurs, afin qu'ils puissent les importer dans leurs AWS comptes. Lorsqu'un utilisateur importe l'un de vos modèles personnalisés, il crée un nouveau modèle personnalisé dans son compte. Leur nouveau modèle reproduit celui que vous avez partagé.
Pour partager un modèle personnalisé, vous devez y associer une politique qui autorise les autres utilisateurs à l'importer. Ensuite, vous fournissez à ces utilisateurs les informations dont ils ont besoin.
Note
Lorsque d'autres utilisateurs importent un modèle personnalisé que vous avez partagé, ils doivent utiliser le même modèle Région AWS (par exemple, USA East (Virginie du Nord)) qui contient votre modèle.
Rubriques
Avant de commencer
Avant de pouvoir partager un modèle, vous devez disposer d'un classificateur personnalisé qualifié ou d'un outil de reconnaissance d'entités personnalisé dans Amazon Comprehend dans votre. Compte AWS Pour plus d'informations sur la formation de modèles personnalisés, consultez Classification personnalisée ouReconnaissance d'entités personnalisée.
Autorisations nécessaires
Avant de pouvoir ajouter une politique basée sur les ressources à un modèle personnalisé, vous devez disposer d'autorisations dans AWS Identity and Access Management (IAM). Une politique doit être attachée à votre utilisateur, groupe ou rôle afin que vous puissiez créer, obtenir et supprimer des modèles de politiques, comme illustré dans l'exemple suivant.
Exemple Politique IAM pour gérer les politiques basées sur les ressources pour les modèles personnalisés
{ "Effect": "Allow", "Action": [ "comprehend:PutResourcePolicy", "comprehend:DeleteResourcePolicy", "comprehend:DescribeResourcePolicy" ], "Resource": "arn:aws:comprehend:us-west-2:111122223333:document-classifier/foo/version/*" }
Pour plus d'informations sur la création d'une stratégie IAM, consultez la section Création de politiques IAM dans le Guide de l'utilisateur IAM. Pour plus d'informations sur l'attachement d'une politique IAM, consultez la section Ajout et suppression d'autorisations d'identité IAM dans le guide de l'utilisateur IAM.
Si vous partagez un modèle chiffré, vous devrez peut-être ajouter des autorisations pourAWS KMS. Cette exigence dépend du type de clé KMS que vous utilisez pour chiffrer le modèle dans Amazon Comprehend.
An Clé détenue par AWSest détenu et géré par un AWS service. Si vous utilisez unClé détenue par AWS, vous n'avez pas besoin d'ajouter d'autorisations pourAWS KMS, et vous pouvez ignorer cette section.
Une clé gérée par le client est une clé que vous créez, détenez et gérez dans votreCompte AWS. Si vous utilisez une clé gérée par le client, vous devez ajouter une déclaration à votre politique en matière de clés KMS.
La déclaration de politique autorise une ou plusieurs entités (telles que des utilisateurs ou des comptes) à effectuer les AWS KMS opérations nécessaires pour déchiffrer le modèle.
Vous utilisez les touches de condition pour éviter le problème de confusion des adjoints. Pour plus d’informations, consultez Prévention du problème de l’adjoint confus entre services.
Utilisez les clés de condition suivantes dans la politique pour valider les entités qui accèdent à votre clé KMS. Lorsqu'un utilisateur importe le modèle, il AWS KMS vérifie que l'ARN de la version du modèle source correspond à la condition. Si vous n'incluez aucune condition dans la politique, les principaux spécifiés peuvent utiliser votre clé KMS pour déchiffrer n'importe quelle version du modèle :
aws : SourceArn — Utilisez cette clé de condition avec les
kms:Decryptactionskms:GenerateDataKeyet.kms : EncryptionContext — Utilisez cette clé de condition avec les
kms:CreateGrantactionskms:GenerateDataKeykms:Decrypt, et.
Dans l'exemple suivant, la politique autorise l'utilisation Compte AWS 444455556666 de la version 1 du modèle de classificateur spécifié appartenant à. Compte AWS 111122223333
Exemple Politique clé KMS pour accéder à une version spécifique d'un modèle de classificateur
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::444455556666:root" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:comprehend:us-west-2:111122223333:document-classifier/classifierName/version/1" } } }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::444455556666:root" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:comprehend:arn": "arn:aws:comprehend:us-west-2:111122223333:document-classifier/classifierName/version/1" } } } ] }
L'exemple de politique suivant autorise l'utilisateur ExampleUser ExampleRoledepuis Compte AWS 444455556666 et vers l'utilisateur Compte AWS 123456789012 à accéder à cette clé KMS via le service Amazon Comprehend.
Exemple Politique clé de KMS autorisant l'accès au service Amazon Comprehend (alternative 1).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::444455556666:user/ExampleUser", "arn:aws:iam::123456789012:role/ExampleRole" ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringLike": { "aws:SourceArn": "arn:aws:comprehend:*" } } }, { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::444455556666:user/ExampleUser", "arn:aws:iam::123456789012:role/ExampleRole" ] }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:comprehend:arn": "arn:aws:comprehend:*" } } } ] }
L'exemple de politique suivant autorise l'accès Compte AWS 444455556666 à cette clé KMS via le service Amazon Comprehend, en utilisant une syntaxe alternative à celle de l'exemple précédent.
Exemple Politique clé de KMS autorisant l'accès au service Amazon Comprehend (alternative 2).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::444455556666:root" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:comprehend:arn": "arn:aws:comprehend:*" } } } ] }
Pour plus d’informations, consultez Politiques de clé dans AWS KMS dans le Guide du développeur AWS Key Management Service.
Politiques basées sur les ressources pour les modèles personnalisés
Avant qu'un utilisateur d'Amazon Comprehend d'un autre utilisateur Compte AWS puisse importer un modèle personnalisé depuis votre AWS compte, vous devez l'autoriser à le faire. Pour les autoriser, vous ajoutez une politique basée sur les ressources à la version du modèle que vous souhaitez partager. Une stratégie basée sur les ressources est une stratégie IAM que vous attachez à une ressource dans. AWS
Lorsque vous associez une politique de ressources à une version de modèle personnalisée, la politique autorise les utilisateurs, les groupes ou les rôles à effectuer l'comprehend:ImportModelaction sur la version du modèle.
Exemple Politique basée sur les ressources pour une version de modèle personnalisée
Cet exemple indique les entités autorisées dans l'Principalattribut. La ressource « * » fait référence à la version du modèle spécifique à laquelle vous attachez la politique.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "comprehend:ImportModel", "Resource": "*", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:user/ExampleUser", "arn:aws:iam::123456789012:role/ExampleRole" ] } } ] }
Pour les politiques que vous associez à des modèles personnalisés, comprehend:ImportModel c'est la seule action prise en charge par Amazon Comprehend.
Pour plus d'informations sur les politiques basées sur les ressources, consultez les sections Politiques basées sur l'identité et politiques basées sur les ressources dans le Guide de l'utilisateur IAM.
Étape 1 : ajouter une politique basée sur les ressources à un modèle personnalisé
Vous pouvez ajouter une politique basée sur les ressources à l'aide de l'API AWS Management ConsoleAWS CLI, ou Amazon Comprehend.
Vous pouvez utiliser Amazon Comprehend dans le. AWS Management Console
Pour ajouter une politique basée sur les ressources
-
Dans le menu de navigation de gauche, sous Personnalisation, choisissez la page qui contient votre modèle personnalisé :
-
Si vous partagez un classificateur de documents personnalisé, choisissez Classification personnalisée.
-
Si vous partagez un outil de reconnaissance d'entités personnalisé, choisissez Reconnaissance d'entité personnalisée.
-
-
Dans la liste des modèles, choisissez le nom du modèle pour ouvrir sa page de détails.
-
Sous Versions, choisissez le nom de la version du modèle que vous souhaitez partager.
-
Sur la page des détails de la version, choisissez l'onglet Tags, VPC & Policy.
-
Dans la section Stratégie basée sur les ressources, choisissez Modifier.
-
Sur la page Modifier une politique basée sur les ressources, procédez comme suit :
-
Dans Nom de la politique, entrez un nom qui vous aidera à reconnaître la politique une fois que vous l'aurez créée.
-
Sous Autoriser, spécifiez une ou plusieurs des entités suivantes pour les autoriser à importer votre modèle :
Champ Définition et exemples Principaux du service
Identifiants principaux de service pour les services qui peuvent accéder à cette version du modèle. Par exemple :
comprend.amazonaws.com
Compte AWSIdentifiants
Comptes AWSqui peuvent accéder à cette version du modèle. Autorise tous les utilisateurs appartenant au compte. Par exemple :
111122223333, 123456789012
Entités IAM
ARN pour les utilisateurs ou les rôles qui peuvent accéder à cette version du modèle. Par exemple :
arn:aws:iam : :111122223333:utilisateur/, arn:aws:iam : :444455556666:role/ ExampleUser ExampleRole
-
-
Sous Partager, vous pouvez copier l'ARN de la version du modèle pour le partager avec la personne qui va importer votre modèle. Lorsque quelqu'un importe un modèle personnalisé à partir d'un modèle différentCompte AWS, l'ARN de la version du modèle est requis.
-
Choisissez Enregistrer. Amazon Comprehend crée votre politique basée sur les ressources et l'associe à votre modèle.
Pour ajouter une politique basée sur les ressources à un modèle personnalisé avec leAWS CLI, utilisez la PutResourcePolicycommande. La commande d' utilise les paramètres suivants :
-
resource-arn— L'ARN du modèle personnalisé, y compris la version du modèle. -
resource-policy— Un fichier JSON qui définit la politique basée sur les ressources à associer à votre modèle personnalisé.Vous pouvez également fournir la politique sous forme de chaîne JSON intégrée. Pour fournir un code JSON valide pour votre politique, placez les noms et les valeurs d'attributs entre guillemets. Si le corps du JSON est également placé entre guillemets, vous évitez les guillemets figurant dans la politique.
-
policy-revision-id— L'ID de révision attribué par Amazon Comprehend à la politique que vous mettez à jour. Si vous créez une nouvelle politique sans version précédente, n'utilisez pas ce paramètre. Amazon Comprehend crée l'ID de révision pour vous.
Exemple Ajoutez une politique basée sur les ressources à un modèle personnalisé à l'aide de la commande put-resource-policy
Cet exemple définit une politique dans un fichier JSON nommé PolicyFile.json et associe la politique à un modèle. Le modèle est la version v2 d'un classificateur nommé mycf1.
$aws comprehend put-resource-policy \>--resource-arnarn:aws:comprehend:us-west-2:111122223333:document-classifier/mycf1/version/v2\>--resource-policy file://policyFile.json\>--policy-revision-idrevision-id
Le fichier JSON de la politique de ressources contient le contenu suivant :
-
Action — La politique autorise les principaux nommés à utiliser.
comprehend:ImportModel -
Ressource — L'ARN du modèle personnalisé. La ressource « * » fait référence à la version du modèle que vous spécifiez dans la
put-resource-policycommande. -
Principal — La politique autorise l'utilisateur à partir du Compte AWS 444455556666 et tous les utilisateurs
janeà partir du 123456789012. Compte AWS
{ "Version":"2012-10-17", "Statement":[ {"Sid":"ResourcePolicyForImportModel", "Effect":"Allow", "Action":["comprehend:ImportModel"], "Resource":"*", "Principal": {"AWS": ["arn:aws:iam::444455556666:user/jane", "123456789012"] } } ] }
Pour ajouter une politique basée sur les ressources à un modèle personnalisé à l'aide de l'API Amazon Comprehend, utilisez PutResourcePolicyl'opération API.
Vous pouvez également ajouter une politique à un modèle personnalisé dans la demande d'API qui crée le modèle. Pour ce faire, fournissez le JSON de politique pour le ModelPolicy paramètre lorsque vous soumettez une CreateEntityRecognizerdemande CreateDocumentClassifieror.
Étape 2 : Fournissez les informations dont les autres ont besoin pour importer
Maintenant que vous avez ajouté la politique basée sur les ressources à votre modèle personnalisé, vous avez autorisé les autres utilisateurs d'Amazon Comprehend à importer votre modèle dans leur. Comptes AWS Toutefois, avant de pouvoir les importer, vous devez leur fournir les informations suivantes :
-
Le nom de ressource Amazon (ARN) de la version du modèle.
-
Celui Région AWS qui contient le modèle. Toute personne qui importe votre modèle doit l'utiliserRégion AWS.
-
Si le modèle est crypté, et si c'est le cas, quel est le type de AWS KMS clé que vous utilisez : Clé détenue par AWS ou clé gérée par le client.
-
Si votre modèle est chiffré à l'aide d'une clé gérée par le client, vous devez fournir l'ARN de la clé KMS. Toute personne qui importe votre modèle doit inclure l'ARN d'un rôle de service IAM dans sonCompte AWS. Ce rôle autorise Amazon Comprehend à utiliser la clé KMS pour déchiffrer le modèle lors de l'importation.
Pour plus d'informations sur la façon dont les autres utilisateurs importent votre modèle, consultezImportation d'un modèle personnalisé depuis un autre Compte AWS.
