別の AWS アカウント からのカスタムモデルのインポート - Amazon Comprehend
開始する前にカスタムモデルのインポート

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

別の AWS アカウント からのカスタムモデルのインポート

Amazon Comprehend では、別の AWS アカウント からカスタムモデルをインポートできます。モデルをインポートすると、アカウントに新しいカスタムモデルが作成されます。新しいカスタムモデルは、インポートしたモデルと完全にトレーニングされたモデルの複製です。

開始する前に

別の AWS アカウント からカスタムモデルをインポートする前に、そのモデルを共有した人が以下を行っていることを確認してください。

  • インポートを行う権限をユーザーに与える。この承認は、モデルバージョンに添付されているリソースベースのポリシーで付与されます。詳細については、「カスタムモデル用のリソースベースのポリシー」を参照してください。

  • 以下に関する情報を提供します。

    • モデルバージョンの Amazon リソースネーム (ARN)。

    • モデルを含む AWS リージョン。インポートには同じ AWS リージョン を使用する必要があります。

    • モデルが AWS KMS キーを使用して暗号化されているかどうか、されている場合はキーのタイプ。

モデルが暗号化されている場合、使用する KMS キーの種類によっては、追加の手順が必要になることがあります。

  • AWS 所有のキー — このタイプの KMS キーは AWS によって所有、管理されます。モデルが AWS 所有のキー で暗号化されている場合、追加の手順は不要です。

  • カスタマーマネージドキー — このタイプの KMS キーは、AWS 顧客が AWS アカウント で作成、所有、管理します モデルがカスタマーマネージドキーで暗号化されている場合、モデルを共有したユーザーは次のことを行う必要があります。

    • あなたにモデルを復号することを許可する。この認証は、カスタマーマネージドキーの KMS キーポリシーで付与されます。詳細については、「AWS KMS キーポリシーステートメント」を参照してください。

    • カスタマーマネージドキーの ARN を提供する。この ARN は、IAM サービスロールを作成するときに使用します。このロールは、モデルの暗号化に KMS キーを使用する許可を Amazon Comprehend に付与します。

必要なアクセス許可

カスタムモデルをインポートする前に、ユーザーまたは管理者が AWS Identity and Access Management (IAM) で必要なアクションを承認する必要があります。Amazon Comprehend ユーザーには、IAM ポリシーステートメントでのインポート権限が必要です。インポート時に暗号化または復号化が必要な場合は、Amazon Comprehend に必要な AWS KMS キーを使用する権限が必要です。

次の例で示されているように、ユーザー、グループ、またはロールには ImportModel アクションを許可するポリシーが追加されている必要があります。

例 カスタムモデルをインポートするための IAM ポリシー
{ 
  "Effect": "Allow",
  "Action": [
    "comprehend:ImportModel"
  ],
  "Resource": "arn:aws:comprehend:us-west-2:111122223333:document-classifier/foo/version/*"
}

IAM ポリシーの作成については、IAM ユーザーガイドの「IAM ポリシーの作成」を参照してください。IAM ポリシーのアタッチに関する詳細については、IAM ユーザーガイドの「IAM アイデンティティのアクセス許可の追加および削除」を参照してください。

カスタムモデルをインポートする場合、以下のいずれかの場合に Amazon Comprehend に AWS KMS キーの使用を許可する必要があります。

  • AWS KMS で、カスタマーマネージドキーを使用して暗号化されたカスタムモデルをインポートします。この場合、Amazon Comprehend は KMS キーにアクセスして、インポート中にモデルを復号化する必要があります。

  • インポートによって作成された新しいカスタムモデルを暗号化し、カスタマーマネージドキーを使用する場合。この場合、できるように、インポート中にモデルを復号化Amazon Comprehend は KMS キーにアクセスする必要があります。

Amazon Comprehend にこれらの AWS KMS キーの使用を許可するには、[IAM サービスロール] を作成します。このタイプの IAM ロールは、AWS サービスがユーザーに代わって他のサービスのリソースにアクセスするのことを許可します。サービスロールの詳細については、IAM ユーザーガイドの「AWS のサービスにアクセス許可を委任するロールの作成」を参照してください。

Amazon Comprehend コンソールを使用してインポートする場合は、Amazon Comprehend に自動的にサービスロールを作成させることができます。それ以外の場合は、インポートする前に IAM でサービスロールを作成する必要があります。

次の例で示されているように、IAM サービスロールにはアクセス許可ポリシーと信頼ポリシーが必要です。

例 アクセス許可ポリシー

以下のアクセス権限ポリシーは、Amazon Comprehend がカスタムモデルの暗号化と復号化に使用する AWS KMS 操作を許可します。これにより 2 つの KMS キーへのアクセスが許可されます。

  • インポートするモデルを含む AWS アカウント に、1 つのKMSキーがあります。モデルの暗号化に使用され、Amazon Comprehend はインポート時にこれを使用してモデルを復号化します。

  • もう 1 つの KMSキーは、インポートされたモデルの AWS アカウント にあります。Amazon Comprehend は、このキーを使用して、インポートによって作成された新しいカスタムモデルを暗号化します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:CreateGrant"
        ],
        "Resource": [
            "arn:aws:kms:us-west-2:111122223333:key/key-id",
            "arn:aws:kms:us-west-2:444455556666:key/key-id"
        ]
    },
    {
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt",
            "kms:GenerateDatakey"
        ],
        "Resource": [
            "arn:aws:kms:us-west-2:111122223333:key/key-id",
            "arn:aws:kms:us-west-2:444455556666:key/key-id"
        ],
        "Condition": {
            "StringEquals": {
                "kms:ViaService": [
                    "s3.us-west-2.amazonaws.com"
                ]
            }
        }
    }
  ]
}
例 信頼ポリシー

次の信頼ポリシーでは、ロールを引き受け、アクセス許可を取得することを Amazon Comprehend に許可します。comprehend.amazonaws.com サービスプリンシパルが sts:AssumeRole 操作を実行できることを許可します。混乱した代理の防止に役立つようにするには、1 つ以上のグローバル条件コンテキストキーを使用してアクセス許可の範囲を制限します。aws:SourceAccount には、モデルをインポートするユーザーのアカウント ID を指定します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "comprehend.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "444455556666"  
        }
      }
    }
  ]
}

カスタムモデルのインポート

AWS Management Console、AWS CLI、または Amazon Comprehend API を使用してカスタムモデルをインポートできます。

AWS Management Console で Amazon Comprehend を使用できます。

カスタムモデルをインポートするには

  1. AWS Management Console にサインインして、Amazon Comprehend コンソール (https://console. .amazon.com/comprehend/) を開きます

  2. 左側のナビゲーションメニューの [カスタマイズ] で、インポートするモデルのタイプに対応するページを選択します。

    1. カスタムドキュメント分類子を共有する場合は、[カスタム分類] を選択します。

    2. カスタムエンティティレコグナイザーをインポートする場合は、[カスタムエンティティ認識] を選択します。

  3. [バージョンをインポート] を選択します。

  4. [モデルバージョンをインポート] ページに、以下のように入力します。

    • [モデルバージョン ARN] — インポートするモデルバージョンの ARN。

    • [モデル名] — インポートによって作成される新しいモデルのカスタム名。

    • [バージョン名] — インポートによって作成される新しいモデルのカスタム名。

  5. [モデル暗号化] では、インポート時に作成する新しいカスタムモデルの暗号化に使用する KMS キーの種類を選択します。

    • [AWS が所有するキーの使用] — Amazon Comprehend は AWS が自分の代わりに作成、管理、および使用する AWS Key Management Service (AWS KMS) のキーを使用してモデルを暗号化します。

    • 別の AWS KMS キーを選択 (詳細) — Amazon Comprehend は、AWS KMS で管理しているカスタマーマネージドキーを使用してモデルを暗号化します。

      このオプションを選択する場合は、AWS アカウント の KMS キーを選択するか、[AWS KMS キーの作成]を選択して新しいキーを作成します。

  6. [サービスアクセス] セクションで、Amazon Comprehend に必要なすべての AWS KMS キーへのアクセス権を付与します。

    • インポートしたカスタムモデルを復号化します。

    • インポートで作成した新しいカスタムモデルを暗号化します。

    Amazon Comprehend が KMS キーを使用できるようにする IAM サービスロールを使用してアクセスを許可します。

    [サービスロール] で、次のいずれかの操作を行います。

    • 使用する既存のサービスロールがある場合は、[既存の IAM ロールを使用] を選択します。次に、[ロール名] でそのロールを選択します。

    • Amazon Comprehend に自動的にロールを作成してもらいたい場合は、[IAM ロール作成] を選択してください。

  7. ロールは Amazon Comprehend に作成するように選択した場合は、以下を実行します。

    1. [ロール名] には、後でそのロールを認識しやすいようにロール名のサフィックスを入力します。

    2. [ソース KMS キー ARN] には、インポートするモデルの暗号化に使用する KMS キーの ARN を入力します。Amazon Comprehend は、インポート時にこのキーを使用してモデルを復号化します。

  8. (オプション) [タグ] セクションでは、インポートして作成した新しいカスタムモデルにタグを追加できます。カスタムモデルのタグ付けの詳細については、「新しいリソースへのタグ付け」を参照してください。

  9. [確認] を選択します。

Amazon Comprehend を使用するには、AWS CLI でコマンドを実行します。

例 Import-model コマンド

カスタムモデルをインポートするには、import-model コマンドを使用します。

$ aws comprehend import-model \
> --source-model arn:aws:comprehend:us-west-2:111122223333:document-classifier/foo/version/bar \
> --model-name importedDocumentClassifier \
> --version-name versionOne \
> --data-access-role-arn arn:aws:iam::444455556666:role/comprehendAccessRole \
> --model-kms-key-id kms-key-id

この例は以下のパラメータを使用します。

  • source-model — インポートするカスタムモデルの ARN。

  • model-name — インポートによって作成される新しいモデルのカスタム名。

  • version-name — インポートによって作成される新しいモデルバージョンのカスタム名。

  • data-access-role-arn — Amazon Comprehend が必要な AWS KMS キーを使用してカスタムモデルを暗号化または復号化できるようにする IAM サービスロールの ARN。

  • model-kms-key-id — Amazon Comprehend がこのインポートで作成したカスタムモデルを暗号化するために使用する KMS キーの ARN または ID。このキーは AWS KMS 内の AWS アカウント 内にある必要があります。

Amazon Comprehend API を使用してカスタムモデルをインポートするには、 ImportModel API アクションを使用します。