Como importar um modelo personalizado de outra Conta da AWS - Amazon Comprehend
Antes de começarComo importar um modelo personalizado

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como importar um modelo personalizado de outra Conta da AWS

No Amazon Comprehend, você pode importar um modelo personalizado que esteja em outra Conta da AWS. Ao importar um modelo, você cria um novo modelo personalizado na sua conta. Seu novo modelo personalizado é uma cópia totalmente treinada do modelo que você importou.

Antes de começar

Antes de importar um modelo personalizado de outra Conta da AWS, certifique-se de que a pessoa que compartilhou o modelo com você faça o seguinte:

  • Autorize você a fazer a importação. Essa autorização é concedida na política baseada em recurso anexada à versão do modelo. Para ter mais informações, consulte Políticas baseadas em recursos para modelos personalizados.

  • Forneça a você as informações a seguir:

    • O nome do recurso da Amazon (ARN) da versão do modelo.

    • A Região da AWS que contém o modelo. Você deve usar a mesma Região da AWS ao importar.

    • Se o modelo está ou não criptografado com uma chave do AWS KMS e, caso esteja, o tipo de chave usada.

Se o modelo estiver criptografado, talvez seja necessário executar etapas adicionais, dependendo do tipo de chave do KMS usada:

  • Chave pertencente à AWS – esse tipo de chave do KMS pertence e é gerenciado pela AWS. Se o modelo for criptografado com uma Chave pertencente à AWS, não será necessário executar nenhuma etapa adicional.

  • Chave gerenciada pelo cliente – esse tipo de chave do KMS é criado, gerenciado e é de propriedade de um cliente da AWS na Conta da AWS. Se o modelo for criptografado com uma chave gerenciada pelo cliente, a pessoa que compartilhou o modelo deverá:

    • Autorizar você a descriptografar o modelo. Essa autorização é concedida na política de chaves do KMS para a chave gerenciada pelo cliente. Para ter mais informações, consulte Declaração de política de chaves do AWS KMS.

    • Forneça o ARN da chave gerenciada pelo cliente. Você usa esse ARN ao criar um perfil de serviço do IAM. Esse perfil autoriza o Amazon Comprehend a usar a chave do KMS para descriptografar o modelo.

Permissões obrigatórias

Antes de importar um modelo personalizado, você ou seu administrador devem autorizar as ações necessárias no AWS Identity and Access Management (IAM). Como usuário do Amazon Comprehend, você deve estar autorizado a importar por meio de uma declaração de política do IAM. Se for necessário usar criptografia ou descriptografia durante a importação, o Amazon Comprehend deverá ser autorizado a usar as chaves necessárias do AWS KMS.

Seu usuário, grupo ou perfil deve ter uma política anexada que permita a ação ImportModel, conforme apresentado no exemplo a seguir.

exemplo Política do IAM para importar um modelo personalizado
{ 
  "Effect": "Allow",
  "Action": [
    "comprehend:ImportModel"
  ],
  "Resource": "arn:aws:comprehend:us-west-2:111122223333:document-classifier/foo/version/*"
}

Para obter mais informações sobre como criar uma política do IAM, consulte Criar políticas do IAM no Guia do usuário do IAM. Para obter informações sobre como anexar a política do IAM, consulte Adicionar e remover permissões de identidade do IAM no Guia do usuário do IAM.

Ao importar um modelo personalizado, você deve autorizar o Amazon Comprehend a usar chaves do AWS KMS em qualquer um dos seguintes casos:

  • Você está importando um modelo personalizado criptografado com uma chave gerenciada pelo cliente no AWS KMS. Nesse caso, o Amazon Comprehend precisará acessar a chave do KMS para poder decifrar o modelo durante a importação.

  • Você deseja criptografar o novo modelo personalizado criado com a importação e usar uma chave gerenciada pelo cliente. Nesse caso, o Amazon Comprehend precisará acessar sua chave do KMS para poder criptografar o novo modelo.

Para autorizar o Amazon Comprehend a usar essas chaves do AWS KMS, você cria um perfil de serviço do IAM. Esse tipo de perfil do IAM permite que um serviço da AWS acesse recursos em outros serviços em seu nome. Para obter mais informações sobre a criação de um perfil de serviço, consulte Criar uma função para delegar permissões a um serviço da AWS, no Guia do usuário do IAM.

Se você usar o console do Amazon Comprehend para a importação, poderá fazer com que o Amazon Comprehend crie o perfil de serviço para você. Caso contrário, você deverá criar um perfil de serviço no IAM antes da importação.

O perfil de serviço do IAM deve ter uma política de permissões e uma política de confiança, conforme exibido nos exemplos a seguir.

exemplo política de permissões

A política de permissões a seguir permite as operações do AWS KMS que o Amazon Comprehend usa para criptografar e descriptografar modelos personalizados. Ela concede acesso a duas chaves do KMS:

  • Uma chave do KMS está na Conta da AWS que contém o modelo a ser importado. Ela foi usada para criptografar o modelo, e o Amazon Comprehend a utilizará para descriptografar o modelo durante a importação.

  • A outra chave do KMS está na Conta da AWS que importa o modelo. O Amazon Comprehend utilizará essa chave para criptografar o novo modelo personalizado criado pela importação.

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:CreateGrant"
        ],
        "Resource": [
            "arn:aws:kms:us-west-2:111122223333:key/key-id",
            "arn:aws:kms:us-west-2:444455556666:key/key-id"
        ]
    },
    {
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt",
            "kms:GenerateDatakey"
        ],
        "Resource": [
            "arn:aws:kms:us-west-2:111122223333:key/key-id",
            "arn:aws:kms:us-west-2:444455556666:key/key-id"
        ],
        "Condition": {
            "StringEquals": {
                "kms:ViaService": [
                    "s3.us-west-2.amazonaws.com"
                ]
            }
        }
    }
  ]
}
exemplo trust policty (política de confiança)

A seguinte política de confiança permite que o Amazon Comprehend assuma o perfil e obtenha suas permissões. Ela permite que a entidade principal do serviço comprehend.amazonaws.com realize a operação sts:AssumeRole. Para ajudar na prevenção do problema “confused deputy”, você restringe o escopo da permissão usando uma ou mais chaves de contexto de condição global. Para aws:SourceAccount, especifique o ID da conta do usuário que está importando o modelo. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "comprehend.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "444455556666"  
        }
      }
    }
  ]
}

Como importar um modelo personalizado

Você pode importar um modelo personalizado usando o AWS Management Console, a AWS CLI ou a API do Amazon Comprehend.

Você pode usar o Amazon Comprehend no AWS Management Console.

Para importar um modelo personalizado

  1. Faça login no AWS Management Console e abra o console do Amazon Comprehend em https://console.aws.amazon.com/comprehend/

  2. No menu de navegação à esquerda, em Personalização, escolha a página do tipo de modelo que você está importando:

    1. Se você estiver importando um classificador personalizado de documentos, escolha Classificação personalizada.

    2. Se você estiver importando um reconhecedor personalizado de entidade, escolha Reconhecimento personalizado de entidade.

  3. Escolha Importar versão.

  4. Na página Importar a versão do modelo, digite os seguintes detalhes:

    • ARN da versão do modelo – o ARN da versão do modelo a ser importado.

    • Nome do modelo – um nome personalizado para o novo modelo criado pela importação.

    • Nome da versão – um nome personalizado para a nova versão do modelo criada pela importação.

  5. Em Criptografia de modelo, escolha o tipo de chave do KMS a ser usada para criptografar o novo modelo personalizado que você cria com a importação:

    • Usar uma chave de propriedade da AWS – o Amazon Comprehend criptografa seu modelo usando uma chave no AWS Key Management Service (AWS KMS) que é criada, gerenciada e usada em seu nome pela AWS.

    • Escolher uma chave do AWS KMS diferente (avançado) – o Amazon Comprehend criptografa seu modelo usando uma chave gerenciada pelo cliente que você gerencia no AWS KMS.

      Se você escolher essa opção, selecione uma chave do KMS que esteja na sua Conta da AWS ou crie uma nova escolhendo Criar uma chave do AWS KMS.

  6. Na seção Acesso ao serviço, conceda acesso ao Amazon Comprehend para todas as chaves do AWS KMS necessárias para:

    • Descriptografar o modelo personalizado que você importa.

    • Criptografar o novo modelo personalizado que você cria com a importação.

    Você concede acesso com um perfil de serviço do IAM que permite que o Amazon Comprehend use as chaves do KMS.

    Em Perfil de serviço, faça um dos seguintes procedimentos:

    • Se tiver um perfil de serviço que deseja usar, escolha Usar um perfil do IAM existente. Em seguida, selecione-o em Nome do perfil.

    • Se quiser que o Amazon Comprehend crie um perfil para você, escolha Criar um perfil do IAM.

  7. Se tiver optado pela criação de um perfil pelo Amazon Comprehend, faça o seguinte:

    1. Em Nome do perfil, insira um sufixo de nome do perfil que ajude você a reconhecer o perfil posteriormente.

    2. Em ARN da chave do KMS de origem, insira o ARN da chave do KMS que é usada para criptografar o modelo que você está importando. O Amazon Comprehend usa essa chave para descriptografar o modelo durante a importação.

  8. (Opcional) Na seção Tags, você pode adicionar tags ao novo modelo personalizado criado na importação. Para obter mais informações sobre tags em modelos personalizados, consulte Marcar um novo recurso.

  9. Selecione a opção Confirmar.

Você pode usar o Amazon Comprehend executando comandos com o AWS CLI.

exemplo Comando importar-modelo

Para importar um modelo personalizado, use o comando import-model:

$ aws comprehend import-model \
> --source-model arn:aws:comprehend:us-west-2:111122223333:document-classifier/foo/version/bar \
> --model-name importedDocumentClassifier \
> --version-name versionOne \
> --data-access-role-arn arn:aws:iam::444455556666:role/comprehendAccessRole \
> --model-kms-key-id kms-key-id

Esta API usa os seguintes parâmetros:

  • source-model – o ARN do modelo personalizado a ser importado.

  • model-name – um nome personalizado para o novo modelo criado pela importação.

  • version-name – um nome personalizado para a nova versão de modelo criada pela importação.

  • data-access-role-arn – o ARN do perfil de serviço do IAM que permite ao Amazon Comprehend usar as chaves do AWS KMS necessárias para criptografar ou descriptografar o modelo personalizado.

  • model-kms-key-id – o ARN ou ID da chave do KMS que o Amazon Comprehend usa para criptografar o modelo personalizado que você cria com essa importação. Essa chave deve estar no AWS KMS na sua Conta da AWS.

Para importar um modelo personalizado usando a API Amazon Comprehend, use ImportModela ação de API.