從其他模型匯入自訂模型 AWS 帳戶 - Amazon Comprehend
開始之前匯入自訂模型

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

從其他模型匯入自訂模型 AWS 帳戶

在 Amazon Comprehend 中,您可以導入另一個自定義模型。AWS 帳戶匯入模型時,您會在帳戶中建立新的自訂模型。您的新自訂模型是您匯入模型的完整訓練複本。

開始之前

在您可以從另一個模型匯入自訂模型之前AWS 帳戶,請確定與您共用模型的人員執行下列動作:

  • 授權您執行匯入。此授權會在附加至模型版本的以資源為基礎的原則中授與。如需詳細資訊,請參閱 自訂模型的資源型政策

  • 提供您下列資訊:

    • 模型版本的 Amazon 資源名稱(ARN)。

    • 包AWS 區域含模型的。匯入時必須使AWS 區域用相同的項目。

    • 模型是否使用AWS KMS金鑰加密,如果是,則是使用的金鑰類型。

如果模型已加密,您可能需要採取其他步驟,具體取決於所使用的 KMS 金鑰類型:

  • AWS 擁有的金鑰— 此類型的 KMS 金鑰由擁有和管理AWS。如果使用加密模型AWS 擁有的金鑰,則不需要其他步驟。

  • 客戶管理金鑰 — 此類型的 KMS 金鑰是由AWS客戶在其中建立、擁有和管理AWS 帳戶。如果使用客戶管理的金鑰加密模型,則共用模型的人員必須:

    • 授權您解密模型。此授權會在客戶受管金鑰的 KMS 金鑰原則中授與。如需詳細資訊,請參閱 AWS KMS關鍵政策聲明

    • 提供客戶管理金鑰的 ARN。您可以在建立 IAM 服務角色時使用此 ARN。此角色授權 Amazon Comprehend 用 KMS 金鑰解密模型。

所需的許可

您或您的管理員必須在 AWS Identity and Access Management (IAM) 中授權所需動作,才能匯入自訂模型。身為 Amazon Comprehend 使用者,您必須獲得 IAM 政策聲明的授權才能匯入。如果在匯入期間需要AWS KMS加密或解密,則 Amazon Comprehend 必須獲得授權,才能使用必要的金鑰。

您的使用者、群組或角色必須附加允許ImportModel動作的原則,如下列範例所示。

範例 用於匯入自訂模型的 IAM 政策
{ 
  "Effect": "Allow",
  "Action": [
    "comprehend:ImportModel"
  ],
  "Resource": "arn:aws:comprehend:us-west-2:111122223333:document-classifier/foo/version/*"
}

如需建立 IAM 政策的相關資訊,請參閱 IAM 使用者指南中的建立 IAM 政策。如需附加 IAM 政策的相關資訊,請參閱 IAM 使用者指南中的新增和移除 IAM 身分許可。

匯入自訂模型時,您必須授權 Amazon Comprehend 在下列任一情況下使用AWS KMS金鑰:

  • 您正在匯入使用客戶管理金鑰加密的自訂模型AWS KMS。在這種情況下,Amazon Comprehend 需要存取 KMS 金鑰,以便在匯入期間解密模型。

  • 您想要加密透過匯入建立的新自訂模型,而且想要使用客戶管理的金鑰。在此情況下,Amazon Comprehend 需要存取您的 KMS 金鑰,才能加密新模型。

若要授權 Amazon Comprehend 用這些AWS KMS金鑰,您必須建立 IAM 服務角色。這種 IAM 角色可讓AWS服務代表您存取其他服務中的資源。如需有關服務角色的詳細資訊,請參閱《IAM 使用者指南》中的建立角色以將權限委派給AWS服務

如果您使用 Amazon Comprehend 主控台匯入,您可以讓 Amazon Comprehend 為您建立服務角色。否則,您必須先在 IAM 中建立服務角色,然後再匯入。

IAM 服務角色必須具有許可政策和信任政策,如下列範例所示。

範例 許可政策

下列許可政策允許 Amazon Comprehend 用來加密和解密自訂模型的AWS KMS作業。它會授與兩個 KMS 金鑰的存取權:

  • 包含要匯入的模型中AWS 帳戶有一個 KMS 金鑰。它被用來加密模型,而 Amazon Comprehend 使用它來在導入過程中解密模型。

  • 其他 KMS 金鑰位於匯AWS 帳戶入模型的中。Amazon Comprehend 使用此金鑰來加密匯入所建立的新自訂模型。

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:CreateGrant"
        ],
        "Resource": [
            "arn:aws:kms:us-west-2:111122223333:key/key-id",
            "arn:aws:kms:us-west-2:444455556666:key/key-id"
        ]
    },
    {
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt",
            "kms:GenerateDatakey"
        ],
        "Resource": [
            "arn:aws:kms:us-west-2:111122223333:key/key-id",
            "arn:aws:kms:us-west-2:444455556666:key/key-id"
        ],
        "Condition": {
            "StringEquals": {
                "kms:ViaService": [
                    "s3.us-west-2.amazonaws.com"
                ]
            }
        }
    }
  ]
}
範例 信任政策

下列信任政策允許 Amazon Comprehend 擔任該角色並取得其許可。它可讓comprehend.amazonaws.com服務主體執行sts:AssumeRole作業。若要協助避免混淆的副手,您可以使用一或多個全域條件內容索引鍵來限制權限範圍。對於aws:SourceAccount,指定匯入模型之使用者的帳戶 ID。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "comprehend.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "444455556666"  
        }
      }
    }
  ]
}

匯入自訂模型

您可以使用AWS Management Console、AWS CLI或 Amazon Comprehend API 匯入自訂模型。

您可以使用 Amazon Comprehend 在. AWS Management Console

匯入自訂模型

  1. 登入AWS Management Console並開啟亞馬遜主控台,網址為 https://console.aws.amazon.com/comprehend/

  2. 在左側導覽功能表的「自訂」下,選擇您要匯入之模型類型的頁面:

    1. 如果您要匯入自訂文件分類器,請選擇 [自訂分類]。

    2. 如果您要匯入自訂實體辨識器,請選擇「自訂實體辨識」。

  3. 選擇「匯入版本」。

  4. 在 [匯入模型版本] 頁面上,輸入下列詳細資訊:

    • 模型版本 ARN — 要匯入之模型版本的 ARN。

    • 模型名稱-匯入所建立之新模型的自訂名稱。

    • 版本名稱-匯入所建立之新模型版本的自訂名稱。

  5. 對於模型加密,請選擇用於加密您透過匯入建立的新自訂模型的 KMS 金鑰類型:

    • 使用AWS擁有的金鑰 — Amazon Comprehend 會使用代表您建立、管理和使用的金鑰 AWS Key Management Service (AWS KMS) 來加密您的模型。AWS

    • 選擇不同的AWS KMS金鑰 (進階) — Amazon Comprehend 會使用您管理的客戶受管金鑰來加密您的模型。AWS KMS

      如果您選擇此選項,請選取您的 KMS 金鑰AWS 帳戶,或選擇 [建立金鑰] 來建立新金AWS KMS鑰

  6. 在「服務存取權」區段中,授予 Amazon Comprehend 存取權,以執行下列作業所需的任何AWS KMS金鑰:

    • 解密您匯入的自訂模型。

    • 加密您使用匯入建立的新自訂模型。

    您可以透過 IAM 服務角色授予存取權,該角色允許 Amazon Comprehend 使用 KMS 金鑰。

    對於服務角色,請執行下列其中一個動作:

    • 如果您有要使用的現有服務角色,請選擇 [使用現有的 IAM 角色]。然後,在「角色名稱」下選擇它。

    • 如果您希望 Amazon Comprehend 為您建立角色,請選擇建立 IAM 角色。

  7. 如果您選擇讓 Amazon Comprehend 為您建立角色,請執行下列動作:

    1. 在 [角色名稱] 中,輸入角色名稱尾碼,以協助您稍後辨識角色。

    2. 對於來源 KMS 金鑰 ARN,請輸入用來加密您要匯入之模型的 KMS 金鑰的 ARN。Amazon Comprehend 使用此密鑰在導入過程中解密模型。

  8. (選擇性) 在「標」區段中,您可以將標籤新增至透過匯入建立的新自訂模型。如需標籤自訂模型的更多資訊,請參閱標記新資源

  9. 選擇確認

您可以使 Amazon Comprehend 運行命令與. AWS CLI

範例 匯入模型指令

若要匯入自訂模型,請使用以下import-model指令:

$ aws comprehend import-model \
> --source-model arn:aws:comprehend:us-west-2:111122223333:document-classifier/foo/version/bar \
> --model-name importedDocumentClassifier \
> --version-name versionOne \
> --data-access-role-arn arn:aws:iam::444455556666:role/comprehendAccessRole \
> --model-kms-key-id kms-key-id

此範例使用下列參數:

  • source-model— 要匯入的自訂模型的 ARN。

  • model-name-匯入所建立之新模型的自訂名稱。

  • version-name-匯入所建立之新模型版本的自訂名稱。

  • data-access-role-arn— IAM 服務角色的 ARN,可讓 Amazon Comprehend 使用必要的AWS KMS金鑰來加密或解密自訂模型。

  • model-kms-key-id— Amazon Comprehend 用來加密您透過此匯入建立的自訂模型的 KMS 金鑰的 ARN 或識別碼。這個金鑰必須AWS KMS在您的AWS 帳戶.

若要使用 Amazon Comprehend API 匯入自訂模型,請使用 API 動ImportModel作。