Richten Sie Servicerollen für AWS Clean Rooms ML ein - AWS Clean Rooms
Erstellen Sie eine Servicerolle zum Lesen von TrainingsdatenErstellen Sie eine Servicerolle, um ein Lookalike-Segment zu schreibenErstellen Sie eine Servicerolle zum Lesen von Startdaten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richten Sie Servicerollen für AWS Clean Rooms ML ein

Erstellen Sie eine Servicerolle zum Lesen von Trainingsdaten

AWS Clean Rooms verwendet eine Servicerolle zum Lesen von Trainingsdaten. Sie können diese Rolle mithilfe der Konsole erstellen, wenn Sie über die erforderlichen IAM Berechtigungen verfügen. Wenn Sie keine CreateRole Berechtigungen haben, bitten Sie Ihren Administrator, die Servicerolle zu erstellen.

Um eine Servicerolle zum Trainieren eines Datensatzes zu erstellen

  1. Melden Sie sich mit Ihrem Administratorkonto an der IAM Konsole (https://console.aws.amazon.com/iam/) an.

  2. Wählen Sie unter Access management (Zugriffsverwaltung) Policies (Richtlinien) aus.

  3. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  4. Wählen Sie im Richtlinien-Editor die JSONRegisterkarte aus und kopieren Sie dann die folgende Richtlinie und fügen Sie sie ein.

    Anmerkung

    Die folgende Beispielrichtlinie unterstützt die Berechtigungen, die zum Lesen von AWS Glue Metadaten und den entsprechenden Amazon S3 S3-Daten erforderlich sind. Je nachdem, wie Sie Ihre S3-Daten eingerichtet haben, müssen Sie diese Richtlinie jedoch möglicherweise ändern. Diese Richtlinie beinhaltet keinen KMS Schlüssel zum Entschlüsseln von Daten.

    Ihre AWS Glue Ressourcen und die zugrunde liegenden Amazon S3 S3-Ressourcen müssen mit der AWS Clean Rooms Zusammenarbeit AWS-Region identisch sein.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartitions",
                "glue:GetPartition",
                "glue:BatchGetPartition", 
                "glue:GetUserDefinedFunctions"
            ],
            "Resource": [
                "arn:aws:glue:region:accountId:database/databases",
                "arn:aws:glue:region:accountId:table/databases/tables",
                "arn:aws:glue:region:accountId:catalog",
                "arn:aws:glue:region:accountId:database/default"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase"
            ],
            "Resource": [
                "arn:aws:glue:region:accountId:database/default"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::bucket"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        }
    ]
}

    Wenn Sie einen KMS Schlüssel zum Entschlüsseln von Daten verwenden müssen, fügen Sie diese AWS KMS Anweisung zur vorherigen Vorlage hinzu:

    {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
    ]
}

  5. Wählen Sie Weiter.

  6. Geben Sie unter Überprüfen und erstellen einen Richtliniennamen und eine Beschreibung ein, und überprüfen Sie die Zusammenfassung.

  7. Wählen Sie Create Policy (Richtlinie erstellen) aus.

    Sie haben eine Richtlinie für erstellt AWS Clean Rooms.

  8. Wählen Sie unter Access management (Zugriffsverwaltung) Roles (Rollen) aus.

    Mit Rollen können Sie kurzfristige Anmeldeinformationen erstellen, was aus Sicherheitsgründen empfohlen wird. Sie können auch Benutzer auswählen, um langfristige Anmeldeinformationen zu erstellen.

  9. Wählen Sie Rolle erstellen.

  10. Wählen Sie im Assistenten zum Erstellen von Rollen unter Vertrauenswürdiger Entitätstyp die Option Benutzerdefinierte Vertrauensrichtlinie aus.

  11. Kopieren Sie die folgende benutzerdefinierte Vertrauensrichtlinie und fügen Sie sie in den JSON Editor ein.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": { 
                    "aws:SourceAccount": ["accountId"]
                },
                "StringLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:training-dataset/*"
                }
            }
        }
    ]
}

    Das SourceAccount ist immer dein AWS Konto. Das SourceArn kann auf einen bestimmten Trainingsdatensatz beschränkt werden, jedoch erst, nachdem dieser Datensatz erstellt wurde. Da Sie den Trainingsdatensatz nicht vorab kennen könnenARN, wird der Platzhalter hier angegeben.

  12. Wählen Sie Weiter und geben Sie unter Berechtigungen hinzufügen den Namen der Richtlinie ein, die Sie gerade erstellt haben. (Möglicherweise müssen Sie die Seite neu laden.)

  13. Aktivieren Sie das Kontrollkästchen neben dem Namen der Richtlinie, die Sie erstellt haben, und klicken Sie dann auf Weiter.

  14. Geben Sie unter Name, review and create den Rollennamen und die Beschreibung ein.

    Anmerkung

    Der Rollenname muss dem Muster in den passRole Berechtigungen entsprechen, die dem Mitglied erteilt wurden, das Ergebnisse abfragen und empfangen kann, und den Mitgliedsrollen.

    1. Überprüfen Sie die Option Vertrauenswürdige Entitäten auswählen und bearbeiten Sie sie gegebenenfalls.

    2. Überprüfen Sie die Berechtigungen unter Berechtigungen hinzufügen und bearbeiten Sie sie gegebenenfalls.

    3. Überprüfen Sie die Tags und fügen Sie bei Bedarf Stichwörter hinzu.

    4. Wählen Sie Rolle erstellen.

  15. Die Servicerolle für AWS Clean Rooms wurde erstellt.

Erstellen Sie eine Servicerolle, um ein Lookalike-Segment zu schreiben

AWS Clean Rooms verwendet eine Servicerolle, um Lookalike-Segmente in einen Bucket zu schreiben. Sie können diese Rolle mithilfe der Konsole erstellen, sofern Sie über die erforderlichen IAM Berechtigungen verfügen. Wenn Sie keine CreateRole Berechtigungen haben, bitten Sie Ihren Administrator, die Servicerolle zu erstellen.

Um eine Servicerolle zu erstellen, um ein Lookalike-Segment zu schreiben

  1. Melden Sie sich mit Ihrem Administratorkonto an der IAM Konsole (https://console.aws.amazon.com/iam/) an.

  2. Wählen Sie unter Access management (Zugriffsverwaltung) Policies (Richtlinien) aus.

  3. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  4. Wählen Sie im Richtlinien-Editor die JSONRegisterkarte aus und kopieren Sie dann die folgende Richtlinie und fügen Sie sie ein.

    Anmerkung

    Die folgende Beispielrichtlinie unterstützt die Berechtigungen, die zum Lesen von AWS Glue Metadaten und den entsprechenden Amazon S3 S3-Daten erforderlich sind. Je nachdem, wie Sie Ihre S3-Daten eingerichtet haben, müssen Sie diese Richtlinie jedoch möglicherweise ändern. Diese Richtlinie beinhaltet keinen KMS Schlüssel zum Entschlüsseln von Daten.

    Ihre AWS Glue Ressourcen und die zugrunde liegenden Amazon S3 S3-Ressourcen müssen mit der AWS Clean Rooms Zusammenarbeit AWS-Region identisch sein.

    {
    "Version": "2012-10-17",
    "Statement": [
    {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::buckets"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        }
  ]
}

    Wenn Sie einen KMS Schlüssel zum Verschlüsseln von Daten verwenden müssen, fügen Sie der Vorlage diese AWS KMS Anweisung hinzu:

    {
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey*",
                "kms:ReEncrypt*",
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
  ]
}

    Wenn Sie einen KMS Schlüssel zum Entschlüsseln von Daten verwenden müssen, fügen Sie der Vorlage diese AWS KMS Anweisung hinzu:

    {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
  ]
}

  5. Wählen Sie Weiter.

  6. Geben Sie unter Überprüfen und erstellen einen Richtliniennamen und eine Beschreibung ein, und überprüfen Sie die Zusammenfassung.

  7. Wählen Sie Create Policy (Richtlinie erstellen) aus.

    Sie haben eine Richtlinie für erstellt AWS Clean Rooms.

  8. Wählen Sie unter Access management (Zugriffsverwaltung) Roles (Rollen) aus.

    Mit Rollen können Sie kurzfristige Anmeldeinformationen erstellen, was aus Sicherheitsgründen empfohlen wird. Sie können auch Benutzer auswählen, um langfristige Anmeldeinformationen zu erstellen.

  9. Wählen Sie Rolle erstellen.

  10. Wählen Sie im Assistenten zum Erstellen von Rollen unter Vertrauenswürdiger Entitätstyp die Option Benutzerdefinierte Vertrauensrichtlinie aus.

  11. Kopieren Sie die folgende benutzerdefinierte Vertrauensrichtlinie und fügen Sie sie in den JSON Editor ein.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": { 
                    "aws:SourceAccount": ["accountId"]

                },
                "StringLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:configured-audience-model/*"
                }
            }
        }
    ]
}

    Das SourceAccount ist immer dein AWS Konto. Das SourceArn kann auf einen bestimmten Trainingsdatensatz beschränkt werden, jedoch erst, nachdem dieser Datensatz erstellt wurde. Da Sie den Trainingsdatensatz nicht vorab kennen könnenARN, wird der Platzhalter hier angegeben.

  12. Wählen Sie Weiter.

  13. Aktivieren Sie das Kontrollkästchen neben dem Namen der Richtlinie, die Sie erstellt haben, und wählen Sie dann Weiter aus.

  14. Geben Sie unter Name, review and create den Rollennamen und die Beschreibung ein.

    Anmerkung

    Der Rollenname muss dem Muster in den passRole Berechtigungen entsprechen, die dem Mitglied erteilt wurden, das Ergebnisse abfragen und empfangen kann, und den Mitgliedsrollen.

    1. Überprüfen Sie die Option Vertrauenswürdige Entitäten auswählen und bearbeiten Sie sie gegebenenfalls.

    2. Überprüfen Sie die Berechtigungen unter Berechtigungen hinzufügen und bearbeiten Sie sie gegebenenfalls.

    3. Überprüfen Sie die Tags und fügen Sie bei Bedarf Stichwörter hinzu.

    4. Wählen Sie Rolle erstellen.

  15. Die Servicerolle für AWS Clean Rooms wurde erstellt.

Erstellen Sie eine Servicerolle zum Lesen von Startdaten

AWS Clean Rooms verwendet eine Servicerolle, um Seed-Daten zu lesen. Sie können diese Rolle mithilfe der Konsole erstellen, sofern Sie über die erforderlichen IAM Berechtigungen verfügen. Wenn Sie keine CreateRole Berechtigungen haben, bitten Sie Ihren Administrator, die Servicerolle zu erstellen.

Um eine Servicerolle zum Lesen von Seed-Daten zu erstellen, die in einem Amazon S3 S3-Bucket gespeichert sind.

  1. Melden Sie sich mit Ihrem Administratorkonto an der IAM Konsole (https://console.aws.amazon.com/iam/) an.

  2. Wählen Sie unter Access management (Zugriffsverwaltung) Policies (Richtlinien) aus.

  3. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  4. Wählen Sie im Richtlinien-Editor die JSONRegisterkarte aus und kopieren Sie dann eine der folgenden Richtlinien und fügen Sie sie ein.

    Anmerkung

    Die folgende Beispielrichtlinie unterstützt die Berechtigungen, die zum Lesen von AWS Glue Metadaten und den entsprechenden Amazon S3 S3-Daten erforderlich sind. Je nachdem, wie Sie Ihre S3-Daten eingerichtet haben, müssen Sie diese Richtlinie jedoch möglicherweise ändern. Diese Richtlinie beinhaltet keinen KMS Schlüssel zum Entschlüsseln von Daten.

    Ihre AWS Glue Ressourcen und die zugrunde liegenden Amazon S3 S3-Ressourcen müssen mit der AWS Clean Rooms Zusammenarbeit AWS-Region identisch sein.

    {
    "Version": "2012-10-17",
    "Statement": [
    {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
            ],
            "Resource": [
                "arn:aws:s3:::buckets"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        }
  ]
}
    Anmerkung

    Die folgende Beispielrichtlinie unterstützt die Berechtigungen, die erforderlich sind, um die Ergebnisse einer SQL Abfrage zu lesen und diese als Eingabedaten zu verwenden. Je nachdem, wie Ihre Abfrage strukturiert ist, müssen Sie diese Richtlinie jedoch möglicherweise ändern. Diese Richtlinie beinhaltet keinen KMS Schlüssel zum Entschlüsseln von Daten.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCleanRoomsStartQuery",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaborationAnalysisTemplate",
                "cleanrooms:GetSchema", 
                "cleanrooms:StartProtectedQuery"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCleanRoomsGetAndUpdateQuery",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetProtectedQuery", 
                "cleanrooms:UpdateProtectedQuery"
            ],
            "Resource": [
                "arn:aws:cleanrooms:{{region}}:{{queryRunnerAccountId}}:membership/{{queryRunnerMembershipId}}"
            ]
        }
    ]
}

    Wenn Sie einen KMS Schlüssel zum Entschlüsseln von Daten verwenden müssen, fügen Sie der Vorlage diese AWS KMS Anweisung hinzu:

    {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
  ]
}

  5. Wählen Sie Weiter.

  6. Geben Sie unter Überprüfen und erstellen einen Richtliniennamen und eine Beschreibung ein, und überprüfen Sie die Zusammenfassung.

  7. Wählen Sie Create Policy (Richtlinie erstellen) aus.

    Sie haben eine Richtlinie für erstellt AWS Clean Rooms.

  8. Wählen Sie unter Access management (Zugriffsverwaltung) Roles (Rollen) aus.

    Mit Rollen können Sie kurzfristige Anmeldeinformationen erstellen, was aus Sicherheitsgründen empfohlen wird. Sie können auch Benutzer auswählen, um langfristige Anmeldeinformationen zu erstellen.

  9. Wählen Sie Rolle erstellen.

  10. Wählen Sie im Assistenten zum Erstellen von Rollen unter Vertrauenswürdiger Entitätstyp die Option Benutzerdefinierte Vertrauensrichtlinie aus.

  11. Kopieren Sie die folgende benutzerdefinierte Vertrauensrichtlinie und fügen Sie sie in den JSON Editor ein.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": {
                    "aws:SourceAccount": ["accountId"]

                },
                "StringLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:audience-generation-job/*"
                }
            }
        }
    ]
}

    Das SourceAccount ist immer dein AWS Konto. Das SourceArn kann auf einen bestimmten Trainingsdatensatz beschränkt werden, jedoch erst, nachdem dieser Datensatz erstellt wurde. Da Sie den Trainingsdatensatz nicht vorab kennen könnenARN, wird der Platzhalter hier angegeben.

  12. Wählen Sie Weiter.

  13. Aktivieren Sie das Kontrollkästchen neben dem Namen der Richtlinie, die Sie erstellt haben, und wählen Sie dann Weiter aus.

  14. Geben Sie unter Name, review and create den Rollennamen und die Beschreibung ein.

    Anmerkung

    Der Rollenname muss dem Muster in den passRole Berechtigungen entsprechen, die dem Mitglied erteilt wurden, das Ergebnisse abfragen und empfangen kann, und den Mitgliedsrollen.

    1. Überprüfen Sie die Option Vertrauenswürdige Entitäten auswählen und bearbeiten Sie sie gegebenenfalls.

    2. Überprüfen Sie die Berechtigungen unter Berechtigungen hinzufügen und bearbeiten Sie sie gegebenenfalls.

    3. Überprüfen Sie die Tags und fügen Sie bei Bedarf Stichwörter hinzu.

    4. Wählen Sie Rolle erstellen.

  15. Die Servicerolle für AWS Clean Rooms wurde erstellt.