Richten Sie Servicerollen ein für AWS Clean Rooms - AWS Clean Rooms

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richten Sie Servicerollen ein für AWS Clean Rooms

Erstellen Sie einen Administratorbenutzer

Zur Verwendung AWS Clean Rooms müssen Sie einen Administratorbenutzer für sich selbst erstellen und den Administratorbenutzer zu einer Administratorgruppe hinzufügen.

Wählen Sie zum Erstellen eines Administratorbenutzers eine der folgenden Optionen aus.

Wählen Sie eine Möglichkeit zur Verwaltung Ihres Administrators aus. Bis Von Sie können auch
Im IAM Identity Center

(Empfohlen)

Verwendung von kurzfristigen Anmeldeinformationen für den Zugriff auf AWS.

Dies steht im Einklang mit den bewährten Methoden für die Sicherheit. Informationen zu bewährten Methoden finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.

Beachtung der Anweisungen unter Erste Schritte im AWS IAM Identity Center -Benutzerhandbuch. Konfigurieren Sie den programmatischen Zugriff, indem Sie die AWS CLI zu AWS IAM Identity Center verwendende Konfiguration im AWS Command Line Interface Benutzerhandbuch konfigurieren.
Im IAM

(Nicht empfohlen)

Verwendung von langfristigen Anmeldeinformationen für den Zugriff auf AWS. Folgen Sie den Anweisungen unter Erstellen Ihres ersten IAM Admin-Benutzers und Ihrer ersten Benutzergruppe im IAMBenutzerhandbuch. Konfigurieren Sie den programmatischen Zugriff, indem Sie im Benutzerhandbuch die Zugriffsschlüssel für IAM IAM Benutzer verwalten.

Erstellen Sie eine IAM Rolle für ein Kollaborationsmitglied

Ein Mitglied ist ein AWS Kunde, der an einer Kollaboration teilnimmt.

Um eine IAM Rolle für ein Kollaborationsmitglied zu erstellen
  1. Folgen Sie dem Verfahren Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM AWS Identity and Access Management Benutzer im Benutzerhandbuch.

  2. Wählen Sie für den Schritt Richtlinie erstellen die JSONRegisterkarte im Richtlinien-Editor aus und fügen Sie dann je nach den Fähigkeiten, die dem Kollaborationsmitglied gewährt wurden, Richtlinien hinzu.

    AWS Clean Rooms bietet die folgenden verwalteten Richtlinien auf der Grundlage gängiger Anwendungsfälle:

    Wenn Sie … Dann benutze...
    Sehen Sie sich die Ressourcen und Metadaten an AWS verwaltete Richtlinie: AWSCleanRoomsReadOnlyAccess
    Abfrage AWS verwaltete Richtlinie: AWSCleanRoomsFullAccess
    Ergebnisse abfragen und empfangen AWS verwaltete Richtlinie: AWSCleanRoomsFullAccess
    Ressourcen für die Zusammenarbeit verwalten, aber keine Abfragen durchführen AWS verwaltete Richtlinie: AWSCleanRoomsFullAccessNoQuerying

    Informationen zu den verschiedenen verwalteten Richtlinien, die von angeboten werden AWS Clean Rooms, finden Sie unter AWS verwaltete Richtlinien für AWS Clean Rooms

Erstellen Sie eine Servicerolle zum Lesen von Daten

AWS Clean Rooms verwendet eine Servicerolle, um die Daten zu lesen.

Es gibt zwei Möglichkeiten, diese Servicerolle zu erstellen:

Wenn... Dann
Sie verfügen über die erforderlichen IAM Berechtigungen, um eine Servicerolle zu erstellen Verwenden Sie die AWS Clean Rooms Konsole, um eine Servicerolle zu erstellen.

Sie haben keineiam:CreateRole, iam:CreatePolicy und iam:AttachRolePolicy Berechtigungen

or

Sie möchten die IAM Rollen manuell erstellen

Führen Sie eine der folgenden Aktionen aus:
  • Gehen Sie wie folgt vor, um eine Servicerolle zu erstellen.

  • Bitten Sie Ihren Administrator, die Servicerolle mithilfe des folgenden Verfahrens zu erstellen.

Um eine Servicerolle zum Lesen von Daten zu erstellen
Anmerkung

Sie oder Ihr IAM Administrator sollten dieses Verfahren nur befolgen, wenn Sie nicht über die erforderlichen Berechtigungen verfügen, um mithilfe der AWS Clean Rooms Konsole eine Servicerolle zu erstellen.

  1. Folgen Sie dem Verfahren zum Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole) im AWS Identity and Access Management Benutzerhandbuch.

  2. Verwenden Sie die folgende benutzerdefinierte Vertrauensrichtlinie gemäß dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).

    Anmerkung

    Wenn Sie sicherstellen möchten, dass die Rolle nur im Rahmen einer bestimmten Kollaborationsmitgliedschaft verwendet werden kann, können Sie die Vertrauensrichtlinie weiter einschränken. Weitere Informationen finden Sie unter Serviceübergreifende Confused-Deputy-Prävention.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "RoleTrustPolicyForCleanRoomsService", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  3. Verwenden Sie die folgende Berechtigungsrichtlinie gemäß dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).

    Anmerkung

    Die folgende Beispielrichtlinie unterstützt die Berechtigungen, die zum Lesen von AWS Glue Metadaten und den entsprechenden Amazon S3 S3-Daten erforderlich sind. Je nachdem, wie Sie Ihre S3-Daten eingerichtet haben, müssen Sie diese Richtlinie jedoch möglicherweise ändern. Wenn Sie beispielsweise einen benutzerdefinierten KMS Schlüssel für Ihre S3-Daten eingerichtet haben, müssen Sie diese Richtlinie möglicherweise mit zusätzlichen AWS KMS Berechtigungen ändern.

    Ihre AWS Glue Ressourcen und die zugrunde liegenden Amazon S3 S3-Ressourcen müssen mit der AWS Clean Rooms Zusammenarbeit AWS-Region identisch sein.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "NecessaryGluePermissions", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "arn:aws:glue:aws-region:accountId:database/database", "arn:aws:glue:aws-region:accountId:table/table", "arn:aws:glue:aws-region:accountId:catalog" ] }, { "Effect": "Allow", "Action": [ "glue:GetSchema", "glue:GetSchemaVersion" ], "Resource": [ "*" ] }, { "Sid": "NecessaryS3BucketPermissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "s3BucketOwnerAccountId" ] } } }, { "Sid": "NecessaryS3ObjectPermissions", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3::bucket/prefix/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "s3BucketOwnerAccountId" ] } } } ] }
  4. Ersetzen Sie jedes placeholder mit Ihren eigenen Informationen.

  5. Folgen Sie weiterhin dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole), um die Rolle zu erstellen.

Erstellen Sie eine Servicerolle, um Ergebnisse zu erhalten

Anmerkung

Wenn Sie das Mitglied sind, das nur Ergebnisse erhalten kann (in der Konsole ist Ihre Mitgliederfähigkeit nur Ergebnisse erhalten aktiviert), gehen Sie wie folgt vor.

Wenn Sie ein Mitglied sind, das Ergebnisse sowohl abfragen als auch empfangen kann (in der Konsole ist Ihre Fähigkeit als Mitglied sowohl Ergebnisse abfragen als auch Ergebnisse erhalten), können Sie dieses Verfahren überspringen.

AWS Clean Rooms Verwendet für Kollaborationsmitglieder, die nur Ergebnisse erhalten können, eine Servicerolle, um Ergebnisse der abgefragten Daten in der Kollaboration in den angegebenen Amazon S3 S3-Bucket zu schreiben.

Es gibt zwei Möglichkeiten, diese Servicerolle zu erstellen:

Wenn... Dann
Sie verfügen über die erforderlichen IAM Berechtigungen, um eine Servicerolle zu erstellen Verwenden Sie die AWS Clean Rooms Konsole, um eine Servicerolle zu erstellen.

Sie haben keineiam:CreateRole, iam:CreatePolicy und iam:AttachRolePolicy Berechtigungen

or

Sie möchten die IAM Rollen manuell erstellen

Führen Sie eine der folgenden Aktionen aus:
  • Gehen Sie wie folgt vor, um eine Servicerolle zu erstellen.

  • Bitten Sie Ihren Administrator, die Servicerolle mithilfe des folgenden Verfahrens zu erstellen.

Um eine Servicerolle zu erstellen, um Ergebnisse zu erhalten
Anmerkung

Sie oder Ihr IAM Administrator sollten dieses Verfahren nur befolgen, wenn Sie nicht über die erforderlichen Berechtigungen verfügen, um mithilfe der AWS Clean Rooms Konsole eine Servicerolle zu erstellen.

  1. Folgen Sie dem Verfahren zum Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole) im AWS Identity and Access Management Benutzerhandbuch.

  2. Verwenden Sie die folgende benutzerdefinierte Vertrauensrichtlinie gemäß dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIfExternalIdMatches", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "sts:ExternalId": "arn:aws:*:region:*:dbuser:*/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa*" } } }, { "Sid": "AllowIfSourceArnMatches", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ForAnyValue:ArnEquals": { "aws:SourceArn": [ "arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa" ] } } } ] }
  3. Verwenden Sie die folgende Berechtigungsrichtlinie gemäß dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).

    Anmerkung

    Die folgende Beispielrichtlinie unterstützt die Berechtigungen, die zum Lesen von AWS Glue Metadaten und den entsprechenden Amazon S3 S3-Daten erforderlich sind. Je nachdem, wie Sie Ihre S3-Daten eingerichtet haben, müssen Sie diese Richtlinie jedoch möglicherweise ändern.

    Ihre AWS Glue Ressourcen und die zugrunde liegenden Amazon S3 S3-Ressourcen müssen mit der AWS Clean Rooms Zusammenarbeit AWS-Region identisch sein.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket_name" ], "Condition": { "StringEquals": { "aws:ResourceAccount":"accountId" } } }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket_name/optional_key_prefix/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount":"accountId" } } } ] }
  4. Ersetzen Sie jedes placeholder mit Ihren eigenen Informationen:

    • region — Der Name des AWS-Region. Beispiel, us-east-1.

    • a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa — Die Mitglieds-ID des Mitglieds, das abfragen kann. Die Mitglieds-ID finden Sie auf der Registerkarte Details der Kollaboration. Dadurch AWS Clean Rooms wird sichergestellt, dass die Rolle nur übernommen wird, wenn dieses Mitglied die Analyse in dieser Kollaboration ausführt.

    • arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa — Die einzige Mitgliedschaft ARN des Mitglieds, das Abfragen durchführen kann. Die Mitgliedschaft ARN finden Sie auf der Registerkarte Details der Kollaboration. Dadurch AWS Clean Rooms wird sichergestellt, dass die Rolle nur übernommen wird, wenn dieses Mitglied die Analyse in dieser Kollaboration ausführt.

    • bucket_name — Der Amazon-Ressourcenname (ARN) des S3-Buckets. Den Amazon-Ressourcennamen (ARN) finden Sie auf der Registerkarte Eigenschaften des Buckets in Amazon S3.

    • accountId — Die AWS-Konto ID, in der sich der S3-Bucket befindet.

      bucket_name/optional_key_prefix — Der Amazon-Ressourcenname (ARN) des Ergebnisziels in S3. Den Amazon-Ressourcennamen (ARN) finden Sie auf der Registerkarte Eigenschaften des Buckets in Amazon S3.

  5. Folgen Sie weiterhin dem Verfahren zum Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole), um die Rolle zu erstellen.