Richten Sie Servicerollen ein für AWS Clean Rooms - AWS Clean Rooms
Erstellen Sie einen AdministratorbenutzerErstellen Sie eine IAM-Rolle für ein KollaborationsmitgliedErstellen Sie eine Servicerolle zum Lesen von Daten aus Amazon S3Erstellen Sie eine Servicerolle zum Lesen von Daten aus Amazon AthenaErstellen Sie eine Servicerolle, um Daten aus Snowflake zu lesenErstellen Sie eine Servicerolle, um Ergebnisse zu erhalten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richten Sie Servicerollen ein für AWS Clean Rooms

Erstellen Sie einen Administratorbenutzer

Zur Verwendung AWS Clean Rooms müssen Sie einen Administratorbenutzer für sich selbst erstellen und den Administratorbenutzer zu einer Administratorgruppe hinzufügen.

Wählen Sie zum Erstellen eines Administratorbenutzers eine der folgenden Optionen aus.

Wählen Sie eine Möglichkeit zur Verwaltung Ihres Administrators aus. Bis Von Sie können auch
Im IAM Identity Center

(Empfohlen)

 Verwendung von kurzfristigen Anmeldeinformationen für den Zugriff auf AWS.

Dies steht im Einklang mit den bewährten Methoden für die Sicherheit. Weitere Informationen zu bewährten Methoden finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

 Beachtung der Anweisungen unter Erste Schritte im AWS IAM Identity Center -Benutzerhandbuch. Konfigurieren Sie den programmatischen Zugriff, indem Sie AWS CLI die Konfiguration für die Verwendung AWS IAM Identity Center im AWS Command Line Interface Benutzerhandbuch vornehmen.
In IAM

(Nicht empfohlen)

 Verwendung von langfristigen Anmeldeinformationen für den Zugriff auf AWS. Folgen Sie den Anweisungen unter Erstellen eines IAM-Benutzers für den Notfallzugriff im IAM-Benutzerhandbuch. Konfigurieren Sie den programmatischen Zugriff unter Zugriffsschlüssel für IAM-Benutzer verwalten im IAM-Benutzerhandbuch.

Erstellen Sie eine IAM-Rolle für ein Kollaborationsmitglied

Ein Mitglied ist ein AWS Kunde, der an einer Kollaboration teilnimmt.

Um eine IAM-Rolle für ein Kollaborationsmitglied zu erstellen

  1. Folgen Sie dem Verfahren Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer im AWS Identity and Access Management Benutzerhandbuch.

  2. Wählen Sie für den Schritt Richtlinie erstellen im Richtlinien-Editor die Registerkarte JSON aus und fügen Sie dann je nach den Fähigkeiten, die dem Kollaborationsmitglied gewährt wurden, Richtlinien hinzu.

    AWS Clean Rooms bietet die folgenden verwalteten Richtlinien auf der Grundlage gängiger Anwendungsfälle.

    Wenn Sie … Dann benutze...
    Sehen Sie sich die Ressourcen und Metadaten an AWS verwaltete Richtlinie: AWSCleanRoomsReadOnlyAccess
    Abfrage AWS verwaltete Richtlinie: AWSCleanRoomsFullAccess
    Ergebnisse abfragen und empfangen AWS verwaltete Richtlinie: AWSCleanRoomsFullAccess
    Ressourcen für die Zusammenarbeit verwalten, aber keine Abfragen durchführen AWS verwaltete Richtlinie: AWSCleanRoomsFullAccessNoQuerying

    Informationen zu den verschiedenen verwalteten Richtlinien, die von angeboten werden AWS Clean RoomsAWS verwaltete Richtlinien für AWS Clean Rooms, finden Sie unter

Erstellen Sie eine Servicerolle zum Lesen von Daten aus Amazon S3

AWS Clean Rooms verwendet eine Servicerolle, um die Daten aus Amazon S3 zu lesen.

Es gibt zwei Möglichkeiten, diese Servicerolle zu erstellen.

  • Wenn Sie über die erforderlichen IAM-Berechtigungen zum Erstellen einer Servicerolle verfügen, verwenden Sie die AWS Clean Rooms Konsole, um eine Servicerolle zu erstellen.

  • Wenn Sie nicht über die iam:AttachRolePolicy erforderlichen Berechtigungen verfügen iam:CreateRole oder die IAM-Rollen manuell erstellen möchten, gehen Sie wie folgt vor: iam:CreatePolicy

    • Gehen Sie wie folgt vor, um eine Servicerolle mithilfe benutzerdefinierter Vertrauensrichtlinien zu erstellen.

    • Bitten Sie Ihren Administrator, die Servicerolle mithilfe des folgenden Verfahrens zu erstellen.

Anmerkung

Sie oder Ihr IAM-Administrator sollten dieses Verfahren nur befolgen, wenn Sie nicht über die erforderlichen Berechtigungen verfügen, um mithilfe der AWS Clean Rooms Konsole eine Servicerolle zu erstellen.

So erstellen Sie eine Servicerolle zum Lesen von Daten aus Amazon S3 mithilfe benutzerdefinierter Vertrauensrichtlinien

  1. Erstellen Sie eine Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien. Weitere Informationen finden Sie unter dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole) im AWS Identity and Access Management Benutzerhandbuch.

  2. Verwenden Sie die folgende benutzerdefinierte Vertrauensrichtlinie gemäß dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).

    Anmerkung

    Wenn Sie sicherstellen möchten, dass die Rolle nur im Rahmen einer bestimmten Kollaborationsmitgliedschaft verwendet wird, können Sie die Vertrauensrichtlinie weiter eingrenzen. Weitere Informationen finden Sie unter Serviceübergreifende Confused-Deputy-Prävention.

    { 

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyForCleanRoomsService",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
     ]
}

  3. Verwenden Sie die folgende Berechtigungsrichtlinie gemäß dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).

    Anmerkung

    Die folgende Beispielrichtlinie unterstützt die Berechtigungen, die zum Lesen von AWS Glue Metadaten und den entsprechenden Amazon S3 S3-Daten erforderlich sind. Je nachdem, wie Sie Ihre Amazon S3 S3-Daten eingerichtet haben, müssen Sie diese Richtlinie jedoch möglicherweise ändern. Wenn Sie beispielsweise einen benutzerdefinierten KMS-Schlüssel für Ihre Amazon S3 S3-Daten eingerichtet haben, müssen Sie diese Richtlinie möglicherweise mit zusätzlichen AWS Key Management Service (AWS KMS) Berechtigungen ändern.

    Ihre AWS Glue Ressourcen und die zugrunde liegenden Amazon S3 S3-Ressourcen müssen sich in derselben Weise AWS-Region wie die AWS Clean Rooms Zusammenarbeit befinden.

    { 

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "NecessaryGluePermissions",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:aws-region:accountId:database/database",
                "arn:aws:glue:aws-region:accountId:table/table",
                "arn:aws:glue:aws-region:accountId:catalog"
            ]
        },
 	{
            "Effect": "Allow",
            "Action": [
                "glue:GetSchema",
                "glue:GetSchemaVersion"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "NecessaryS3BucketPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation", 
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "s3BucketOwnerAccountId"
                    ]
                }
            }
        },
        {
            "Sid": "NecessaryS3ObjectPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3::bucket/prefix/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "s3BucketOwnerAccountId"
                    ]
                }
            }
        }
        
    ]
}

  4. Ersetzen Sie jeden placeholder durch Ihre Informationen.

  5. Folgen Sie weiterhin dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole), um die Rolle zu erstellen.

Erstellen Sie eine Servicerolle zum Lesen von Daten aus Amazon Athena

AWS Clean Rooms verwendet eine Servicerolle, um die Daten von Amazon Athena zu lesen.

So erstellen Sie eine Servicerolle zum Lesen von Daten aus Athena mithilfe benutzerdefinierter Vertrauensrichtlinien

  1. Erstellen Sie eine Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien. Weitere Informationen finden Sie unter dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole) im AWS Identity and Access Management Benutzerhandbuch.

  2. Verwenden Sie die folgende benutzerdefinierte Vertrauensrichtlinie gemäß dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).

    Anmerkung

    Wenn Sie sicherstellen möchten, dass die Rolle nur im Rahmen einer bestimmten Kollaborationsmitgliedschaft verwendet wird, können Sie die Vertrauensrichtlinie weiter eingrenzen. Weitere Informationen finden Sie unter Serviceübergreifende Confused-Deputy-Prävention.

    { 

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyForCleanRoomsService",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
     ]
}

  3. Verwenden Sie die folgende Berechtigungsrichtlinie gemäß dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).

    Anmerkung

    Die folgende Beispielrichtlinie unterstützt die Berechtigungen, die zum Lesen von AWS Glue Metadaten und den entsprechenden Athena-Daten erforderlich sind. Je nachdem, wie Sie Ihre Amazon S3 S3-Daten eingerichtet haben, müssen Sie diese Richtlinie jedoch möglicherweise ändern. Wenn Sie beispielsweise bereits einen benutzerdefinierten KMS-Schlüssel für Ihre Amazon S3 S3-Daten eingerichtet haben, müssen Sie diese Richtlinie möglicherweise mit zusätzlichen AWS KMS Berechtigungen ändern.

    Ihre AWS Glue Ressourcen und die zugrunde liegenden Athena-Ressourcen müssen mit der AWS Clean Rooms Kollaboration AWS-Region identisch sein.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:GetDataCatalog",
                "athena:GetWorkGroup",
                "athena:GetTableMetadata",
                "athena:GetQueryExecution",
                "athena:GetQueryResults",
                "athena:StartQueryExecution"
            ],
            "Resource": [
                "arn:aws:athena:region:accountId:workgroup/workgroup",
                "arn:aws:athena:region:accountId:datacatalog/AwsDataCatalog"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetTable",
                "glue:GetPartitions"
            ],
            "Resource": [
                "arn:aws:glue:region:accountId:catalog",
                "arn:aws:glue:region:accountId:database/database name",
                "arn:aws:glue:region:accountId:table/database name/table name"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetBucketLocation",
                "s3:AbortMultipartUpload",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "lakeformation:GetDataAccess",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:region:accountId:key/*"
        }
    ]
}

  4. Ersetzen Sie jeden placeholder durch Ihre Informationen.

  5. Folgen Sie weiterhin dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole), um die Rolle zu erstellen.

Lake Formation Formation-Berechtigungen einrichten

Die Servicerolle muss über die Zugriffsberechtigungen Select and Describe für die GDC-Ansicht und die Berechtigungen Describe für die AWS Glue Datenbank verfügen, in der die GDC-Ansicht gespeichert ist.

Set up Lake Formation permissions for a GDC View
So richten Sie Lake Formation Formation-Berechtigungen für eine GDC-Ansicht ein

  1. Öffnen Sie die Lake Formation Formation-Konsole unter https://console.aws.amazon.com/lakeformation/

  2. Wählen Sie im Navigationsbereich unter Datenkatalog die Option Datenbanken und dann Ansichten aus.

  3. Wählen Sie Ihre Ansicht und dann unter Aktionen die Option Grant aus.

  4. Wählen Sie für Principals unter IAM-Benutzer und -Rollen Ihre Servicerolle aus.

  5. Wählen Sie für Berechtigungen anzeigen unter Berechtigungen anzeigen die Option Auswählen und beschreiben aus.

  6. Wählen Sie Grant (Erteilen).

Set up Lake Formation permissions for the AWS Glue database that the GDC View is stored in
So richten Sie Lake Formation Formation-Berechtigungen für die AWS Glue Datenbank ein, in der die GDC-Ansicht gespeichert ist

  1. Öffnen Sie die Lake Formation Formation-Konsole unter https://console.aws.amazon.com/lakeformation/

  2. Wählen Sie im Navigationsbereich unter Datenkatalog die Option Datenbanken aus.

  3. Wählen Sie die AWS Glue Datenbank aus, und wählen Sie dann unter Aktionen die Option Grant aus.

  4. Wählen Sie für Principals unter IAM-Benutzer und -Rollen Ihre Servicerolle aus.

  5. Wählen Sie für Datenbankberechtigungen unter Datenbankberechtigungen die Option Describe aus.

  6. Wählen Sie Grant (Erteilen).

Erstellen Sie eine Servicerolle, um Daten aus Snowflake zu lesen

AWS Clean Rooms verwendet eine Servicerolle, um Ihre Anmeldeinformationen abzurufen, damit Snowflake Ihre Daten aus dieser Quelle lesen kann.

Es gibt zwei Möglichkeiten, diese Servicerolle zu erstellen:

  • Wenn Sie über die erforderlichen IAM-Berechtigungen zum Erstellen einer Servicerolle verfügen, verwenden Sie die AWS Clean Rooms Konsole, um eine Servicerolle zu erstellen.

  • Wenn Sie nicht über die iam:AttachRolePolicy erforderlichen Berechtigungen verfügen iam:CreateRole oder die IAM-Rollen manuell erstellen möchten, gehen Sie wie folgt vor: iam:CreatePolicy

    • Gehen Sie wie folgt vor, um eine Servicerolle mithilfe benutzerdefinierter Vertrauensrichtlinien zu erstellen.

    • Bitten Sie Ihren Administrator, die Servicerolle mithilfe des folgenden Verfahrens zu erstellen.

Anmerkung

Sie oder Ihr IAM-Administrator sollten dieses Verfahren nur befolgen, wenn Sie nicht über die erforderlichen Berechtigungen verfügen, um mithilfe der AWS Clean Rooms Konsole eine Servicerolle zu erstellen.

So erstellen Sie eine Servicerolle zum Lesen von Daten aus Snowflake mithilfe benutzerdefinierter Vertrauensrichtlinien

  1. Erstellen Sie eine Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien. Weitere Informationen finden Sie unter dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole) im AWS Identity and Access Management Benutzerhandbuch.

  2. Verwenden Sie die folgende benutzerdefinierte Vertrauensrichtlinie gemäß dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).

    Anmerkung

    Wenn Sie sicherstellen möchten, dass die Rolle nur im Rahmen einer bestimmten Kollaborationsmitgliedschaft verwendet wird, können Sie die Vertrauensrichtlinie weiter eingrenzen. Weitere Informationen finden Sie unter Serviceübergreifende Confused-Deputy-Prävention.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIfSourceArnMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ForAnyValue:ArnEquals": {
                    "aws:SourceArn": [
                        "arn:aws:cleanrooms:region:accountId:membership/membershipId",
                        "arn:aws:cleanrooms:region:queryRunnerAccountId:membership/queryRunnerMembershipId"
                    ]
                }
            }
        }
    ]
}

  3. Verwenden Sie eine der folgenden Berechtigungsrichtlinien gemäß dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).

    Berechtigungsrichtlinie für Geheimnisse, die mit einem kundeneigenen KMS-Schlüssel verschlüsselt wurden

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:region:secretAccountId:secret:secretIdentifier",
            "Effect": "Allow"
        },
        {
            "Sid": "AllowDecryptViaSecretsManagerForKey",
            "Action": "kms:Decrypt",
            "Resource": "arn:aws:kms:region:keyOwnerAccountId:key/keyIdentifier",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.region.amazonaws.com",
                    "kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:region:secretAccountId:secret:secretIdentifier"
                }
            }
        }
    ]
}

    Berechtigungsrichtlinie für Geheimnisse, die mit einem verschlüsselt wurden Von AWS verwalteter Schlüssel

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:region:accountId:secret:secretIdentifier",
            "Effect": "Allow"
        }
    ]
}

  4. Ersetzen Sie jeden placeholder durch Ihre Informationen.

  5. Folgen Sie weiterhin dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole), um die Rolle zu erstellen.

Erstellen Sie eine Servicerolle, um Ergebnisse zu erhalten

Anmerkung

Wenn Sie das Mitglied sind, das nur Ergebnisse erhalten kann (in der Konsole ist Ihre Mitgliederfähigkeit nur Ergebnisse erhalten aktiviert), gehen Sie wie folgt vor.

Wenn Sie ein Mitglied sind, das Ergebnisse sowohl abfragen als auch empfangen kann (in der Konsole ist Ihre Fähigkeit als Mitglied sowohl Ergebnisse abfragen als auch Ergebnisse erhalten), können Sie dieses Verfahren überspringen.

Für Kollaborationsmitglieder, die nur Ergebnisse empfangen können, AWS Clean Rooms verwendet eine Servicerolle, um die Ergebnisse der abgefragten Daten in der Kollaboration in den angegebenen S3-Bucket zu schreiben.

Es gibt zwei Möglichkeiten, diese Servicerolle zu erstellen:

  • Wenn Sie über die erforderlichen IAM-Berechtigungen zum Erstellen einer Servicerolle verfügen, verwenden Sie die AWS Clean Rooms Konsole, um eine Servicerolle zu erstellen.

  • Wenn Sie nicht über die iam:AttachRolePolicy erforderlichen Berechtigungen verfügen iam:CreateRole oder die IAM-Rollen manuell erstellen möchten, gehen Sie wie folgt vor: iam:CreatePolicy

    • Gehen Sie wie folgt vor, um eine Servicerolle mithilfe benutzerdefinierter Vertrauensrichtlinien zu erstellen.

    • Bitten Sie Ihren Administrator, die Servicerolle mithilfe des folgenden Verfahrens zu erstellen.

Anmerkung

Sie oder Ihr IAM-Administrator sollten dieses Verfahren nur befolgen, wenn Sie nicht über die erforderlichen Berechtigungen verfügen, um mithilfe der AWS Clean Rooms Konsole eine Servicerolle zu erstellen.

Um mithilfe benutzerdefinierter Vertrauensrichtlinien eine Servicerolle zu erstellen, um Ergebnisse zu erhalten

  1. Erstellen Sie eine Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien. Weitere Informationen finden Sie unter dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole) im AWS Identity and Access Management Benutzerhandbuch.

  2. Verwenden Sie die folgende benutzerdefinierte Vertrauensrichtlinie gemäß dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIfExternalIdMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {
                    "sts:ExternalId": "arn:aws:*:region:*:dbuser:*/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa*"
                }
            }
        },
        {
            "Sid": "AllowIfSourceArnMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ForAnyValue:ArnEquals": {
                    "aws:SourceArn": [
                        "arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa"
                    ]
                
                }
            }
        }
    ]
}

  3. Verwenden Sie die folgende Berechtigungsrichtlinie gemäß dem Verfahren Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole).

    Anmerkung

    Die folgende Beispielrichtlinie unterstützt die Berechtigungen, die zum Lesen von AWS Glue Metadaten und den entsprechenden Amazon S3 S3-Daten erforderlich sind. Je nachdem, wie Sie Ihre S3-Daten eingerichtet haben, müssen Sie diese Richtlinie jedoch möglicherweise ändern.

    Ihre AWS Glue Ressourcen und die zugrunde liegenden Amazon S3 S3-Ressourcen müssen sich in derselben Weise AWS-Region wie die AWS Clean Rooms Zusammenarbeit befinden.

    {

    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation", 
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount":"accountId"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name/optional_key_prefix/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount":"accountId"
                }
            }
        }
    ]
}

  4. Ersetzen Sie jede placeholder durch Ihre eigenen Informationen:

    • region – Der Name des AWS-Region. Beispiel, us-east-1.

    • a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa— Die Mitglieds-ID des Mitglieds, das Abfragen durchführen kann. Die Mitglieds-ID finden Sie auf der Registerkarte Details der Kollaboration. Dadurch AWS Clean Rooms wird sichergestellt, dass die Rolle nur übernommen wird, wenn dieses Mitglied die Analyse in dieser Kollaboration ausführt.

    • arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa— Der einzige Mitgliedschafts-ARN des Mitglieds, das Abfragen durchführen kann. Die Mitgliedschafts-ARN finden Sie auf der Registerkarte Details der Kollaboration. Dadurch AWS Clean Rooms wird sichergestellt, dass die Rolle nur übernommen wird, wenn dieses Mitglied die Analyse in dieser Kollaboration ausführt.

    • bucket_name— Der Amazon-Ressourcenname (ARN) des S3-Buckets. Den Amazon-Ressourcennamen (ARN) finden Sie auf der Registerkarte Eigenschaften des Buckets in Amazon S3.

    • accountId— Die AWS-Konto ID, in der sich der S3-Bucket befindet.

      bucket_name/optional_key_prefix— Der Amazon-Ressourcenname (ARN) des Ergebnisziels in Amazon S3. Den Amazon-Ressourcennamen (ARN) finden Sie auf der Registerkarte Eigenschaften des Buckets in Amazon S3.

  5. Folgen Sie weiterhin dem Verfahren zum Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole), um die Rolle zu erstellen.