AWS políticas gestionadas para AWS Clean Rooms - AWS Clean Rooms
AWSCleanRoomsReadOnlyAccessAWSCleanRoomsFullAccessAWSCleanRoomsFullAccessNoQueryingAWSCleanRoomsMLReadOnlyAccessAWSCleanRoomsMLFullAccessActualizaciones de políticas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS políticas gestionadas para AWS Clean Rooms

Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.

Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.

No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.

Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

AWS política gestionada: AWSCleanRoomsReadOnlyAccess

Puede adjuntar AWSCleanRoomsReadOnlyAccess a sus entidades principales de IAM.

Esta política otorga permisos de solo lectura a recursos y metadatos de una colaboración de AWSCleanRoomsReadOnlyAccess.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • CleanRoomsRead: concede a las entidades principales acceso de solo lectura al servicio.

  • ConsoleDisplayTables— Permite a los directores acceder de solo lectura a los AWS Glue metadatos necesarios para mostrar los datos sobre AWS Glue las tablas subyacentes en la consola.

  • ConsoleLogSummaryQueryLogs: concede a las entidades principales permiso para ver los registros de consultas.

  • ConsoleLogSummaryObtainLogs: concede a las entidades principales permiso para recuperar los resultados de registro.

Para obtener una lista en JSON de los detalles de la política, consulte la Guía AWSCleanRoomsReadOnlyAccessde referencia de políticas AWS administradas.

AWS política gestionada: AWSCleanRoomsFullAccess

Puede adjuntar AWSCleanRoomsFullAccess a sus entidades principales de IAM.

Esta política otorga permisos administrativos que permiten el acceso total (lectura, escritura y actualización) a los recursos y metadatos de una AWS Clean Rooms colaboración. Esta política incluye el acceso para realizar consultas.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • CleanRoomsAccess— Otorga acceso total a todas las acciones de todos los recursos para AWS Clean Rooms.

  • PassServiceRole— Concede acceso para transferir una función de servicio únicamente al servicio (PassedToServicecondición) que tenga»cleanrooms«en su nombre.

  • ListRolesToPickServiceRole— Permite a los directores enumerar todas sus funciones para poder elegir una función de servicio cuando la utilicen AWS Clean Rooms.

  • GetRoleAndListRolePoliciesToInspectServiceRole: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.

  • ListPoliciesToInspectServiceRolePolicy: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.

  • GetPolicyToInspectServiceRolePolicy: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.

  • ConsoleDisplayTables— Permite a los directores acceder de solo lectura a los AWS Glue metadatos necesarios para mostrar los datos sobre AWS Glue las tablas subyacentes de la consola.

  • ConsolePickQueryResultsBucketListAll: permite a las entidades principales elegir, de una lista de todos los buckets de S3 disponibles, un bucket de Amazon S3 en el que se escriban los resultados de sus consultas.

  • SetQueryResultsBucket: permite a las entidades principales elegir un bucket de S3 en el que se escriban los resultados de sus consultas.

  • ConsoleDisplayQueryResults: permite a las entidades principales mostrar al cliente los resultados de las consultas, leídos desde el bucket de S3.

  • WriteQueryResults: permite a las entidades principales escribir los resultados de las consultas en un bucket de S3 propiedad del cliente.

  • EstablishLogDeliveries— Permite a los directores enviar registros de consultas al grupo de registros de Amazon CloudWatch Logs de un cliente.

  • SetupLogGroupsDescribe— Permite a los directores utilizar el proceso de creación de grupos de CloudWatch registros de Amazon Logs.

  • SetupLogGroupsCreate— Permite a los directores crear un grupo de CloudWatch registros de Amazon Logs.

  • SetupLogGroupsResourcePolicy— Permite a los directores configurar una política de recursos en el grupo de CloudWatch registros de Amazon Logs.

  • ConsoleLogSummaryQueryLogs: concede a las entidades principales permiso para ver los registros de consultas.

  • ConsoleLogSummaryObtainLogs: concede a las entidades principales permiso para recuperar los resultados de registro.

Para ver una lista en JSON de los detalles de la política, consulte AWSCleanRoomsFullAccessla Guía de referencia de políticas AWS administradas.

AWS política gestionada: AWSCleanRoomsFullAccessNoQuerying

Puede adjuntarlo AWSCleanRoomsFullAccessNoQuerying a su IAM principals.

Esta política otorga permisos administrativos que permiten el acceso total (lectura, escritura y actualización) a los recursos y metadatos de una AWS Clean Rooms colaboración. Esta política no incluye el acceso para realizar consultas.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • CleanRoomsAccess— Otorga acceso total a todas las acciones de todos los recursos AWS Clean Rooms, excepto para las consultas en las colaboraciones.

  • CleanRoomsNoQuerying: deniega explícitamente StartProtectedQuery y UpdateProtectedQuery para impedir las consultas.

  • PassServiceRole— Concede acceso para transferir una función de servicio únicamente al servicio (PassedToServicecondición) que tenga»cleanrooms«en su nombre.

  • ListRolesToPickServiceRole— Permite a los directores enumerar todas sus funciones para poder elegir una función de servicio cuando la utilicen AWS Clean Rooms.

  • GetRoleAndListRolePoliciesToInspectServiceRole: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.

  • ListPoliciesToInspectServiceRolePolicy: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.

  • GetPolicyToInspectServiceRolePolicy: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.

  • ConsoleDisplayTables— Permite a los directores acceder de solo lectura a los AWS Glue metadatos necesarios para mostrar los datos sobre AWS Glue las tablas subyacentes de la consola.

  • EstablishLogDeliveries— Permite a los directores enviar registros de consultas al grupo de registros de Amazon CloudWatch Logs de un cliente.

  • SetupLogGroupsDescribe— Permite a los directores utilizar el proceso de creación de grupos de CloudWatch registros de Amazon Logs.

  • SetupLogGroupsCreate— Permite a los directores crear un grupo de CloudWatch registros de Amazon Logs.

  • SetupLogGroupsResourcePolicy— Permite a los directores configurar una política de recursos en el grupo de CloudWatch registros de Amazon Logs.

  • ConsoleLogSummaryQueryLogs: concede a las entidades principales permiso para ver los registros de consultas.

  • ConsoleLogSummaryObtainLogs: concede a las entidades principales permiso para recuperar los resultados de registro.

  • cleanrooms: administre las colaboraciones, las plantillas de análisis, las tablas configuradas, las suscripciones y los recursos asociados dentro del servicio de AWS Clean Rooms . Realice diversas operaciones, como crear, actualizar, eliminar, mostrar y recuperar información sobre estos recursos.

  • iam— Transfiere al servicio las funciones de AWS Clean Rooms servicio cuyos nombres contengan cleanrooms «». Enumere las funciones y políticas e inspeccione las funciones y políticas de servicio relacionadas con el AWS Clean Rooms servicio.

  • glue— Recupere información sobre bases de datos, tablas, particiones y esquemas de AWS Glue. Esto es necesario para que el AWS Clean Rooms servicio muestre las fuentes de datos subyacentes e interactúe con ellas.

  • logs— Gestione las entregas de registros, los grupos de registros y las políticas de recursos para CloudWatch los registros. Consulte y recupere los registros relacionados con el AWS Clean Rooms servicio. Estos permisos son necesarios para la supervisión, la auditoría y la solución de problemas dentro del servicio.

La política también deniega explícitamente las acciones cleanrooms:StartProtectedQuery y cleanrooms:UpdateProtectedQuery para evitar que los usuarios ejecuten o actualicen directamente las consultas protegidas, lo que debe hacerse a través de los mecanismos controlados de AWS Clean Rooms .

Para obtener una lista en JSON de los detalles de la política, consulte AWSCleanRoomsFullAccessNoQueryingla Guía de referencia de políticas AWS gestionadas.

AWS política gestionada: AWSCleanRoomsMLReadOnlyAccess

Puede adjuntar AWSCleanRoomsMLReadOnlyAccess a sus entidades principales de IAM.

Esta política otorga permisos de solo lectura a recursos y metadatos de una colaboración de AWSCleanRoomsMLReadOnlyAccess.

Esta política incluye los permisos siguientes:

  • CleanRoomsConsoleNavigation— Otorga acceso para ver las pantallas de la AWS Clean Rooms consola.

  • CleanRoomsMLRead: permite a las entidades principales el acceso de solo lectura al servicio de Clean Rooms ML.

  • PassCleanRoomsResources— Otorga acceso para pasar AWS Clean Rooms recursos específicos.

Para ver una lista en JSON de los detalles de la política, consulta AWSCleanHabitaciones MLRead OnlyAccess en la Guía de referencia sobre políticas AWS gestionadas.

AWS política gestionada: AWSCleanRoomsMLFullAccess

Puede adjuntar AWSCleanRoomsMLFullAcces a sus entidades principales de IAM. Esta política concede permisos administrativos que permiten el acceso total (lectura, escritura y actualización) a los recursos y metadatos necesarios de Clean Rooms ML.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • CleanRoomsMLFullAccess: concede acceso a todas las acciones de Clean Rooms ML.

  • PassServiceRole— Concede acceso para transferir una función de servicio únicamente al servicio (PassedToServicecondición) que tenga»cleanrooms-ml«en su nombre.

  • CleanRoomsConsoleNavigation— Otorga acceso para ver las pantallas de la AWS Clean Rooms consola.

  • CollaborationMembershipCheck— Al iniciar un trabajo de generación de audiencia (segmento similar) dentro de una colaboración, el servicio Clean Rooms ML llama ListMembers para comprobar que la colaboración es válida, que la persona que llama es un miembro activo y que el propietario del modelo de audiencia configurado es un miembro activo. Este permiso siempre es obligatorio; el SID de navegación de la consola solo es necesario para los usuarios de la consola.

  • PassCleanRoomsResources— Otorga acceso para transferir recursos específicos AWS Clean Rooms .

  • AssociateModels: permite a las entidades principales asociar un modelo de Clean Rooms ML a la colaboración.

  • TagAssociations: permite a las entidades principales añadir etiquetas a la asociación entre un modelo similar y una colaboración.

  • ListRolesToPickServiceRole— Permite a los directores enumerar todas sus funciones para poder elegir una función de servicio cuando la utilicen AWS Clean Rooms.

  • GetRoleAndListRolePoliciesToInspectServiceRole: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.

  • ListPoliciesToInspectServiceRolePolicy: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.

  • GetPolicyToInspectServiceRolePolicy: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.

  • ConsoleDisplayTables— Permite a los directores acceder de solo lectura a los AWS Glue metadatos necesarios para mostrar los datos sobre AWS Glue las tablas subyacentes de la consola.

  • ConsolePickOutputBucket: permite a las entidades principales seleccionar buckets de Amazon S3 para las salidas configuradas del modelo de audiencia.

  • ConsolePickS3Location: permite a las entidades principales seleccionar la ubicación dentro de un bucket para los resultados configurados del modelo de audiencia.

  • ConsoleDescribeECRRepositories— Permite a los directores describir los repositorios e imágenes de Amazon ECR.

Para ver una lista en JSON de los detalles de la política, consulte AWSCleanRooms MLFull Access en la Guía de referencia de políticas AWS gestionadas.

AWS Clean Rooms actualizaciones de las políticas AWS gestionadas

Consulte los detalles sobre las actualizaciones de las políticas AWS administradas AWS Clean Rooms desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial del AWS Clean Rooms documento.

Cambio Descripción Fecha

AWSCleanRoomsMLReadOnlyAccess: actualización de una política actual

AWSCleanRoomsMLFullAccess: actualización de una política actual

Added PassCleanRoomsResources a AWSCleanRoomsMLReadOnlyAccess. Agregado PassCleanRoomsResources y ConsoleDescribeECRRepositories a AWSCleanRoomsMLFullAccess.

 10 de enero de 2025
AWSCleanRoomsFullAccessNoQuerying: actualización de una política actual Added cleanrooms:BatchGetSchemaAnalysisRule a CleanRoomsAccess. 13 de mayo de 2024
AWSCleanRoomsFullAccess: actualización de una política actual Se actualizó el identificador del estado de cuenta en AWSCleanRoomsFullAccess desde ConsolePickQueryResultsBucket a SetQueryResultsBucket en esta política para representar mejor los permisos, ya que los permisos son necesarios para configurar el grupo de resultados de la consulta tanto con la consola como sin ella. 21 de marzo de 2024

AWSCleanRoomsMLReadOnlyAccess: política nueva

AWSCleanRoomsMLFullAccess: política nueva

Added AWSCleanRoomsMLReadOnlyAccess y AWSCleanRoomsMLFullAccess para admitir AWS Clean Rooms ML.

 29 de noviembre de 2023
AWSCleanRoomsFullAccessNoQuerying: actualización de una política actual Added cleanrooms:CreateAnalysisTemplate, cleanrooms:GetAnalysisTemplate, cleanrooms:UpdateAnalysisTemplate, cleanrooms:DeleteAnalysisTemplate, cleanrooms:ListAnalysisTemplates, cleanrooms:GetCollaborationAnalysisTemplate, cleanrooms:BatchGetCollaborationAnalysisTemplate, y cleanrooms:ListCollaborationAnalysisTemplates a CleanRoomsAccess para habilitar la nueva función de plantillas de análisis. 31 de julio de 2023
AWSCleanRoomsFullAccessNoQuerying: actualización de una política actual Added cleanrooms:ListTagsForResource, cleanrooms:UntagResource, y cleanrooms:TagResource a CleanRoomsAccess para habilitar el etiquetado de recursos. 21 de marzo de 2023

AWS Clean Rooms comenzó a rastrear los cambios

AWS Clean Rooms comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas.

 12 de enero de 2023