IAMcomportements pour AWS Clean Rooms ML - AWS Clean Rooms
Emplois multi-comptesTâches de balisageValidation des collaborateursAccès intercomptes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

IAMcomportements pour AWS Clean Rooms ML

Emplois multi-comptes

Clean Rooms ML autorise la création de certaines ressources par un Compte AWS pour qu'un autre utilisateur puisse accéder en toute sécurité à son compte Compte AWS. Lorsqu'un client entre Compte AWS A fait appel StartAudienceGenerationJob à une ConfiguredAudienceModel ressource détenue par Compte AWS B, Clean Rooms ML en crée deux ARNs pour le travail. Un ARN sur Compte AWS A et un autre dans Compte AWS B. Ils ARNs sont identiques sauf pour ce qui est de Compte AWS.

Clean Rooms ML en crée deux ARNs pour les tâches afin que les deux comptes puissent appliquer leurs propres IAM politiques aux tâches. Par exemple, les deux comptes peuvent utiliser le contrôle d'accès basé sur des balises et appliquer des politiques depuis leur AWS organisation. La tâche traite les données des deux comptes, de sorte que les deux comptes peuvent supprimer la tâche et les données associées. Aucun des deux comptes ne peut empêcher l'autre compte de supprimer la tâche.

Il n'y a qu'une seule exécution de tâche et les deux comptes peuvent voir la tâche lorsqu'ils appellentListAudienceGenerationJobs. Les deux comptes peuvent appeler le GetDelete, et Export APIs au travail en utilisant le ARN Compte AWS IDENTIFIANT.

Aucun des deux Compte AWS peut accéder à la tâche en utilisant un ARN avec l'autre Compte AWS IDENTIFIANT.

Le nom de la tâche doit être unique au sein d'un Compte AWS. Le nom dans Compte AWS B est $accountA-$name. Le nom choisi par Compte AWS A est préfixé par Compte AWS A lorsque l'offre d'emploi est consultée dans Compte AWS B.

Pour qu'un compte croisé soit StartAudienceGenerationJob un succès, Compte AWS B doit autoriser cette action à la fois sur le nouveau job dans Compte AWS B et le ConfiguredAudienceModel in Compte AWS B en utilisant une politique de ressources similaire à l'exemple suivant :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Clean-Rooms-<CAMA ID>",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "accountA" 
                ]
            },
            "Action": [
                "cleanrooms-ml:StartAudienceGenerationJob"
            ],
            "Resource": [
                "arn:aws:cleanrooms-ml:us-west-1:AccountB:configured-audience-model/id",
                "arn:aws:cleanrooms-ml:us-west-1:AccountB:audience-generation-job/*"
            ],
            // optional - always set by AWS Clean Rooms
"Condition":{"StringEquals":{"cleanrooms-ml:CollaborationId":"UUID"}}
        }
    ]
}

Si vous utilisez le AWS Clean Rooms ML API pour créer un modèle similaire configuré avec manageResourcePolicies défini sur true, AWS Clean Rooms crée cette politique pour vous.

De plus, la politique d'identité de l'appelant dans Compte AWS A a besoin StartAudienceGenerationJob d'une autorisation surarn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/*. Il existe donc trois IAM ressources pour agir StartAudienceGenerationJob : le Compte AWS Un travail, le Compte AWS B job, puis Compte AWS ConfiguredAudienceModelB.

Avertissement

Le Compte AWS qui a commencé le travail reçoit un AWS CloudTrail événement du journal d'audit concernant la tâche. Le Compte AWS qui possède le ConfiguredAudienceModel ne reçoit pas de AWS CloudTrail événement du journal d'audit.

Tâches de balisage

Lorsque vous définissez le childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE paramètre deCreateConfiguredAudienceModel, toutes les tâches de génération de segments similaires de votre compte créées à partir de ce modèle de similarité configuré comportent par défaut les mêmes balises que le modèle de similarité configuré. Le modèle de similarité configuré est le parent et la tâche de génération de segments de similarité est l'enfant.

Si vous créez une tâche dans votre propre compte, les balises de requête de la tâche remplacent les balises parentes. Les offres d'emploi créées par d'autres comptes ne créent jamais de tags dans votre compte. Si vous définissez une tâche childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE et qu'un autre compte la crée, il existe deux copies de la tâche. La copie de votre compte contient les balises de ressource parent et la copie du compte de l'auteur de la tâche contient les balises de la demande.

Validation des collaborateurs

Lorsque vous accordez des autorisations à d'autres membres d'un AWS Clean Rooms collaboration, la politique de ressources doit inclure la clé de conditioncleanrooms-ml:CollaborationId. Cela garantit que le collaborationId paramètre est inclus dans la StartAudienceGenerationJobdemande. Lorsque le collaborationId paramètre est inclus dans la demande, Clean Rooms ML confirme que la collaboration existe, que l'auteur de la tâche est un membre actif de la collaboration et que le propriétaire du modèle similaire configuré est un membre actif de la collaboration.

Lorsque AWS Clean Rooms gère la politique de ressources de votre modèle similaire configurée (le manageResourcePolicies paramètre est TRUE dans la CreateConfiguredAudienceModelAssociation demande), cette clé de condition sera définie dans la politique de ressources. Par conséquent, vous devez spécifier le collaborationId in StartAudienceGenerationJob.

Accès intercomptes

Ne StartAudienceGenerationJob peut être appelé que sur plusieurs comptes. Tous les autres Clean Rooms ML ne APIs peuvent être utilisés qu'avec les ressources de votre propre compte. Cela garantit la confidentialité de vos données d'entraînement, de la configuration de votre modèle similaire et d'autres informations.

Clean Rooms ML ne dévoile jamais Amazon S3 ou AWS Glue emplacements sur tous les comptes. L'emplacement des données de formation, l'emplacement de sortie du modèle similaire configuré et l'emplacement de départ des tâches pour la génération de segments similaires ne sont jamais visibles sur tous les comptes. À moins que l'enregistrement des requêtes ne soit activé dans la collaboration, les données initiales ne sont pas visibles sur tous les comptes, que les données de départ proviennent d'une SQL requête ou que la requête elle-même soient ou non. Si vous avez Get une tâche de génération d'audience soumise par un autre compte, le service n'indique pas l'emplacement initial.