Configuration des rôles de service pour le AWS Clean Rooms ML - AWS Clean Rooms

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des rôles de service pour le AWS Clean Rooms ML

Création d'un rôle de service pour lire les données d'entraînement

AWS Clean Rooms utilise un rôle de service pour lire les données d'entraînement. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des IAM autorisations nécessaires. Si vous ne disposez pas des CreateRole autorisations nécessaires, demandez à votre administrateur de créer le rôle de service.

Pour créer un rôle de service afin d'entraîner un ensemble de données
  1. Connectez-vous à la IAM console (https://console.aws.amazon.com/iam/) avec votre compte administrateur.

  2. Sous Access Management (Gestion des accès), choisissez Policies (politiques).

  3. Choisissez Create Policy (Créer une politique).

  4. Dans l'éditeur de stratégie, sélectionnez l'JSONonglet, puis copiez et collez la politique suivante.

    Note

    L'exemple de politique suivant prend en charge les autorisations nécessaires pour lire AWS Glue les métadonnées et les données Amazon S3 correspondantes. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données S3. Cette politique n'inclut pas de KMS clé permettant de déchiffrer les données.

    Vos AWS Glue ressources et les ressources Amazon S3 sous-jacentes doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartitions", "glue:GetPartition", "glue:BatchGetPartition", "glue:GetUserDefinedFunctions" ], "Resource": [ "arn:aws:glue:region:accountId:database/databases", "arn:aws:glue:region:accountId:table/databases/tables", "arn:aws:glue:region:accountId:catalog", "arn:aws:glue:region:accountId:database/default" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase" ], "Resource": [ "arn:aws:glue:region:accountId:database/default" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::bucket" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }

    Si vous devez utiliser une KMS clé pour déchiffrer des données, ajoutez cette AWS KMS instruction au modèle précédent :

    { "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] }
  5. Choisissez Suivant.

  6. Pour Révision et création, entrez le nom et la description de la politique, puis consultez le résumé.

  7. Choisissez Create Policy (Créer une politique).

    Vous avez créé une politique pour AWS Clean Rooms.

  8. Sous Access Management (Gestion des accès), choisissez Roles (Rôles).

    Avec les rôles, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner Utilisateurs pour créer des informations d'identification à long terme.

  9. Sélectionnez Créer un rôle.

  10. Dans l'assistant de création de rôle, pour Type d'entité fiable, choisissez Politique de confiance personnalisée.

  11. Copiez et collez la politique de confiance personnalisée suivante dans l'JSONéditeur.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:training-dataset/*" } } } ] }

    SourceAccountC'est toujours votre AWS compte. Ils SourceArn peuvent être limités à un ensemble de données d'entraînement spécifique, mais uniquement après la création de cet ensemble de données. Comme vous ne pouvez pas connaître à l'avance le jeu de données d'entraînementARN, le caractère générique est spécifié ici.

  12. Choisissez Suivant et sous Ajouter des autorisations, entrez le nom de la politique que vous venez de créer. (Vous devrez peut-être recharger la page.)

  13. Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez Next.

  14. Dans Nom, révision et création, entrez le nom et la description du rôle.

    Note

    Le nom du rôle doit correspondre au modèle des passRole autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.

    1. Passez en revue Sélectionnez les entités fiables et modifiez-les si nécessaire.

    2. Passez en revue les autorisations dans Ajouter des autorisations et modifiez-les si nécessaire.

    3. Passez en revue les balises et ajoutez-y des balises si nécessaire.

    4. Sélectionnez Créer un rôle.

  15. Le rôle de service pour AWS Clean Rooms a été créé.

Création d'un rôle de service pour écrire un segment similaire

AWS Clean Rooms utilise un rôle de service pour écrire des segments similaires dans un compartiment. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des IAM autorisations nécessaires. Si vous ne disposez pas des CreateRole autorisations nécessaires, demandez à votre administrateur de créer le rôle de service.

Pour créer un rôle de service, pour écrire un segment similaire
  1. Connectez-vous à la IAM console (https://console.aws.amazon.com/iam/) avec votre compte administrateur.

  2. Sous Access Management (Gestion des accès), choisissez Policies (politiques).

  3. Choisissez Create Policy (Créer une politique).

  4. Dans l'éditeur de stratégie, sélectionnez l'JSONonglet, puis copiez et collez la politique suivante.

    Note

    L'exemple de politique suivant prend en charge les autorisations nécessaires pour lire AWS Glue les métadonnées et les données Amazon S3 correspondantes. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données S3. Cette politique n'inclut pas de KMS clé permettant de déchiffrer les données.

    Vos AWS Glue ressources et les ressources Amazon S3 sous-jacentes doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::buckets" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }

    Si vous devez utiliser une KMS clé pour chiffrer des données, ajoutez cette AWS KMS instruction au modèle :

    { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] }

    Si vous devez utiliser une KMS clé pour déchiffrer des données, ajoutez cette AWS KMS instruction au modèle :

    { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] }
  5. Choisissez Suivant.

  6. Pour Révision et création, entrez le nom et la description de la politique, puis consultez le résumé.

  7. Choisissez Create Policy (Créer une politique).

    Vous avez créé une politique pour AWS Clean Rooms.

  8. Sous Access Management (Gestion des accès), choisissez Roles (Rôles).

    Avec les rôles, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner Utilisateurs pour créer des informations d'identification à long terme.

  9. Sélectionnez Créer un rôle.

  10. Dans l'assistant de création de rôle, pour Type d'entité fiable, choisissez Politique de confiance personnalisée.

  11. Copiez et collez la politique de confiance personnalisée suivante dans l'JSONéditeur.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:configured-audience-model/*" } } } ] }

    SourceAccountC'est toujours votre AWS compte. Ils SourceArn peuvent être limités à un ensemble de données d'entraînement spécifique, mais uniquement après la création de cet ensemble de données. Comme vous ne pouvez pas connaître à l'avance le jeu de données d'entraînementARN, le caractère générique est spécifié ici.

  12. Choisissez Suivant.

  13. Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez Next.

  14. Dans Nom, révision et création, entrez le nom et la description du rôle.

    Note

    Le nom du rôle doit correspondre au modèle des passRole autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.

    1. Passez en revue Sélectionnez les entités fiables et modifiez-les si nécessaire.

    2. Passez en revue les autorisations dans Ajouter des autorisations et modifiez-les si nécessaire.

    3. Passez en revue les balises et ajoutez-y des balises si nécessaire.

    4. Sélectionnez Créer un rôle.

  15. Le rôle de service pour AWS Clean Rooms a été créé.

Création d'un rôle de service pour lire les données de départ

AWS Clean Rooms utilise un rôle de service pour lire les données de départ. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des IAM autorisations nécessaires. Si vous ne disposez pas des CreateRole autorisations nécessaires, demandez à votre administrateur de créer le rôle de service.

Créer un rôle de service pour lire les données de départ stockées dans un compartiment Amazon S3.
  1. Connectez-vous à la IAM console (https://console.aws.amazon.com/iam/) avec votre compte administrateur.

  2. Sous Access Management (Gestion des accès), choisissez Policies (politiques).

  3. Choisissez Create Policy (Créer une politique).

  4. Dans l'éditeur de stratégies, sélectionnez l'JSONonglet, puis copiez et collez l'une des politiques suivantes.

    Note

    L'exemple de politique suivant prend en charge les autorisations nécessaires pour lire AWS Glue les métadonnées et les données Amazon S3 correspondantes. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données S3. Cette politique n'inclut pas de KMS clé permettant de déchiffrer les données.

    Vos AWS Glue ressources et les ressources Amazon S3 sous-jacentes doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", ], "Resource": [ "arn:aws:s3:::buckets" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }
    Note

    L'exemple de politique suivant prend en charge les autorisations nécessaires pour lire les résultats d'une SQL requête et les utiliser comme données d'entrée. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la structure de votre requête. Cette politique n'inclut pas de KMS clé permettant de déchiffrer les données.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCleanRoomsStartQuery", "Effect": "Allow", "Action": [ "cleanrooms:GetCollaborationAnalysisTemplate", "cleanrooms:GetSchema", "cleanrooms:StartProtectedQuery" ], "Resource": "*" }, { "Sid": "AllowCleanRoomsGetAndUpdateQuery", "Effect": "Allow", "Action": [ "cleanrooms:GetProtectedQuery", "cleanrooms:UpdateProtectedQuery" ], "Resource": [ "arn:aws:cleanrooms:{{region}}:{{queryRunnerAccountId}}:membership/{{queryRunnerMembershipId}}" ] } ] }

    Si vous devez utiliser une KMS clé pour déchiffrer des données, ajoutez cette AWS KMS instruction au modèle :

    { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] }
  5. Choisissez Suivant.

  6. Pour Révision et création, entrez le nom et la description de la politique, puis consultez le résumé.

  7. Choisissez Create Policy (Créer une politique).

    Vous avez créé une politique pour AWS Clean Rooms.

  8. Sous Access Management (Gestion des accès), choisissez Roles (Rôles).

    Avec les rôles, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner Utilisateurs pour créer des informations d'identification à long terme.

  9. Sélectionnez Créer un rôle.

  10. Dans l'assistant de création de rôle, pour Type d'entité fiable, choisissez Politique de confiance personnalisée.

  11. Copiez et collez la politique de confiance personnalisée suivante dans l'JSONéditeur.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:audience-generation-job/*" } } } ] }

    SourceAccountC'est toujours votre AWS compte. Ils SourceArn peuvent être limités à un ensemble de données d'entraînement spécifique, mais uniquement après la création de cet ensemble de données. Comme vous ne pouvez pas connaître à l'avance le jeu de données d'entraînementARN, le caractère générique est spécifié ici.

  12. Choisissez Suivant.

  13. Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez Next.

  14. Dans Nom, révision et création, entrez le nom et la description du rôle.

    Note

    Le nom du rôle doit correspondre au modèle des passRole autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.

    1. Passez en revue Sélectionnez les entités fiables et modifiez-les si nécessaire.

    2. Passez en revue les autorisations dans Ajouter des autorisations et modifiez-les si nécessaire.

    3. Passez en revue les balises et ajoutez-y des balises si nécessaire.

    4. Sélectionnez Créer un rôle.

  15. Le rôle de service pour AWS Clean Rooms a été créé.