AWS politiques gérées pour AWS Clean Rooms - AWS Clean Rooms

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour AWS Clean Rooms

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou que de nouvelles API opérations sont disponibles pour les services existants.

Pour plus d'informations, consultez les politiques AWS gérées dans le Guide de IAM l'utilisateur.

AWS politique gérée : AWSCleanRoomsReadOnlyAccess

Vous pouvez vous rattacher AWSCleanRoomsReadOnlyAccess à vos IAM mandants.

Cette politique accorde des autorisations en lecture seule aux ressources et aux métadonnées dans le cadre d'une AWSCleanRoomsReadOnlyAccess collaboration.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • CleanRoomsRead— Permet aux principaux d'accéder au service en lecture seule.

  • ConsoleDisplayTables— Permet aux principaux d'accéder en lecture seule aux AWS Glue métadonnées nécessaires pour afficher les données relatives aux AWS Glue tables sous-jacentes sur la console.

  • ConsoleLogSummaryQueryLogs— Permet aux principaux de consulter les journaux de requêtes.

  • ConsoleLogSummaryObtainLogs— Permet aux principaux de récupérer les résultats du journal.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsRead", "Effect": "Allow", "Action": [ "cleanrooms:BatchGet*", "cleanrooms:Get*", "cleanrooms:List*" ], "Resource": "*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "ConsoleLogSummaryQueryLogs", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*" }, { "Sid": "ConsoleLogSummaryObtainLogs", "Effect": "Allow", "Action": [ "logs:GetQueryResults" ], "Resource": "*" } ] }

AWS politique gérée : AWSCleanRoomsFullAccess

Vous pouvez vous rattacher AWSCleanRoomsFullAccess à vos IAM mandants.

Cette politique accorde des autorisations administratives qui permettent un accès complet (lecture, écriture et mise à jour) aux ressources et aux métadonnées d'une AWS Clean Rooms collaboration. Cette politique inclut l'accès pour effectuer des requêtes.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • CleanRoomsAccess— Accorde un accès complet à toutes les actions sur toutes les ressources pour AWS Clean Rooms.

  • PassServiceRole— Accorde l'accès pour transmettre un rôle de service uniquement au service (PassedToServicecondition) qui a »cleanrooms« dans son nom.

  • ListRolesToPickServiceRole— Permet aux directeurs de répertorier tous leurs rôles afin de choisir un rôle de service lors de l'utilisation AWS Clean Rooms.

  • GetRoleAndListRolePoliciesToInspectServiceRole— Permet aux principaux de voir le rôle du service et la politique correspondante dansIAM.

  • ListPoliciesToInspectServiceRolePolicy— Permet aux principaux de voir le rôle du service et la politique correspondante dansIAM.

  • GetPolicyToInspectServiceRolePolicy— Permet aux principaux de voir le rôle du service et la politique correspondante dansIAM.

  • ConsoleDisplayTables— Permet aux principaux d'accéder en lecture seule aux AWS Glue métadonnées nécessaires pour afficher les données relatives aux AWS Glue tables sous-jacentes sur la console.

  • ConsolePickQueryResultsBucketListAll— Permet aux principaux de choisir un compartiment Amazon S3 dans une liste de tous les compartiments S3 disponibles dans lesquels les résultats de leurs requêtes sont écrits.

  • SetQueryResultsBucket— Permet aux principaux de choisir un compartiment S3 dans lequel les résultats de leurs requêtes sont écrits.

  • ConsoleDisplayQueryResults— Permet aux principaux d'afficher les résultats de la requête au client, lus depuis le compartiment S3.

  • WriteQueryResults— Permet aux principaux d'écrire les résultats de la requête dans un compartiment S3 appartenant au client.

  • EstablishLogDeliveries— Permet aux principaux de fournir des journaux de requêtes au groupe de CloudWatch journaux Amazon Logs d'un client.

  • SetupLogGroupsDescribe— Permet aux principaux d'utiliser le processus de création de groupes de CloudWatch journaux Amazon Logs.

  • SetupLogGroupsCreate— Permet aux principaux de créer un groupe de CloudWatch journaux Amazon Logs.

  • SetupLogGroupsResourcePolicy— Permet aux principaux de définir une politique de ressources sur le groupe de CloudWatch journaux Amazon Logs.

  • ConsoleLogSummaryQueryLogs— Permet aux principaux de consulter les journaux de requêtes.

  • ConsoleLogSummaryObtainLogs— Permet aux principaux de récupérer les résultats du journal.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsAccess", "Effect": "Allow", "Action": [ "cleanrooms:*" ], "Resource": "*" }, { "Sid": "PassServiceRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*", "Condition": { "StringEquals": { "iam:PassedToService": "cleanrooms.amazonaws.com" } } }, { "Sid": "ListRolesToPickServiceRole", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GetRoleAndListRolePoliciesToInspectServiceRole", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*" }, { "Sid": "ListPoliciesToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "GetPolicyToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:GetPolicy", "iam:GetPolicyVersion" ], "Resource": "arn:aws:iam::*:policy/*cleanrooms*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "ConsolePickQueryResultsBucketListAll", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "SetQueryResultsBucket", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucketVersions" ], "Resource": "arn:aws:s3:::cleanrooms-queryresults*" }, { "Sid": "WriteQueryResults", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:PutObject" ], "Resource": "arn:aws:s3:::cleanrooms-queryresults*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "ConsoleDisplayQueryResults", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::cleanrooms-queryresults*" }, { "Sid": "EstablishLogDeliveries", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsDescribe", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsCreate", "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsResourcePolicy", "Effect": "Allow", "Action": [ "logs:DescribeResourcePolicies", "logs:PutResourcePolicy" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "ConsoleLogSummaryQueryLogs", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*" }, { "Sid": "ConsoleLogSummaryObtainLogs", "Effect": "Allow", "Action": [ "logs:GetQueryResults" ], "Resource": "*" } ] }

AWS politique gérée : AWSCleanRoomsFullAccessNoQuerying

Vous pouvez joindre AWSCleanRoomsFullAccessNoQuerying à votre IAM principals.

Cette politique accorde des autorisations administratives qui permettent un accès complet (lecture, écriture et mise à jour) aux ressources et aux métadonnées d'une AWS Clean Rooms collaboration. Cette politique exclut l'accès pour effectuer des requêtes.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • CleanRoomsAccess— Accorde un accès complet à toutes les actions sur toutes les ressources AWS Clean Rooms, à l'exception des requêtes dans le cadre de collaborations.

  • CleanRoomsNoQuerying— Refuse explicitement StartProtectedQuery et UpdateProtectedQuery empêche les requêtes.

  • PassServiceRole— Accorde l'accès pour transmettre un rôle de service uniquement au service (PassedToServicecondition) qui a »cleanrooms« dans son nom.

  • ListRolesToPickServiceRole— Permet aux directeurs de répertorier tous leurs rôles afin de choisir un rôle de service lors de l'utilisation AWS Clean Rooms.

  • GetRoleAndListRolePoliciesToInspectServiceRole— Permet aux principaux de voir le rôle du service et la politique correspondante dansIAM.

  • ListPoliciesToInspectServiceRolePolicy— Permet aux principaux de voir le rôle du service et la politique correspondante dansIAM.

  • GetPolicyToInspectServiceRolePolicy— Permet aux principaux de voir le rôle du service et la politique correspondante dansIAM.

  • ConsoleDisplayTables— Permet aux principaux d'accéder en lecture seule aux AWS Glue métadonnées nécessaires pour afficher les données relatives aux AWS Glue tables sous-jacentes sur la console.

  • EstablishLogDeliveries— Permet aux principaux de fournir des journaux de requêtes au groupe de CloudWatch journaux Amazon Logs d'un client.

  • SetupLogGroupsDescribe— Permet aux principaux d'utiliser le processus de création de groupes de CloudWatch journaux Amazon Logs.

  • SetupLogGroupsCreate— Permet aux principaux de créer un groupe de CloudWatch journaux Amazon Logs.

  • SetupLogGroupsResourcePolicy— Permet aux principaux de définir une politique de ressources sur le groupe de CloudWatch journaux Amazon Logs.

  • ConsoleLogSummaryQueryLogs— Permet aux principaux de consulter les journaux de requêtes.

  • ConsoleLogSummaryObtainLogs— Permet aux principaux de récupérer les résultats du journal.

  • cleanrooms— Gérez les collaborations, les modèles d'analyse, les tables configurées, les adhésions et les ressources associées au sein du AWS Clean Rooms service. Effectuez diverses opérations telles que la création, la mise à jour, la suppression, la liste et la récupération d'informations sur ces ressources.

  • iam— Transmettez les rôles de service dont les noms contiennent cleanrooms « » au AWS Clean Rooms service. Répertoriez les rôles, les politiques et inspectez les rôles de service et les politiques liés au AWS Clean Rooms service.

  • glue— Récupérez des informations sur les bases de données, les tables, les partitions et les schémas à partir de AWS Glue. Cela est nécessaire pour que le AWS Clean Rooms service affiche et interagisse avec les sources de données sous-jacentes.

  • logs— Gérez les livraisons de journaux, les groupes de journaux et les politiques de ressources pour les CloudWatch journaux. Interrogez et récupérez les journaux relatifs au AWS Clean Rooms service. Ces autorisations sont nécessaires à des fins de surveillance, d'audit et de dépannage au sein du service.

La politique refuse également explicitement les actions cleanrooms:StartProtectedQuery et empêche les utilisateurs cleanrooms:UpdateProtectedQuery d'exécuter ou de mettre à jour directement les requêtes protégées, ce qui doit être fait par le biais des mécanismes AWS Clean Rooms contrôlés.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsAccess", "Effect": "Allow", "Action": [ "cleanrooms:BatchGetCollaborationAnalysisTemplate", "cleanrooms:BatchGetSchema", "cleanrooms:BatchGetSchemaAnalysisRule", "cleanrooms:CreateAnalysisTemplate", "cleanrooms:CreateCollaboration", "cleanrooms:CreateConfiguredTable", "cleanrooms:CreateConfiguredTableAnalysisRule", "cleanrooms:CreateConfiguredTableAssociation", "cleanrooms:CreateMembership", "cleanrooms:DeleteAnalysisTemplate", "cleanrooms:DeleteCollaboration", "cleanrooms:DeleteConfiguredTable", "cleanrooms:DeleteConfiguredTableAnalysisRule", "cleanrooms:DeleteConfiguredTableAssociation", "cleanrooms:DeleteMember", "cleanrooms:DeleteMembership", "cleanrooms:GetAnalysisTemplate", "cleanrooms:GetCollaboration", "cleanrooms:GetCollaborationAnalysisTemplate", "cleanrooms:GetConfiguredTable", "cleanrooms:GetConfiguredTableAnalysisRule", "cleanrooms:GetConfiguredTableAssociation", "cleanrooms:GetMembership", "cleanrooms:GetProtectedQuery", "cleanrooms:GetSchema", "cleanrooms:GetSchemaAnalysisRule", "cleanrooms:ListAnalysisTemplates", "cleanrooms:ListCollaborationAnalysisTemplates", "cleanrooms:ListCollaborations", "cleanrooms:ListConfiguredTableAssociations", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMembers", "cleanrooms:ListMemberships", "cleanrooms:ListProtectedQueries", "cleanrooms:ListSchemas", "cleanrooms:UpdateAnalysisTemplate", "cleanrooms:UpdateCollaboration", "cleanrooms:UpdateConfiguredTable", "cleanrooms:UpdateConfiguredTableAnalysisRule", "cleanrooms:UpdateConfiguredTableAssociation", "cleanrooms:UpdateMembership", "cleanrooms:ListTagsForResource", "cleanrooms:UntagResource", "cleanrooms:TagResource" ], "Resource": "*" }, { "Sid": "CleanRoomsNoQuerying", "Effect": "Deny", "Action": [ "cleanrooms:StartProtectedQuery", "cleanrooms:UpdateProtectedQuery" ], "Resource": "*" }, { "Sid": "PassServiceRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*", "Condition": { "StringEquals": { "iam:PassedToService": "cleanrooms.amazonaws.com" } } }, { "Sid": "ListRolesToPickServiceRole", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GetRoleAndListRolePoliciesToInspectServiceRole", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*" }, { "Sid": "ListPoliciesToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "GetPolicyToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:GetPolicy", "iam:GetPolicyVersion" ], "Resource": "arn:aws:iam::*:policy/*cleanrooms*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "EstablishLogDeliveries", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsDescribe", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsCreate", "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsResourcePolicy", "Effect": "Allow", "Action": [ "logs:DescribeResourcePolicies", "logs:PutResourcePolicy" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "ConsoleLogSummaryQueryLogs", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*" }, { "Sid": "ConsoleLogSummaryObtainLogs", "Effect": "Allow", "Action": [ "logs:GetQueryResults" ], "Resource": "*" } ] }

AWS politique gérée : AWSCleanRoomsMLReadOnlyAccess

Vous pouvez vous rattacher AWSCleanRoomsMLReadOnlyAccess à vos IAM mandants.

Cette politique accorde des autorisations en lecture seule aux ressources et aux métadonnées dans le cadre d'une AWSCleanRoomsMLReadOnlyAccess collaboration.

Cette politique inclut les autorisations suivantes :

  • CleanRoomsConsoleNavigation— Permet d'accéder aux écrans de la AWS Clean Rooms console.

  • CleanRoomsMLRead— Permet aux principaux d'accéder en lecture seule au service Clean Rooms ML.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsConsoleNavigation", "Effect": "Allow", "Action": [ "cleanrooms:GetCollaboration", "cleanrooms:GetConfiguredAudienceModelAssociation", "cleanrooms:GetMembership", "cleanrooms:ListAnalysisTemplates", "cleanrooms:ListCollaborationAnalysisTemplates", "cleanrooms:ListCollaborationConfiguredAudienceModelAssociations", "cleanrooms:ListCollaborations", "cleanrooms:ListConfiguredTableAssociations", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMembers", "cleanrooms:ListMemberships", "cleanrooms:ListProtectedQueries", "cleanrooms:ListSchemas", "cleanrooms:ListTagsForResource" ], "Resource": "*" }, { "Sid": "CleanRoomsMLRead", "Effect": "Allow", "Action": [ "cleanrooms-ml:Get*", "cleanrooms-ml:List*" ], "Resource": "*" } ] }

AWS politique gérée : AWSCleanRoomsMLFullAccess

Vous pouvez vous rattacher AWSCleanRoomsMLFullAcces à vos IAM mandants. Cette politique accorde des autorisations administratives qui permettent un accès complet (lecture, écriture et mise à jour) aux ressources et aux métadonnées nécessaires à Clean Rooms ML.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • CleanRoomsMLFullAccess— Accorde l'accès à toutes les actions de Clean Rooms ML.

  • PassServiceRole— Accorde l'accès pour transmettre un rôle de service uniquement au service (PassedToServicecondition) qui a »cleanrooms-ml« dans son nom.

  • CleanRoomsConsoleNavigation— Permet d'accéder aux écrans de la AWS Clean Rooms console.

  • CollaborationMembershipCheck— Lorsque vous lancez une tâche de génération d'audience (segment similaire) dans le cadre d'une collaboration, le service Clean Rooms ML appelle ListMembers pour vérifier que la collaboration est valide, que l'appelant est un membre actif et que le propriétaire du modèle d'audience configuré est un membre actif. Cette autorisation est toujours requise ; la navigation dans la console n'SIDest requise que pour les utilisateurs de la console.

  • AssociateModels— Permet aux directeurs d'associer un modèle Clean Rooms ML à votre collaboration.

  • TagAssociations— Permet aux principaux d'ajouter des balises à l'association entre un modèle similaire et une collaboration.

  • ListRolesToPickServiceRole— Permet aux directeurs de répertorier tous leurs rôles afin de choisir un rôle de service lors de l'utilisation AWS Clean Rooms.

  • GetRoleAndListRolePoliciesToInspectServiceRole— Permet aux principaux de voir le rôle du service et la politique correspondante dansIAM.

  • ListPoliciesToInspectServiceRolePolicy— Permet aux principaux de voir le rôle du service et la politique correspondante dansIAM.

  • GetPolicyToInspectServiceRolePolicy— Permet aux principaux de voir le rôle du service et la politique correspondante dansIAM.

  • ConsoleDisplayTables— Permet aux principaux d'accéder en lecture seule aux AWS Glue métadonnées nécessaires pour afficher les données relatives aux AWS Glue tables sous-jacentes sur la console.

  • ConsolePickOutputBucket— Permet aux principaux de sélectionner des compartiments Amazon S3 pour les sorties du modèle d'audience configurées.

  • ConsolePickS3Location— Permet aux principaux de sélectionner l'emplacement dans un compartiment pour les sorties du modèle d'audience configurées.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsMLFullAccess", "Effect": "Allow", "Action": [ "cleanrooms-ml:*" ], "Resource": "*" }, { "Sid": "PassServiceRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/cleanrooms-ml*" ], "Condition": { "StringEquals": { "iam:PassedToService": "cleanrooms-ml.amazonaws.com" } } }, { "Sid": "CleanRoomsConsoleNavigation", "Effect": "Allow", "Action": [ "cleanrooms:GetCollaboration", "cleanrooms:GetConfiguredAudienceModelAssociation", "cleanrooms:GetMembership", "cleanrooms:ListAnalysisTemplates", "cleanrooms:ListCollaborationAnalysisTemplates", "cleanrooms:ListCollaborationConfiguredAudienceModelAssociations", "cleanrooms:ListCollaborations", "cleanrooms:ListConfiguredTableAssociations", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMembers", "cleanrooms:ListMemberships", "cleanrooms:ListProtectedQueries", "cleanrooms:ListSchemas", "cleanrooms:ListTagsForResource" ], "Resource": "*" }, { "Sid": "CollaborationMembershipCheck", "Effect": "Allow", "Action": [ "cleanrooms:ListMembers" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": ["cleanrooms-ml.amazonaws.com"] } } }, { "Sid": "AssociateModels", "Effect": "Allow", "Action": [ "cleanrooms:CreateConfiguredAudienceModelAssociation" ], "Resource": "*" }, { "Sid": "TagAssociations", "Effect": "Allow", "Action": [ "cleanrooms:TagResource" ], "Resource": "arn:aws:cleanrooms:*:*:membership/*/configuredaudiencemodelassociation/*" }, { "Sid": "ListRolesToPickServiceRole", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GetRoleAndListRolePoliciesToInspectServiceRole", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:role/service-role/cleanrooms-ml*", "arn:aws:iam::*:role/role/cleanrooms-ml*" ] }, { "Sid": "ListPoliciesToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "GetPolicyToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:GetPolicy", "iam:GetPolicyVersion" ], "Resource": "arn:aws:iam::*:policy/*cleanroomsml*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "ConsolePickOutputBucket", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "ConsolePickS3Location", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*cleanrooms-ml*" } ] }

AWS Clean Rooms mises à jour des politiques AWS gérées

Consultez les détails des mises à jour des politiques AWS gérées AWS Clean Rooms depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS fil sur la page Historique du AWS Clean Rooms document.

Modification Description Date
AWSCleanRoomsFullAccessNoQuerying – Mise à jour de la politique existante Ajouté cleanrooms:BatchGetSchemaAnalysisRule to CleanRoomsAccess. 13 mai 2024
AWSCleanRoomsFullAccess – Mise à jour de la politique existante L'ID du relevé a été mis à jour dans AWSCleanRoomsFullAccess from ConsolePickQueryResultsBucket to SetQueryResultsBucket dans cette politique afin de mieux représenter les autorisations, car celles-ci sont nécessaires pour définir le compartiment des résultats de la requête avec et sans la console. 21 mars 2024

AWSCleanRoomsMLReadOnlyAccess : nouvelle politique

AWSCleanRoomsMLFullAccess : nouvelle politique

Ajouté AWSCleanRoomsMLReadOnlyAccess and AWSCleanRoomsMLFullAccess pour soutenir le AWS Clean Rooms ML.

29 novembre 2023
AWSCleanRoomsFullAccessNoQuerying – Mise à jour de la politique existante Ajouté cleanrooms:CreateAnalysisTemplate, cleanrooms:GetAnalysisTemplate, cleanrooms:UpdateAnalysisTemplate, cleanrooms:DeleteAnalysisTemplate, cleanrooms:ListAnalysisTemplates, cleanrooms:GetCollaborationAnalysisTemplate, cleanrooms:BatchGetCollaborationAnalysisTemplate, et cleanrooms:ListCollaborationAnalysisTemplates to CleanRoomsAccess pour activer la nouvelle fonctionnalité de modèles d'analyse. 31 juillet 2023
AWSCleanRoomsFullAccessNoQuerying – Mise à jour de la politique existante Ajouté cleanrooms:ListTagsForResource, cleanrooms:UntagResource, et cleanrooms:TagResource to CleanRoomsAccess pour activer le balisage des ressources. 21 mars 2023

AWS Clean Rooms a commencé à suivre les modifications

AWS Clean Rooms a commencé à suivre les modifications apportées AWS à ses politiques gérées.

12 janvier 2023