IAMperilaku untuk AWS Clean Rooms ML - AWS Clean Rooms
Lowongan kerja lintas akunLowongan kerja TaggingMemvalidasi kolaboratorAkses lintas akun

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

IAMperilaku untuk AWS Clean Rooms ML

Lowongan kerja lintas akun

Clean Rooms ML memungkinkan sumber daya tertentu yang dibuat oleh satu Akun AWS untuk diakses dengan aman di akun mereka oleh orang lain Akun AWS. Ketika seorang klien di Akun AWS Panggilan StartAudienceGenerationJob pada ConfiguredAudienceModel sumber daya yang dimiliki oleh Akun AWS B, Clean Rooms MLmenciptakan dua ARNs untuk pekerjaan itu. Satu ARN di Akun AWS A dan lainnya di Akun AWS B. Identik kecuali ARNs Akun AWS.

Clean Rooms MS menciptakan dua ARNs untuk pekerjaan tersebut untuk memastikan bahwa kedua akun dapat menerapkan IAM kebijakan mereka sendiri untuk pekerjaan tersebut. Misalnya, kedua akun dapat menggunakan kontrol akses berbasis tag dan menerapkan kebijakan dari AWS organisasi. Pekerjaan memproses data dari kedua akun, sehingga kedua akun dapat menghapus pekerjaan dan data terkait. Tidak ada akun yang dapat memblokir akun lain dari menghapus pekerjaan.

Hanya ada satu eksekusi pekerjaan dan kedua akun dapat melihat pekerjaan ketika mereka meneleponListAudienceGenerationJobs. Kedua akun dapat memanggilGet,Delete, dan Export APIs di tempat kerja menggunakan ARN dengan mereka sendiri Akun AWS ID.

Tidak juga Akun AWS dapat mengakses pekerjaan saat menggunakan ARN dengan yang lain Akun AWS ID.

Nama pekerjaan harus unik dalam Akun AWS. Nama di Akun AWS B adalah $accountA-$name. Nama yang dipilih oleh Akun AWS A diawali dengan Akun AWS A ketika pekerjaan dilihat di Akun AWS B.

Agar cross-account StartAudienceGenerationJob berhasil, Akun AWS B harus mengizinkan tindakan itu pada kedua pekerjaan baru di Akun AWS B dan ConfiguredAudienceModel di Akun AWS B menggunakan kebijakan sumber daya yang mirip dengan contoh berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Clean-Rooms-<CAMA ID>",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "accountA" 
                ]
            },
            "Action": [
                "cleanrooms-ml:StartAudienceGenerationJob"
            ],
            "Resource": [
                "arn:aws:cleanrooms-ml:us-west-1:AccountB:configured-audience-model/id",
                "arn:aws:cleanrooms-ml:us-west-1:AccountB:audience-generation-job/*"
            ],
            // optional - always set by AWS Clean Rooms
"Condition":{"StringEquals":{"cleanrooms-ml:CollaborationId":"UUID"}}
        }
    ]
}

Jika Anda menggunakan AWS Clean Rooms ML API untuk membuat model mirip yang dikonfigurasi dengan manageResourcePolicies disetel ke true, AWS Clean Rooms membuat kebijakan ini untuk Anda.

Selain itu, kebijakan identitas penelepon di Akun AWS A membutuhkan StartAudienceGenerationJob izin padaarn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/*. Jadi ada tiga IAM Sumber Daya untuk TindakanStartAudienceGenerationJob: Akun AWS Sebuah pekerjaan, Akun AWS B pekerjaan, dan Akun AWS BConfiguredAudienceModel.

Awas

Bagian Akun AWS yang memulai pekerjaan menerima AWS CloudTrail audit log peristiwa tentang pekerjaan. Bagian Akun AWS yang memiliki ConfiguredAudienceModel tidak menerima AWS CloudTrail peristiwa log audit.

Lowongan kerja Tagging

Saat Anda menyetel childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE parameterCreateConfiguredAudienceModel, semua pekerjaan pembuatan segmen mirip dalam akun Anda yang dibuat dari model mirip mirip yang dikonfigurasi secara default untuk memiliki tag yang sama dengan model mirip yang dikonfigurasi. Model mirip yang dikonfigurasi adalah induknya dan pekerjaan pembuatan segmen yang mirip adalah anak.

Jika Anda membuat pekerjaan di dalam akun Anda sendiri, tag permintaan pekerjaan akan menggantikan tag induk. Pekerjaan yang dibuat oleh akun lain tidak pernah membuat tag di akun Anda. Jika Anda menetapkan childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE dan akun lain membuat pekerjaan, ada dua salinan pekerjaan. Salinan di akun Anda memiliki tag sumber daya induk dan salinan di akun pengirim pekerjaan memiliki tag dari permintaan.

Memvalidasi kolaborator

Saat memberikan izin kepada anggota lain dari sebuah AWS Clean Rooms kolaborasi, kebijakan sumber daya harus menyertakan kunci kondisicleanrooms-ml:CollaborationId. Ini memberlakukan bahwa collaborationId parameter disertakan dalam StartAudienceGenerationJobpermintaan. Ketika collaborationId parameter disertakan dalam permintaan, Clean Rooms MS memvalidasi bahwa kolaborasi ada, pengirim pekerjaan adalah anggota aktif kolaborasi, dan pemilik model mirip yang dikonfigurasi adalah anggota aktif kolaborasi.

Saat AWS Clean Rooms mengelola kebijakan sumber daya model mirip yang dikonfigurasi (manageResourcePoliciesparameternya TRUE dalam CreateConfiguredAudienceModelAssociation permintaan), kunci kondisi ini akan disetel dalam kebijakan sumber daya. Oleh karena itu, Anda harus menentukan collaborationId in StartAudienceGenerationJob.

Akses lintas akun

Hanya StartAudienceGenerationJob dapat dipanggil di seluruh akun. Semua Clean Rooms ML lainnya hanya APIs dapat digunakan dengan sumber daya di akun Anda sendiri. Ini memastikan bahwa data pelatihan Anda, konfigurasi model yang mirip, dan informasi lainnya tetap pribadi.

Clean Rooms MLtidak pernah mengungkapkan Amazon S3 atau AWS Glue lokasi di seluruh akun. Lokasi data pelatihan, lokasi keluaran model mirip yang dikonfigurasi, dan lokasi benih pekerjaan pembuatan segmen yang mirip tidak pernah terlihat di seluruh akun. Kecuali pencatatan kueri diaktifkan dalam kolaborasi, apakah data benih berasal dari SQL kueri dan kueri itu sendiri tidak terlihat di seluruh akun. Jika Anda Get memiliki pekerjaan pembuatan audiens yang dikirimkan oleh akun lain, layanan tidak menampilkan lokasi benih.