Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Perilaku IAM untuk AWS Clean Rooms ML
Lowongan kerja lintas akun
Clean Rooms ML memungkinkan sumber daya tertentu yang dibuat oleh satu orang Akun AWS untuk diakses dengan aman di akun mereka oleh yang lain Akun AWS. Ketika klien di Akun AWS A memanggil StartAudienceGenerationJob
ConfiguredAudienceModel
sumber daya yang dimiliki oleh Akun AWS B, Clean Rooms MLmenciptakan dua ARNs untuk pekerjaan itu. Satu ARN di Akun AWS A dan satu lagi di B. Akun AWS ARNs Mereka identik kecuali untuk mereka Akun AWS.
Clean Rooms MS menciptakan dua ARNs untuk pekerjaan tersebut untuk memastikan bahwa kedua akun dapat menerapkan kebijakan IAM mereka sendiri untuk pekerjaan tersebut. Misalnya, kedua akun dapat menggunakan kontrol akses berbasis tag dan menerapkan kebijakan dari AWS organisasi mereka. Pekerjaan memproses data dari kedua akun, sehingga kedua akun dapat menghapus pekerjaan dan data terkait. Tidak ada akun yang dapat memblokir akun lain dari menghapus pekerjaan.
Hanya ada satu eksekusi pekerjaan dan kedua akun dapat melihat pekerjaan ketika mereka meneleponListAudienceGenerationJobs
. Kedua akun dapat memanggilGet
,Delete
, dan Export
APIs di tempat kerja menggunakan ARN dengan ID mereka sendiri Akun AWS .
Tidak ada yang Akun AWS dapat mengakses pekerjaan saat menggunakan ARN dengan ID lainnya Akun AWS .
Nama pekerjaan harus unik dalam sebuah Akun AWS. Nama dalam Akun AWS B adalah $accountA-$name
Nama yang dipilih oleh Akun AWS A diawali dengan Akun AWS
A ketika pekerjaan dilihat di Akun AWS B.
Agar lintas akun StartAudienceGenerationJob
berhasil, Akun AWS B harus mengizinkan tindakan tersebut pada pekerjaan baru di Akun AWS B dan ConfiguredAudienceModel
di Akun AWS B menggunakan kebijakan sumber daya yang mirip dengan contoh berikut:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Clean-Rooms-<CAMA ID>", "Effect": "Allow", "Principal": { "AWS": [ "
accountA
" ] }, "Action": [ "cleanrooms-ml:StartAudienceGenerationJob" ], "Resource": [ "arn:aws:cleanrooms-ml:us-west-1:AccountB
:configured-audience-model/id
", "arn:aws:cleanrooms-ml:us-west-1:AccountB
:audience-generation-job/*" ], // optional - always set by AWS Clean Rooms "Condition":{"StringEquals":{"cleanrooms-ml:CollaborationId":"UUID
"}} } ] }
Jika Anda menggunakan API AWS Clean Rooms API untuk membuat model mirip mirip yang dikonfigurasi dengan manageResourcePolicies
disetel ke true, AWS Clean Rooms buat kebijakan ini untuk Anda.
Selain itu, kebijakan identitas penelepon di Akun AWS A memerlukan StartAudienceGenerationJob
izin. arn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/*
Jadi ada tiga Sumber Daya IAM untuk TindakanStartAudienceGenerationJob
: pekerjaan Akun AWS A, pekerjaan Akun AWS B, dan Akun AWS BConfiguredAudienceModel
.
Awas
Akun AWS Yang memulai pekerjaan menerima peristiwa log AWS CloudTrail audit tentang pekerjaan itu. Akun AWS Yang memiliki ConfiguredAudienceModel
tidak menerima peristiwa log AWS CloudTrail
audit.
Lowongan kerja Tagging
Saat Anda menyetel childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE
parameterCreateConfiguredAudienceModel
, semua pekerjaan pembuatan segmen mirip dalam akun Anda yang dibuat dari model mirip mirip yang dikonfigurasi secara default untuk memiliki tag yang sama dengan model mirip yang dikonfigurasi. Model mirip yang dikonfigurasi adalah induknya dan pekerjaan pembuatan segmen yang mirip adalah anak.
Jika Anda membuat pekerjaan di dalam akun Anda sendiri, tag permintaan pekerjaan akan menggantikan tag induk. Pekerjaan yang dibuat oleh akun lain tidak pernah membuat tag di akun Anda. Jika Anda menetapkan childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE
dan akun lain membuat pekerjaan, ada dua salinan pekerjaan. Salinan di akun Anda memiliki tag sumber daya induk dan salinan di akun pengirim pekerjaan memiliki tag dari permintaan.
Memvalidasi kolaborator
Saat memberikan izin kepada anggota AWS Clean Rooms kolaborasi lainnya, kebijakan sumber daya harus menyertakan kunci kondisi. cleanrooms-ml:CollaborationId
Ini memberlakukan bahwa collaborationId
parameter disertakan dalam StartAudienceGenerationJobpermintaan. Ketika collaborationId
parameter disertakan dalam permintaan, Clean Rooms MS memvalidasi bahwa kolaborasi ada, pengirim pekerjaan adalah anggota aktif kolaborasi, dan pemilik model mirip yang dikonfigurasi adalah anggota aktif kolaborasi.
Saat AWS Clean Rooms mengelola kebijakan sumber daya model mirip mirip yang dikonfigurasi (manageResourcePolicies
parameternya TRUE
dalam CreateConfiguredAudienceModelAssociation permintaan), kunci kondisi ini akan disetel dalam kebijakan sumber daya. Oleh karena itu, Anda harus menentukan collaborationId
in StartAudienceGenerationJob.
Akses lintas akun
Hanya StartAudienceGenerationJob
dapat dipanggil di seluruh akun. Semua Clean Rooms ML lainnya hanya APIs dapat digunakan dengan sumber daya di akun Anda sendiri. Ini memastikan bahwa data pelatihan Anda, konfigurasi model yang mirip, dan informasi lainnya tetap pribadi.
Clean Rooms MS tidak pernah mengungkapkan Amazon S3 atau AWS Glue lokasi di seluruh akun. Lokasi data pelatihan, lokasi keluaran model mirip yang dikonfigurasi, dan lokasi benih pekerjaan pembuatan segmen yang mirip tidak pernah terlihat di seluruh akun. Kecuali pencatatan kueri diaktifkan dalam kolaborasi, apakah data benih berasal dari kueri SQL dan kueri itu sendiri tidak terlihat di seluruh akun. Jika Anda Get
memiliki pekerjaan pembuatan audiens yang dikirimkan oleh akun lain, layanan tidak menampilkan lokasi benih.