Menyiapkan peran layanan untuk AWS Clean Rooms ML - AWS Clean Rooms

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan peran layanan untuk AWS Clean Rooms ML

Membuat peran layanan untuk membaca data pelatihan

AWS Clean Rooms menggunakan peran layanan untuk membaca data pelatihan. Anda dapat membuat peran ini menggunakan konsol jika Anda memiliki IAM izin yang diperlukan. Jika Anda tidak memiliki CreateRole izin, minta administrator Anda untuk membuat peran layanan.

Untuk membuat peran layanan untuk melatih kumpulan data
  1. Masuk ke IAM konsol (https://console.aws.amazon.com/iam/) dengan akun administrator Anda.

  2. Di bagian Manajemen akses, pilih Kebijakan.

  3. Pilih Buat kebijakan.

  4. Di editor Kebijakan, pilih JSONtab, lalu salin dan tempel kebijakan berikut.

    catatan

    Kebijakan contoh berikut mendukung izin yang diperlukan untuk membaca AWS Glue metadata dan data Amazon S3 yang sesuai. Namun, Anda mungkin perlu mengubah kebijakan ini tergantung pada cara Anda menyiapkan data S3. Kebijakan ini tidak menyertakan KMS kunci untuk mendekripsi data.

    AWS Glue Sumber daya Anda dan sumber daya Amazon S3 yang mendasarinya harus Wilayah AWS sama dengan kolaborasi. AWS Clean Rooms

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartitions", "glue:GetPartition", "glue:BatchGetPartition", "glue:GetUserDefinedFunctions" ], "Resource": [ "arn:aws:glue:region:accountId:database/databases", "arn:aws:glue:region:accountId:table/databases/tables", "arn:aws:glue:region:accountId:catalog", "arn:aws:glue:region:accountId:database/default" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase" ], "Resource": [ "arn:aws:glue:region:accountId:database/default" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::bucket" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }

    Jika Anda perlu menggunakan KMS kunci untuk mendekripsi data, tambahkan AWS KMS pernyataan ini ke template sebelumnya:

    { "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] }
  5. Pilih Berikutnya.

  6. Untuk meninjau dan membuat, masukkan nama Kebijakan dan Deskripsi, dan tinjau Ringkasan.

  7. Pilih Buat kebijakan.

    Anda telah membuat kebijakan untuk AWS Clean Rooms.

  8. Di bawah Manajemen akses, pilih Peran.

    Dengan Peran, Anda dapat membuat kredensi jangka pendek, yang direkomendasikan untuk meningkatkan keamanan. Anda juga dapat memilih Pengguna untuk membuat kredensi jangka panjang.

  9. Pilih Buat peran.

  10. Di wizard Buat peran, untuk jenis entitas Tepercaya, pilih Kebijakan kepercayaan khusus.

  11. Salin dan tempel kebijakan kepercayaan khusus berikut ke JSON editor.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:training-dataset/*" } } } ] }

    SourceAccountItu selalu AWS akun Anda. Ini SourceArn dapat dibatasi pada kumpulan data pelatihan tertentu, tetapi hanya setelah kumpulan data itu dibuat. Karena Anda tidak dapat mengetahui kumpulan data pelatihan sebelumnyaARN, wildcard ditentukan di sini.

  12. Pilih Berikutnya dan di bawah Tambahkan izin, masukkan nama kebijakan yang baru saja Anda buat. (Anda mungkin perlu memuat ulang halaman.)

  13. Pilih kotak centang di samping nama kebijakan yang Anda buat, lalu pilih Berikutnya.

  14. Untuk Nama, tinjau, dan buat, masukkan nama Peran dan Deskripsi.

    catatan

    Nama Peran harus cocok dengan pola dalam passRole izin yang diberikan kepada anggota yang dapat menanyakan dan menerima hasil dan peran anggota.

    1. Tinjau Pilih entitas tepercaya, dan edit jika perlu.

    2. Tinjau izin di Tambahkan izin, dan edit jika perlu.

    3. Tinjau Tag, dan tambahkan tag jika perlu.

    4. Pilih Buat peran.

  15. Peran layanan untuk AWS Clean Rooms telah dibuat.

Buat peran layanan untuk menulis segmen yang mirip

AWS Clean Rooms menggunakan peran layanan untuk menulis segmen yang mirip ke ember. Anda dapat membuat peran ini menggunakan konsol jika Anda memiliki IAM izin yang diperlukan. Jika Anda tidak memiliki CreateRole izin, minta administrator Anda untuk membuat peran layanan.

Untuk membuat peran layanan untuk menulis segmen mirip
  1. Masuk ke IAM konsol (https://console.aws.amazon.com/iam/) dengan akun administrator Anda.

  2. Di bagian Manajemen akses, pilih Kebijakan.

  3. Pilih Buat kebijakan.

  4. Di editor Kebijakan, pilih JSONtab, lalu salin dan tempel kebijakan berikut.

    catatan

    Kebijakan contoh berikut mendukung izin yang diperlukan untuk membaca AWS Glue metadata dan data Amazon S3 yang sesuai. Namun, Anda mungkin perlu mengubah kebijakan ini tergantung pada cara Anda menyiapkan data S3. Kebijakan ini tidak menyertakan KMS kunci untuk mendekripsi data.

    AWS Glue Sumber daya Anda dan sumber daya Amazon S3 yang mendasarinya harus Wilayah AWS sama dengan kolaborasi. AWS Clean Rooms

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::buckets" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }

    Jika Anda perlu menggunakan KMS kunci untuk mengenkripsi data, tambahkan AWS KMS pernyataan ini ke template:

    { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] }

    Jika Anda perlu menggunakan KMS kunci untuk mendekripsi data, tambahkan AWS KMS pernyataan ini ke template:

    { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] }
  5. Pilih Berikutnya.

  6. Untuk meninjau dan membuat, masukkan nama Kebijakan dan Deskripsi, dan tinjau Ringkasan.

  7. Pilih Buat kebijakan.

    Anda telah membuat kebijakan untuk AWS Clean Rooms.

  8. Di bawah Manajemen akses, pilih Peran.

    Dengan Peran, Anda dapat membuat kredensi jangka pendek, yang direkomendasikan untuk meningkatkan keamanan. Anda juga dapat memilih Pengguna untuk membuat kredensi jangka panjang.

  9. Pilih Buat peran.

  10. Di wizard Buat peran, untuk jenis entitas Tepercaya, pilih Kebijakan kepercayaan khusus.

  11. Salin dan tempel kebijakan kepercayaan khusus berikut ke JSON editor.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:configured-audience-model/*" } } } ] }

    SourceAccountItu selalu AWS akun Anda. Ini SourceArn dapat dibatasi pada kumpulan data pelatihan tertentu, tetapi hanya setelah kumpulan data itu dibuat. Karena Anda tidak dapat mengetahui kumpulan data pelatihan sebelumnyaARN, wildcard ditentukan di sini.

  12. Pilih Berikutnya.

  13. Pilih kotak centang di samping nama kebijakan yang Anda buat, lalu pilih Berikutnya.

  14. Untuk Nama, tinjau, dan buat, masukkan nama Peran dan Deskripsi.

    catatan

    Nama Peran harus cocok dengan pola dalam passRole izin yang diberikan kepada anggota yang dapat menanyakan dan menerima hasil dan peran anggota.

    1. Tinjau Pilih entitas tepercaya, dan edit jika perlu.

    2. Tinjau izin di Tambahkan izin, dan edit jika perlu.

    3. Tinjau Tag, dan tambahkan tag jika perlu.

    4. Pilih Buat peran.

  15. Peran layanan untuk AWS Clean Rooms telah dibuat.

Buat peran layanan untuk membaca data benih

AWS Clean Rooms menggunakan peran layanan untuk membaca data benih. Anda dapat membuat peran ini menggunakan konsol jika Anda memiliki IAM izin yang diperlukan. Jika Anda tidak memiliki CreateRole izin, minta administrator Anda untuk membuat peran layanan.

Untuk membuat peran layanan untuk membaca data benih yang disimpan di bucket Amazon S3.
  1. Masuk ke IAM konsol (https://console.aws.amazon.com/iam/) dengan akun administrator Anda.

  2. Di bagian Manajemen akses, pilih Kebijakan.

  3. Pilih Buat kebijakan.

  4. Di editor Kebijakan, pilih JSONtab, lalu salin dan tempel salah satu kebijakan berikut.

    catatan

    Kebijakan contoh berikut mendukung izin yang diperlukan untuk membaca AWS Glue metadata dan data Amazon S3 yang sesuai. Namun, Anda mungkin perlu mengubah kebijakan ini tergantung pada cara Anda menyiapkan data S3. Kebijakan ini tidak menyertakan KMS kunci untuk mendekripsi data.

    AWS Glue Sumber daya Anda dan sumber daya Amazon S3 yang mendasarinya harus Wilayah AWS sama dengan kolaborasi. AWS Clean Rooms

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", ], "Resource": [ "arn:aws:s3:::buckets" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }
    catatan

    Contoh kebijakan berikut mendukung izin yang diperlukan untuk membaca hasil SQL kueri dan menggunakannya sebagai data input. Namun, Anda mungkin perlu mengubah kebijakan ini tergantung pada bagaimana kueri Anda terstruktur. Kebijakan ini tidak menyertakan KMS kunci untuk mendekripsi data.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCleanRoomsStartQuery", "Effect": "Allow", "Action": [ "cleanrooms:GetCollaborationAnalysisTemplate", "cleanrooms:GetSchema", "cleanrooms:StartProtectedQuery" ], "Resource": "*" }, { "Sid": "AllowCleanRoomsGetAndUpdateQuery", "Effect": "Allow", "Action": [ "cleanrooms:GetProtectedQuery", "cleanrooms:UpdateProtectedQuery" ], "Resource": [ "arn:aws:cleanrooms:{{region}}:{{queryRunnerAccountId}}:membership/{{queryRunnerMembershipId}}" ] } ] }

    Jika Anda perlu menggunakan KMS kunci untuk mendekripsi data, tambahkan AWS KMS pernyataan ini ke template:

    { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] }
  5. Pilih Berikutnya.

  6. Untuk meninjau dan membuat, masukkan nama Kebijakan dan Deskripsi, dan tinjau Ringkasan.

  7. Pilih Buat kebijakan.

    Anda telah membuat kebijakan untuk AWS Clean Rooms.

  8. Di bawah Manajemen akses, pilih Peran.

    Dengan Peran, Anda dapat membuat kredensi jangka pendek, yang direkomendasikan untuk meningkatkan keamanan. Anda juga dapat memilih Pengguna untuk membuat kredensi jangka panjang.

  9. Pilih Buat peran.

  10. Di wizard Buat peran, untuk jenis entitas Tepercaya, pilih Kebijakan kepercayaan khusus.

  11. Salin dan tempel kebijakan kepercayaan khusus berikut ke JSON editor.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:audience-generation-job/*" } } } ] }

    SourceAccountItu selalu AWS akun Anda. Ini SourceArn dapat dibatasi pada kumpulan data pelatihan tertentu, tetapi hanya setelah kumpulan data itu dibuat. Karena Anda tidak dapat mengetahui kumpulan data pelatihan sebelumnyaARN, wildcard ditentukan di sini.

  12. Pilih Berikutnya.

  13. Pilih kotak centang di samping nama kebijakan yang Anda buat, lalu pilih Berikutnya.

  14. Untuk Nama, tinjau, dan buat, masukkan nama Peran dan Deskripsi.

    catatan

    Nama Peran harus cocok dengan pola dalam passRole izin yang diberikan kepada anggota yang dapat menanyakan dan menerima hasil dan peran anggota.

    1. Tinjau Pilih entitas tepercaya, dan edit jika perlu.

    2. Tinjau izin di Tambahkan izin, dan edit jika perlu.

    3. Tinjau Tag, dan tambahkan tag jika perlu.

    4. Pilih Buat peran.

  15. Peran layanan untuk AWS Clean Rooms telah dibuat.