Menyiapkan peran layanan untuk AWS Clean Rooms - AWS Clean Rooms
Buat pengguna administratorBuat IAM peran untuk anggota kolaborasiMembuat peran layanan untuk membaca dataBuat peran layanan untuk menerima hasil

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan peran layanan untuk AWS Clean Rooms

Buat pengguna administrator

Untuk menggunakannya AWS Clean Rooms, Anda perlu membuat pengguna administrator untuk diri sendiri dan menambahkan pengguna administrator ke grup administrator.

Untuk membuat pengguna administrator, pilih salah satu opsi berikut.

Pilih salah satu cara untuk mengelola administrator Anda Untuk Oleh Anda juga bisa
Di Pusat IAM Identitas

(Direkomendasikan)

 Gunakan kredensi jangka pendek untuk mengakses. AWS

Ini sejalan dengan praktik terbaik keamanan. Untuk informasi tentang praktik terbaik, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.

 Mengikuti petunjuk di Memulai di Panduan AWS IAM Identity Center Pengguna. Konfigurasikan akses terprogram dengan Mengonfigurasi AWS CLI yang akan digunakan AWS IAM Identity Center dalam AWS Command Line Interface Panduan Pengguna.
Di IAM

(Tidak direkomendasikan)

 Gunakan kredensi jangka panjang untuk mengakses. AWS Mengikuti petunjuk dalam Membuat pengguna IAM admin pertama dan grup pengguna Anda di Panduan IAM Pengguna. Konfigurasikan akses terprogram dengan Mengelola kunci akses untuk IAM pengguna di Panduan IAM Pengguna.

Buat IAM peran untuk anggota kolaborasi

Anggota adalah AWS pelanggan yang merupakan peserta dalam kolaborasi.

Untuk membuat IAM peran bagi anggota kolaborasi

  1. Ikuti Membuat peran untuk mendelegasikan izin ke prosedur IAM pengguna di Panduan AWS Identity and Access Management Pengguna.

  2. Untuk langkah Buat kebijakan, pilih JSONtab di editor Kebijakan, lalu tambahkan kebijakan tergantung pada kemampuan yang diberikan kepada anggota kolaborasi.

    AWS Clean Rooms menawarkan kebijakan terkelola berikut berdasarkan kasus penggunaan umum:

    Jika Anda ingin... Kemudian gunakan...
    Lihat sumber daya dan metadata AWS kebijakan terkelola: AWSCleanRoomsReadOnlyAccess
    Kueri AWS kebijakan terkelola: AWSCleanRoomsFullAccess
    Kueri dan terima hasil AWS kebijakan terkelola: AWSCleanRoomsFullAccess
    Kelola sumber daya kolaborasi tetapi jangan kueri AWS kebijakan terkelola: AWSCleanRoomsFullAccessNoQuerying

    Untuk informasi tentang berbagai kebijakan terkelola yang ditawarkan oleh AWS Clean Rooms, lihat AWS kebijakan terkelola untuk AWS Clean Rooms

Membuat peran layanan untuk membaca data

AWS Clean Rooms menggunakan peran layanan untuk membaca data.

Ada dua cara untuk membuat peran layanan ini:

Jika... Maka
Anda memiliki IAM izin yang diperlukan untuk membuat peran layanan Gunakan AWS Clean Rooms konsol untuk membuat peran layanan.

Anda tidak memilikiiam:CreateRole, iam:CreatePolicy dan iam:AttachRolePolicy izin

atau

Anda ingin membuat IAM peran secara manual

 Lakukan salah satu hal berikut ini:

  • Gunakan prosedur berikut untuk membuat peran layanan.

  • Minta administrator Anda untuk membuat peran layanan menggunakan prosedur berikut.
Untuk membuat peran layanan untuk membaca data
catatan

Anda atau IAM administrator Anda hanya harus mengikuti prosedur ini jika Anda tidak memiliki izin yang diperlukan untuk membuat peran layanan menggunakan AWS Clean Rooms konsol.

  1. Ikuti prosedur Membuat peran menggunakan kebijakan kepercayaan kustom (konsol) di Panduan AWS Identity and Access Management Pengguna.

  2. Gunakan kebijakan kepercayaan kustom berikut sesuai dengan prosedur Membuat peran menggunakan kebijakan kepercayaan kustom (konsol).

    catatan

    Jika Anda ingin memastikan bahwa peran tersebut hanya dapat digunakan dalam konteks keanggotaan kolaborasi tertentu, Anda dapat mencakup kebijakan kepercayaan lebih lanjut. Untuk informasi selengkapnya, lihat Pencegahan confused deputy lintas layanan.

    { 

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyForCleanRoomsService",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
     ]
}

  3. Gunakan kebijakan izin berikut sesuai dengan prosedur Membuat peran menggunakan kebijakan kepercayaan kustom (konsol).

    catatan

    Kebijakan contoh berikut mendukung izin yang diperlukan untuk membaca AWS Glue metadata dan data Amazon S3 yang sesuai. Namun, Anda mungkin perlu mengubah kebijakan ini tergantung pada cara Anda menyiapkan data S3. Misalnya, jika Anda telah menyiapkan KMS kunci khusus untuk data S3, Anda mungkin perlu mengubah kebijakan ini dengan izin tambahan AWS KMS .

    AWS Glue Sumber daya Anda dan sumber daya Amazon S3 yang mendasarinya harus Wilayah AWS sama dengan kolaborasi. AWS Clean Rooms 

    { 

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "NecessaryGluePermissions",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:aws-region:accountId:database/database",
                "arn:aws:glue:aws-region:accountId:table/table",
                "arn:aws:glue:aws-region:accountId:catalog"
            ]
        },
 	{
            "Effect": "Allow",
            "Action": [
                "glue:GetSchema",
                "glue:GetSchemaVersion"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "NecessaryS3BucketPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation", 
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "s3BucketOwnerAccountId"
                    ]
                }
            }
        },
        {
            "Sid": "NecessaryS3ObjectPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3::bucket/prefix/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "s3BucketOwnerAccountId"
                    ]
                }
            }
        }
        
    ]
}

  4. Ganti masing-masing placeholder dengan informasi Anda sendiri.

  5. Terus ikuti prosedur Membuat peran menggunakan kebijakan kepercayaan khusus (konsol) untuk membuat peran.

Buat peran layanan untuk menerima hasil

catatan

Jika Anda adalah anggota yang hanya dapat menerima hasil (di konsol, kemampuan anggota Anda hanya Terima hasil), ikuti prosedur ini.

Jika Anda adalah anggota yang dapat menanyakan dan menerima hasil (di konsol, Kemampuan anggota Anda adalah hasil Kueri dan Terima), Anda dapat melewati prosedur ini.

Untuk anggota kolaborasi yang hanya dapat menerima hasil, AWS Clean Rooms gunakan peran layanan untuk menulis hasil data kueri dalam kolaborasi ke bucket Amazon S3 yang ditentukan.

Ada dua cara untuk membuat peran layanan ini:

Jika... Maka
Anda memiliki IAM izin yang diperlukan untuk membuat peran layanan Gunakan AWS Clean Rooms konsol untuk membuat peran layanan.

Anda tidak memilikiiam:CreateRole, iam:CreatePolicy dan iam:AttachRolePolicy izin

atau

Anda ingin membuat IAM peran secara manual

 Lakukan salah satu hal berikut ini:

  • Gunakan prosedur berikut untuk membuat peran layanan.

  • Minta administrator Anda untuk membuat peran layanan menggunakan prosedur berikut.
Untuk membuat peran layanan untuk menerima hasil
catatan

Anda atau IAM administrator Anda hanya harus mengikuti prosedur ini jika Anda tidak memiliki izin yang diperlukan untuk membuat peran layanan menggunakan AWS Clean Rooms konsol.

  1. Ikuti prosedur Membuat peran menggunakan kebijakan kepercayaan kustom (konsol) di Panduan AWS Identity and Access Management Pengguna.

  2. Gunakan kebijakan kepercayaan kustom berikut sesuai dengan prosedur Membuat peran menggunakan kebijakan kepercayaan kustom (konsol).

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIfExternalIdMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {
                    "sts:ExternalId": "arn:aws:*:region:*:dbuser:*/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa*"
                }
            }
        },
        {
            "Sid": "AllowIfSourceArnMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ForAnyValue:ArnEquals": {
                    "aws:SourceArn": [
                        "arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa"
                    ]
                
                }
            }
        }
    ]
}

  3. Gunakan kebijakan izin berikut sesuai dengan prosedur Membuat peran menggunakan kebijakan kepercayaan kustom (konsol).

    catatan

    Kebijakan contoh berikut mendukung izin yang diperlukan untuk membaca AWS Glue metadata dan data Amazon S3 yang sesuai. Namun, Anda mungkin perlu mengubah kebijakan ini tergantung pada cara Anda menyiapkan data S3.

    AWS Glue Sumber daya Anda dan sumber daya Amazon S3 yang mendasarinya harus Wilayah AWS sama dengan kolaborasi. AWS Clean Rooms 

    {

    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation", 
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount":"accountId"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name/optional_key_prefix/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount":"accountId"
                }
            }
        }
    ]
}

  4. Ganti masing-masing placeholder dengan informasi Anda sendiri:

    • region - Nama Wilayah AWS. Misalnya, us-east-1.

    • a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaaID Keanggotaan anggota yang dapat melakukan query. ID Keanggotaan dapat ditemukan di tab Detail kolaborasi. Ini memastikan bahwa AWS Clean Rooms mengasumsikan peran hanya ketika anggota ini menjalankan analisis dalam kolaborasi ini.

    • arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaaARNKeanggotaan tunggal anggota yang dapat menanyakan. Keanggotaan ARN dapat ditemukan di tab Detail kolaborasi. AWS Clean Rooms Ini memastikan mengasumsikan peran hanya ketika anggota ini menjalankan analisis dalam kolaborasi ini.

    • bucket_nameNama Sumber Daya Amazon (ARN) dari ember S3. Nama Sumber Daya Amazon (ARN) dapat ditemukan di tab Properties bucket di Amazon S3.

    • accountId — Akun AWS ID tempat bucket S3 berada.

      bucket_name/optional_key_prefixNama Sumber Daya Amazon (ARN) dari tujuan hasil di S3. Nama Sumber Daya Amazon (ARN) dapat ditemukan di tab Properties bucket di Amazon S3.

  5. Terus ikuti prosedur Membuat peran menggunakan kebijakan kepercayaan khusus (konsol) untuk membuat peran.