Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

IAMcomportamenti per AWS Clean Rooms il machine learning

Lavori su più account

Clean Rooms ML consente a determinate risorse create da uno di Account AWS essere accessibili in modo sicuro nel proprio account da un altro. Account AWS Quando un cliente in A richiama Account AWS StartAudienceGenerationJob una ConfiguredAudienceModel risorsa di proprietà di Account AWS B, Clean Rooms ML ne crea due ARNs per il lavoro. Uno ARN in Account AWS A e un altro in Account AWS B. ARNsSono identici tranne che per loro Account AWS.

Clean Rooms ML ne crea due ARNs per il lavoro per garantire che entrambi gli account possano applicare IAM le proprie politiche ai lavori. Ad esempio, entrambi gli account possono utilizzare il controllo degli accessi basato su tag e applicare le politiche della propria AWS organizzazione. Il job elabora i dati di entrambi gli account, in modo che entrambi gli account possano eliminare il lavoro e i dati associati. Nessuno degli account può impedire all'altro account di eliminare il lavoro.

Esiste una sola esecuzione del lavoro ed entrambi gli account possono vedere il lavoro quando ListAudienceGenerationJobs chiamano. Entrambi gli account possono chiamare il GetDelete, e Export APIs sul posto di lavoro utilizzando il ARN proprio Account AWS ID.

Nessuno dei due Account AWS può accedere al lavoro quando ne utilizza uno ARN con l'altro Account AWS ID.

Il nome del lavoro deve essere univoco all'interno di un Account AWS. Il nome in Account AWS B è $accountA-$name. Il nome scelto da Account AWS A è preceduto da Account AWS A quando il lavoro viene visualizzato in B. Account AWS

Affinché un account StartAudienceGenerationJob incrociato abbia successo, Account AWS B deve consentire tale azione sia sul nuovo lavoro in Account AWS B che su quello ConfiguredAudienceModel in Account AWS B utilizzando una politica delle risorse simile all'esempio seguente:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Clean-Rooms-<CAMA ID>",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "accountA" 
                ]
            },
            "Action": [
                "cleanrooms-ml:StartAudienceGenerationJob"
            ],
            "Resource": [
                "arn:aws:cleanrooms-ml:us-west-1:AccountB:configured-audience-model/id",
                "arn:aws:cleanrooms-ml:us-west-1:AccountB:audience-generation-job/*"
            ],
            // optional - always set by AWS Clean Rooms
"Condition":{"StringEquals":{"cleanrooms-ml:CollaborationId":"UUID"}}
        }
    ]
}

Se utilizzi AWS Clean Rooms ML API per creare un modello simile configurato con manageResourcePolicies set to true, AWS Clean Rooms crea questa policy automaticamente.

Inoltre, la politica di identità del chiamante in Account AWS A richiede StartAudienceGenerationJob l'autorizzazione. arn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/* Quindi ci sono tre IAM risorse per l'azioneStartAudienceGenerationJob: il lavoro Account AWS A, il lavoro Account AWS B e il lavoro Account AWS B. ConfiguredAudienceModel

Etichettare i lavori

Quando imposti il childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE parametro diCreateConfiguredAudienceModel, tutti i lavori di generazione di segmenti simili all'interno del tuo account e creati a partire da quel modello di somiglianza configurato hanno per impostazione predefinita gli stessi tag del modello di somiglianza configurato. Il modello di somiglianza configurato è il genitore e il processo di generazione di segmenti simili è il processo secondario.

Se stai creando un lavoro all'interno del tuo account, i tag di richiesta del lavoro sostituiscono i tag principali. Le offerte di lavoro create da altri account non creano mai tag nel tuo account. Se imposti childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE e un altro account crea un lavoro, ci sono due copie del lavoro. La copia nel tuo account contiene i tag delle risorse principali e la copia nell'account di chi ha inviato il lavoro contiene i tag della richiesta.

Convalida dei collaboratori

Quando si concedono le autorizzazioni ad altri membri di una AWS Clean Rooms collaborazione, la politica delle risorse deve includere la chiave condizionale. cleanrooms-ml:CollaborationId Ciò impone che il collaborationId parametro sia incluso nella richiesta. StartAudienceGenerationJob Quando il collaborationId parametro è incluso nella richiesta, Clean Rooms ML verifica che la collaborazione esista, chi ha inviato il lavoro sia un membro attivo della collaborazione e il proprietario del modello simile configurato sia un membro attivo della collaborazione.

Quando si AWS Clean Rooms gestisce la politica delle risorse del modello Lookalike configurata (il manageResourcePolicies parametro è CreateConfiguredAudienceModelAssociation richiesto), questa chiave di condizione verrà impostata TRUE nella politica delle risorse. Pertanto, è necessario specificare il collaborationId in. StartAudienceGenerationJob

Accesso multi-account

StartAudienceGenerationJobPuò essere chiamato solo da un account all'altro. Tutti gli altri Clean Rooms ML APIs possono essere utilizzati solo con le risorse del proprio account. Ciò garantisce che i dati di allenamento, la configurazione del modello simile e altre informazioni rimangano private.

Clean Rooms ML non rivela mai Amazon S3 o AWS Glue le posizioni tra gli account. La posizione dei dati di formazione, la posizione di output del modello Lookalike configurato e la posizione iniziale per la generazione di segmenti simili non sono mai visibili su tutti gli account. A meno che la registrazione delle query non sia abilitata nella collaborazione, il fatto che i dati iniziali provengano da una SQL query e la query stessa non sono visibili su tutti gli account. Se si tratta di Get un lavoro di generazione di audience inviato da un altro account, il servizio non mostra la posizione iniziale.