Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Imposta i ruoli di servizio per AWS Clean Rooms
Argomenti
Crea un utente amministratore
Per utilizzarlo AWS Clean Rooms, è necessario creare un utente amministratore e aggiungere l'utente amministratore a un gruppo di amministratori.
Per creare un utente amministratore, scegli una delle seguenti opzioni.
Scelta di un modo per gestire il tuo amministratore | Per | Come | Puoi anche |
---|---|---|---|
In IAM Identity Center (Consigliato) |
Usa credenziali a breve termine per accedere a AWS. Ciò è in linea con le best practice per la sicurezza. Per informazioni sulle best practice, consulta la sezione Procedure consigliate per la sicurezza IAM nella Guida IAM per l'utente. |
Segui le istruzioni riportate in Nozioni di base nella Guida per l'utente di AWS IAM Identity Center . | Configura l'accesso programmatico configurando l'uso AWS IAM Identity Center nella Guida AWS CLI per l'AWS Command Line Interface utente. |
In IAM (Non consigliato) |
Usa credenziali a lungo termine per accedere a AWS. | Seguendo le istruzioni riportate nella sezione Creazione del primo utente IAM amministratore e gruppo di utenti nella Guida IAM per l'utente. | Configura l'accesso programmatico gestendo le chiavi di accesso per IAM gli utenti nella Guida per l'IAMutente. |
Crea un IAM ruolo per un membro della collaborazione
Un membro è un AWS cliente che partecipa a una collaborazione.
Per creare un IAM ruolo per un membro della collaborazione
-
Segui la procedura Creazione di un ruolo per delegare le autorizzazioni a un IAM utente nella Guida per l'AWS Identity and Access Management utente.
-
Per la fase di creazione della politica, seleziona la JSONscheda nell'editor delle politiche, quindi aggiungi le politiche in base alle capacità concesse al membro della collaborazione.
AWS Clean Rooms offre le seguenti politiche gestite basate su casi d'uso comuni:
Se vuoi ... Quindi usa... Visualizza le risorse e i metadati AWS politica gestita: AWSCleanRoomsReadOnlyAccess Query AWS politica gestita: AWSCleanRoomsFullAccess Interroga e ricevi risultati AWS politica gestita: AWSCleanRoomsFullAccess Gestisci le risorse di collaborazione ma non interrogare AWS politica gestita: AWSCleanRoomsFullAccessNoQuerying Per informazioni sulle diverse politiche gestite offerte da AWS Clean Rooms, vedere AWS politiche gestite per AWS Clean Rooms
Creare un ruolo di servizio per leggere i dati
AWS Clean Rooms utilizza un ruolo di servizio per leggere i dati.
Esistono due modi per creare questo ruolo di servizio:
Se... | Allora |
---|---|
Disponi delle IAM autorizzazioni necessarie per creare un ruolo di servizio | Usa la AWS Clean Rooms console per creare un ruolo di servizio. |
Non disponi di oppure Vuoi creare i IAM ruoli manualmente |
Esegui una di queste operazioni:
|
Per creare un ruolo di servizio per leggere i dati
Nota
Tu o il tuo IAM amministratore dovreste seguire questa procedura solo se non disponete delle autorizzazioni necessarie per creare un ruolo di servizio utilizzando la AWS Clean Rooms console.
-
Segui la procedura Creazione di un ruolo utilizzando criteri di fiducia personalizzati (console) nella Guida per l'AWS Identity and Access Management utente.
-
Utilizza la seguente politica di fiducia personalizzata in base alla procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console).
Nota
Se desideri assicurarti che il ruolo possa essere utilizzato solo nel contesto di una determinata appartenenza alla collaborazione, puoi definire ulteriormente la politica di fiducia. Per ulteriori informazioni, consulta Prevenzione del problema "confused deputy" tra servizi.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RoleTrustPolicyForCleanRoomsService", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
Utilizza la seguente politica di autorizzazioni in base alla procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console).
Nota
La seguente policy di esempio supporta le autorizzazioni necessarie per leggere AWS Glue i metadati e i dati Amazon S3 corrispondenti. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati S3. Ad esempio, se hai impostato una KMS chiave personalizzata per i tuoi dati S3, potresti dover modificare questa politica con autorizzazioni aggiuntive. AWS KMS
AWS Glue Le tue risorse e le risorse Amazon S3 sottostanti devono essere le Regione AWS stesse della AWS Clean Rooms collaborazione.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "NecessaryGluePermissions", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "arn:aws:glue:
aws-region
:accountId
:database
/database
", "arn:aws:glue:aws-region
:accountId
:table
/table
", "arn:aws:glue:aws-region
:accountId
:catalog
" ] }, { "Effect": "Allow", "Action": [ "glue:GetSchema", "glue:GetSchemaVersion" ], "Resource": [ "*" ] }, { "Sid": "NecessaryS3BucketPermissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket
" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "s3BucketOwnerAccountId
" ] } } }, { "Sid": "NecessaryS3ObjectPermissions", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3::bucket
/prefix
/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "s3BucketOwnerAccountId
" ] } } } ] } -
Sostituisci ciascuno
placeholder
con le tue informazioni. -
Continua a seguire la procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console) per creare il ruolo.
Crea un ruolo di servizio per ricevere risultati
Nota
Se sei il membro che può solo ricevere risultati (nella console, le tue abilità da membro sono solo Ricevi risultati), segui questa procedura.
Se sei un membro che può sia interrogare che ricevere risultati (nella console, le tue abilità di membro sono sia Query che Ricevi risultati), puoi saltare questa procedura.
Per i membri della collaborazione che possono solo ricevere risultati, AWS Clean Rooms utilizza un ruolo di servizio per scrivere i risultati dei dati interrogati nella collaborazione nel bucket Amazon S3 specificato.
Esistono due modi per creare questo ruolo di servizio:
Se... | Allora |
---|---|
Disponi delle IAM autorizzazioni necessarie per creare un ruolo di servizio | Usa la AWS Clean Rooms console per creare un ruolo di servizio. |
Non disponi di oppure Vuoi creare i IAM ruoli manualmente |
Esegui una di queste operazioni:
|
Creare un ruolo di servizio per ricevere risultati
Nota
Tu o il tuo IAM amministratore dovreste seguire questa procedura solo se non disponete delle autorizzazioni necessarie per creare un ruolo di servizio utilizzando la AWS Clean Rooms console.
-
Segui la procedura Creazione di un ruolo utilizzando criteri di fiducia personalizzati (console) nella Guida per l'AWS Identity and Access Management utente.
-
Utilizza la seguente politica di fiducia personalizzata in base alla procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console).
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIfExternalIdMatches", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "sts:ExternalId": "arn:aws:*:
region
:*:dbuser:*/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa
*" } } }, { "Sid": "AllowIfSourceArnMatches", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ForAnyValue:ArnEquals": { "aws:SourceArn": [ "arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa
" ] } } } ] } -
Utilizza la seguente politica di autorizzazioni in base alla procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console).
Nota
La seguente policy di esempio supporta le autorizzazioni necessarie per leggere AWS Glue i metadati e i dati Amazon S3 corrispondenti. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati S3.
AWS Glue Le tue risorse e le risorse Amazon S3 sottostanti devono essere le Regione AWS stesse della AWS Clean Rooms collaborazione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::
bucket_name
" ], "Condition": { "StringEquals": { "aws:ResourceAccount":"accountId
" } } }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket_name/optional_key_prefix/*
" ], "Condition": { "StringEquals": { "aws:ResourceAccount":"accountId
" } } } ] } -
Sostituisci ciascuno
placeholder
con le tue informazioni:-
region
— Il nome del Regione AWS. Ad esempious-east-1
. -
a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa
— L'ID di iscrizione del membro che può effettuare la richiesta. L'ID di iscrizione è disponibile nella scheda Dettagli della collaborazione. Ciò garantisce che AWS Clean Rooms assuma il ruolo solo quando questo membro esegue l'analisi nell'ambito di questa collaborazione. -
arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa
— L'unica iscrizione ARN del membro che può inoltrare una richiesta. L'iscrizione ARN è disponibile nella scheda Dettagli della collaborazione. Ciò garantisce AWS Clean Rooms che assuma il ruolo solo quando questo membro esegue l'analisi in questa collaborazione. -
bucket_name
— L'Amazon Resource Name (ARN) del bucket S3. Amazon Resource Name (ARN) è disponibile nella scheda Proprietà del bucket in Amazon S3. -
accountId
— L' Account AWS ID in cui si trova il bucket S3.bucket_name/optional_key_prefix
— L'Amazon Resource Name (ARN) della destinazione dei risultati in S3. Amazon Resource Name (ARN) è disponibile nella scheda Proprietà del bucket in Amazon S3.
-
-
Continua a seguire la procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console) per creare il ruolo.