Imposta i ruoli di servizio per AWS Clean Rooms - AWS Clean Rooms
Crea un utente amministratoreCrea un ruolo IAM per un membro della collaborazioneCrea un ruolo di servizio per leggere i dati da Amazon S3Crea un ruolo di servizio per leggere i dati da Amazon AthenaCrea un ruolo di servizio per leggere i dati da SnowflakeCrea un ruolo di servizio per ricevere risultati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Imposta i ruoli di servizio per AWS Clean Rooms

Crea un utente amministratore

Per utilizzarlo AWS Clean Rooms, è necessario creare un utente amministratore e aggiungere l'utente amministratore a un gruppo di amministratori.

Per creare un utente amministratore, scegli una delle seguenti opzioni.

Scelta di un modo per gestire il tuo amministratore Per Come Puoi anche
In IAM Identity Center

(Consigliato)

 Usa credenziali a breve termine per accedere a AWS.

Ciò è in linea con le best practice per la sicurezza. Per informazioni sulle best practice, consulta Best practice per la sicurezza in IAM nella Guida per l'utente di IAM.

 Segui le istruzioni riportate in Nozioni di base nella Guida per l'utente di AWS IAM Identity Center . Configura l'accesso programmatico configurando l'uso AWS IAM Identity Center nella AWS CLI Guida per l'utente.AWS Command Line Interface
In IAM

(Non consigliato)

 Usa credenziali a lungo termine per accedere a AWS. Seguendo le istruzioni contenute in Creare un utente IAM per l'accesso di emergenza nella Guida per l'utente IAM. Configura l'accesso programmatico tramite Manage access keys for IAM users nella IAM User Guide.

Crea un ruolo IAM per un membro della collaborazione

Un membro è un AWS cliente che partecipa a una collaborazione.

Creare un ruolo IAM per un membro della collaborazione

  1. Segui la procedura Creazione di un ruolo per delegare le autorizzazioni a una procedura utente IAM nella Guida per l'AWS Identity and Access Management utente.

  2. Per la fase di creazione della policy, seleziona la scheda JSON nell'editor delle politiche, quindi aggiungi le politiche in base alle capacità concesse al membro della collaborazione.

    AWS Clean Rooms offre le seguenti politiche gestite basate su casi d'uso comuni.

    Se vuoi ... Quindi usa...
    Visualizza le risorse e i metadati AWS politica gestita: AWSCleanRoomsReadOnlyAccess
    Query AWS politica gestita: AWSCleanRoomsFullAccess
    Interroga e ricevi risultati AWS politica gestita: AWSCleanRoomsFullAccess
    Gestisci le risorse di collaborazione ma non interrogare AWS politica gestita: AWSCleanRoomsFullAccessNoQuerying

    Per informazioni sulle diverse politiche gestite offerte da AWS Clean Rooms, consultaAWS politiche gestite per AWS Clean Rooms,

Crea un ruolo di servizio per leggere i dati da Amazon S3

AWS Clean Rooms utilizza un ruolo di servizio per leggere i dati da Amazon S3.

Esistono due modi per creare questo ruolo di servizio.

  • Se disponi delle autorizzazioni IAM necessarie per creare un ruolo di servizio, utilizza la AWS Clean Rooms console per creare un ruolo di servizio.

  • Se non iam:CreateRole disponi iam:AttachRolePolicy delle iam:CreatePolicy autorizzazioni o desideri creare i ruoli IAM manualmente, esegui una delle seguenti operazioni:

    • Utilizza la seguente procedura per creare un ruolo di servizio utilizzando policy di fiducia personalizzate.

    • Chiedere all'amministratore di creare il ruolo di servizio utilizzando la procedura seguente.

Nota

Tu o il tuo amministratore IAM dovreste seguire questa procedura solo se non disponete delle autorizzazioni necessarie per creare un ruolo di servizio utilizzando la AWS Clean Rooms console.

Creare un ruolo di servizio per leggere i dati da Amazon S3 utilizzando policy di attendibilità personalizzate

  1. Crea un ruolo utilizzando politiche di fiducia personalizzate. Per ulteriori informazioni, vedere la procedura Creazione di un ruolo utilizzando criteri di fiducia personalizzati (console) nella Guida per l'AWS Identity and Access Management utente.

  2. Utilizza la seguente politica di fiducia personalizzata in base alla procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console).

    Nota

    Se desideri garantire che il ruolo venga utilizzato solo nel contesto di una determinata appartenenza alla collaborazione, puoi definire ulteriormente la politica di fiducia. Per ulteriori informazioni, consulta Prevenzione del problema "confused deputy" tra servizi.

    { 

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyForCleanRoomsService",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
     ]
}

  3. Utilizza la seguente politica di autorizzazioni in base alla procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console).

    Nota

    La seguente policy di esempio supporta le autorizzazioni necessarie per leggere AWS Glue i metadati e i dati Amazon S3 corrispondenti. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati di Amazon S3. Ad esempio, se hai impostato una chiave KMS personalizzata per i tuoi dati Amazon S3, potrebbe essere necessario modificare questa politica con autorizzazioni AWS Key Management Service aggiuntive (AWS KMS).

    AWS Glue Le tue risorse e le risorse Amazon S3 sottostanti devono essere le Regione AWS stesse della AWS Clean Rooms collaborazione.

    { 

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "NecessaryGluePermissions",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:aws-region:accountId:database/database",
                "arn:aws:glue:aws-region:accountId:table/table",
                "arn:aws:glue:aws-region:accountId:catalog"
            ]
        },
 	{
            "Effect": "Allow",
            "Action": [
                "glue:GetSchema",
                "glue:GetSchemaVersion"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "NecessaryS3BucketPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation", 
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "s3BucketOwnerAccountId"
                    ]
                }
            }
        },
        {
            "Sid": "NecessaryS3ObjectPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3::bucket/prefix/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "s3BucketOwnerAccountId"
                    ]
                }
            }
        }
        
    ]
}

  4. Sostituisci ogni placeholder con le tue informazioni.

  5. Continua a seguire la procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console) per creare il ruolo.

Crea un ruolo di servizio per leggere i dati da Amazon Athena

AWS Clean Rooms utilizza un ruolo di servizio per leggere i dati da Amazon Athena.

Per creare un ruolo di servizio per leggere i dati da Athena utilizzando policy di attendibilità personalizzate

  1. Crea un ruolo utilizzando politiche di fiducia personalizzate. Per ulteriori informazioni, vedere la procedura Creazione di un ruolo utilizzando criteri di fiducia personalizzati (console) nella Guida per l'AWS Identity and Access Management utente.

  2. Utilizza la seguente politica di fiducia personalizzata in base alla procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console).

    Nota

    Se desideri garantire che il ruolo venga utilizzato solo nel contesto di una determinata appartenenza alla collaborazione, puoi definire ulteriormente la politica di fiducia. Per ulteriori informazioni, consulta Prevenzione del problema "confused deputy" tra servizi.

    { 

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyForCleanRoomsService",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
     ]
}

  3. Utilizza la seguente politica di autorizzazioni in base alla procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console).

    Nota

    La seguente politica di esempio supporta le autorizzazioni necessarie per leggere AWS Glue i metadati e i dati Athena corrispondenti. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati di Amazon S3. Ad esempio, se hai già impostato una chiave KMS personalizzata per i tuoi dati Amazon S3, potrebbe essere necessario modificare questa politica con autorizzazioni aggiuntive. AWS KMS

    AWS Glue Le tue risorse e le risorse Athena sottostanti devono essere le Regione AWS stesse della AWS Clean Rooms collaborazione.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:GetDataCatalog",
                "athena:GetWorkGroup",
                "athena:GetTableMetadata",
                "athena:GetQueryExecution",
                "athena:GetQueryResults",
                "athena:StartQueryExecution"
            ],
            "Resource": [
                "arn:aws:athena:region:accountId:workgroup/workgroup",
                "arn:aws:athena:region:accountId:datacatalog/AwsDataCatalog"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetTable",
                "glue:GetPartitions"
            ],
            "Resource": [
                "arn:aws:glue:region:accountId:catalog",
                "arn:aws:glue:region:accountId:database/database name",
                "arn:aws:glue:region:accountId:table/database name/table name"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetBucketLocation",
                "s3:AbortMultipartUpload",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "lakeformation:GetDataAccess",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:region:accountId:key/*"
        }
    ]
}

  4. Sostituisci ogni placeholder con le tue informazioni.

  5. Continua a seguire la procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console) per creare il ruolo.

Configura i permessi di Lake Formation

Il ruolo di servizio deve avere i permessi di accesso Select e Descrivi sulla vista GDC e Descrivi sul AWS Glue database in cui è archiviata la vista GDC.

Set up Lake Formation permissions for a GDC View
Per impostare i permessi di Lake Formation per un GDC View

  1. Apri la console Lake Formation all'indirizzo https://console.aws.amazon.com/lakeformation/

  2. Nel pannello di navigazione, in Data Catalog, scegli Database, quindi scegli Visualizzazioni.

  3. Scegli la visualizzazione desiderata, quindi, in Azioni, scegli Concedi.

  4. Per Principal, nella sezione Utenti e ruoli IAM, scegli il tuo ruolo di servizio.

  5. Per Visualizza le autorizzazioni, in Visualizza le autorizzazioni, scegli Seleziona e descrivi.

  6. Scegli Concessione.

Set up Lake Formation permissions for the AWS Glue database that the GDC View is stored in
Per impostare i permessi di Lake Formation per il AWS Glue database in cui è archiviato GDC View

  1. Apri la console Lake Formation all'indirizzo https://console.aws.amazon.com/lakeformation/

  2. Nel pannello di navigazione, in Data Catalog, scegli Database.

  3. Scegli il AWS Glue database, quindi, in Azioni, scegli Concedi.

  4. Per Principal, nella sezione Utenti e ruoli IAM, scegli il tuo ruolo di servizio.

  5. Per le autorizzazioni del database, in Autorizzazioni del database, scegli Descrivi.

  6. Scegli Concessione.

Crea un ruolo di servizio per leggere i dati da Snowflake

AWS Clean Rooms utilizza un ruolo di servizio per recuperare le credenziali per consentire a Snowflake di leggere i dati da questa fonte.

Esistono due modi per creare questo ruolo di servizio:

  • Se disponi delle autorizzazioni IAM necessarie per creare un ruolo di servizio, utilizza la AWS Clean Rooms console per creare un ruolo di servizio.

  • Se non iam:CreateRole disponi iam:AttachRolePolicy delle iam:CreatePolicy autorizzazioni o desideri creare i ruoli IAM manualmente, esegui una delle seguenti operazioni:

    • Utilizza la seguente procedura per creare un ruolo di servizio utilizzando policy di fiducia personalizzate.

    • Chiedere all'amministratore di creare il ruolo di servizio utilizzando la procedura seguente.

Nota

Tu o il tuo amministratore IAM dovreste seguire questa procedura solo se non disponete delle autorizzazioni necessarie per creare un ruolo di servizio utilizzando la AWS Clean Rooms console.

Per creare un ruolo di servizio per leggere i dati da Snowflake utilizzando policy di fiducia personalizzate

  1. Crea un ruolo utilizzando politiche di attendibilità personalizzate. Per ulteriori informazioni, vedere la procedura Creazione di un ruolo utilizzando criteri di fiducia personalizzati (console) nella Guida per l'AWS Identity and Access Management utente.

  2. Utilizza la seguente politica di fiducia personalizzata in base alla procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console).

    Nota

    Se desideri garantire che il ruolo venga utilizzato solo nel contesto di una determinata appartenenza alla collaborazione, puoi definire ulteriormente la politica di fiducia. Per ulteriori informazioni, consulta Prevenzione del problema "confused deputy" tra servizi.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIfSourceArnMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ForAnyValue:ArnEquals": {
                    "aws:SourceArn": [
                        "arn:aws:cleanrooms:region:accountId:membership/membershipId",
                        "arn:aws:cleanrooms:region:queryRunnerAccountId:membership/queryRunnerMembershipId"
                    ]
                }
            }
        }
    ]
}

  3. Utilizza una delle seguenti politiche di autorizzazione in base alla procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console).

    Politica di autorizzazione per i segreti crittografati con una chiave KMS di proprietà del cliente

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:region:secretAccountId:secret:secretIdentifier",
            "Effect": "Allow"
        },
        {
            "Sid": "AllowDecryptViaSecretsManagerForKey",
            "Action": "kms:Decrypt",
            "Resource": "arn:aws:kms:region:keyOwnerAccountId:key/keyIdentifier",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.region.amazonaws.com",
                    "kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:region:secretAccountId:secret:secretIdentifier"
                }
            }
        }
    ]
}

    Politica di autorizzazione per i segreti crittografati con un Chiave gestita da AWS

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:region:accountId:secret:secretIdentifier",
            "Effect": "Allow"
        }
    ]
}

  4. Sostituisci ogni placeholder con le tue informazioni.

  5. Continua a seguire la procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console) per creare il ruolo.

Crea un ruolo di servizio per ricevere risultati

Nota

Se sei il membro che può solo ricevere risultati (nella console, le tue abilità da membro sono solo Ricevi risultati), segui questa procedura.

Se sei un membro che può sia interrogare che ricevere risultati (nella console, le tue abilità di membro sono sia Query che Ricevi risultati), puoi saltare questa procedura.

Per i membri della collaborazione che possono solo ricevere risultati, AWS Clean Rooms utilizza un ruolo di servizio per scrivere i risultati dei dati interrogati nella collaborazione nel bucket S3 specificato.

Esistono due modi per creare questo ruolo di servizio:

  • Se disponi delle autorizzazioni IAM necessarie per creare un ruolo di servizio, utilizza la AWS Clean Rooms console per creare un ruolo di servizio.

  • Se non iam:CreateRole disponi iam:AttachRolePolicy delle iam:CreatePolicy autorizzazioni o desideri creare i ruoli IAM manualmente, esegui una delle seguenti operazioni:

    • Utilizza la seguente procedura per creare un ruolo di servizio utilizzando policy di fiducia personalizzate.

    • Chiedere all'amministratore di creare il ruolo di servizio utilizzando la procedura seguente.

Nota

Tu o il tuo amministratore IAM dovreste seguire questa procedura solo se non disponete delle autorizzazioni necessarie per creare un ruolo di servizio utilizzando la AWS Clean Rooms console.

Per creare un ruolo di servizio per ricevere risultati utilizzando policy di fiducia personalizzate

  1. Crea un ruolo utilizzando politiche di fiducia personalizzate. Per ulteriori informazioni, vedere la procedura Creazione di un ruolo utilizzando criteri di fiducia personalizzati (console) nella Guida per l'AWS Identity and Access Management utente.

  2. Utilizza la seguente politica di fiducia personalizzata in base alla procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console).

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIfExternalIdMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {
                    "sts:ExternalId": "arn:aws:*:region:*:dbuser:*/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa*"
                }
            }
        },
        {
            "Sid": "AllowIfSourceArnMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ForAnyValue:ArnEquals": {
                    "aws:SourceArn": [
                        "arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa"
                    ]
                
                }
            }
        }
    ]
}

  3. Utilizza la seguente politica di autorizzazioni in base alla procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console).

    Nota

    La seguente policy di esempio supporta le autorizzazioni necessarie per leggere AWS Glue i metadati e i dati Amazon S3 corrispondenti. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati S3.

    AWS Glue Le tue risorse e le risorse Amazon S3 sottostanti devono essere le Regione AWS stesse della AWS Clean Rooms collaborazione.

    {

    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation", 
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount":"accountId"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name/optional_key_prefix/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount":"accountId"
                }
            }
        }
    ]
}

  4. Sostituisci placeholder ognuna con le tue informazioni:

    • region: nome della Regione AWS. Ad esempio us-east-1.

    • a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa— L'ID di iscrizione del membro che può effettuare la richiesta. L'ID di iscrizione è disponibile nella scheda Dettagli della collaborazione. Ciò garantisce che AWS Clean Rooms assuma il ruolo solo quando questo membro esegue l'analisi nell'ambito di questa collaborazione.

    • arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa— L'ARN di iscrizione singolo del membro che può effettuare la richiesta. L'ARN di iscrizione è disponibile nella scheda Dettagli della collaborazione. Ciò garantisce AWS Clean Rooms che assuma il ruolo solo quando questo membro esegue l'analisi nell'ambito di questa collaborazione.

    • bucket_name— L'Amazon Resource Name (ARN) del bucket S3. L'Amazon Resource Name (ARN) è disponibile nella scheda Proprietà del bucket in Amazon S3.

    • accountId— L' Account AWS ID in cui si trova il bucket S3.

      bucket_name/optional_key_prefix— L'Amazon Resource Name (ARN) della destinazione dei risultati in Amazon S3. L'Amazon Resource Name (ARN) è disponibile nella scheda Proprietà del bucket in Amazon S3.

  5. Continua a seguire la procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console) per creare il ruolo.