IAM AWS Clean Rooms ML の動作 - AWS Clean Rooms
クロスアカウントジョブジョブのタグ付け共同作業者の検証クロスアカウントアクセス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM AWS Clean Rooms ML の動作

クロスアカウントジョブ

Clean Rooms ML では、ある によって作成された特定のリソース AWS アカウント に、別の によってアカウントで安全にアクセスできます AWS アカウント。 AWS アカウント A のクライアントが AWS アカウント B が所有するConfiguredAudienceModelリソースStartAudienceGenerationJobを呼び出すと、Clean Rooms ML はそのジョブARNsに 2 つを作成します。A ARN に 1 AWS アカウント つ、 AWS アカウント B に 1 つ。ARNs は、 を除いて同じです AWS アカウント。

Clean Rooms ML は、両方のアカウントがジョブに独自のIAMポリシーを適用できるように、ジョブARNs用に 2 つを作成します。例えば、両方のアカウントでタグベースのアクセスコントロールを使用し、 AWS 組織からポリシーを適用できます。ジョブは両方のアカウントのデータを処理するため、どちらのアカウントでもジョブとそれに関連するデータを削除できます。どちらのアカウントも、もう一方のアカウントによるジョブの削除をブロックすることはできません。

ジョブの実行は 1 つだけで、どちらのアカウントも ListAudienceGenerationJobs を呼び出してジョブを確認できます。どちらのアカウントもGet、独自の AWS アカウント ID ARNを持つ を使用して、ジョブExportAPIsで Delete、、 を呼び出すことができます。

は、他の AWS アカウント ID ARN で を使用する場合、ジョブにアクセス AWS アカウント できません。

ジョブの名前は AWS アカウント内で一意である必要があります。 AWS アカウント B の名前は です。$accountA-$name。 AWS アカウント A によって選択された名前は、ジョブが AWS アカウント B で表示されるときに A という AWS アカウント プレフィックスが付けられます。

クロスアカウントStartAudienceGenerationJobを成功させるには、 AWS アカウント B は、次の例のようなリソースポリシーを使用して、 AWS アカウント B の新しいジョブと AWS アカウント B ConfiguredAudienceModelの新しいジョブの両方に対してそのアクションを許可する必要があります。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Clean-Rooms-<CAMA ID>",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "accountA" 
                ]
            },
            "Action": [
                "cleanrooms-ml:StartAudienceGenerationJob"
            ],
            "Resource": [
                "arn:aws:cleanrooms-ml:us-west-1:AccountB:configured-audience-model/id",
                "arn:aws:cleanrooms-ml:us-west-1:AccountB:audience-generation-job/*"
            ],
            // optional - always set by AWS Clean Rooms
"Condition":{"StringEquals":{"cleanrooms-ml:CollaborationId":"UUID"}}
        }
    ]
}

AWS Clean Rooms ML API を使用して true manageResourcePoliciesに設定された類似モデルを作成する場合、 はこのポリシー AWS Clean Rooms を作成します。

さらに、 AWS アカウント A の発信者の ID ポリシーには、 に対するStartAudienceGenerationJobアクセス許可が必要ですarn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/*。したがって、アクションのIAMリソースには、StartAudienceGenerationJob AWS アカウント A ジョブ、 AWS アカウント B ジョブ、 AWS アカウント B の 3 つがありますConfiguredAudienceModel

警告

ジョブ AWS アカウント を開始した は、ジョブに関する AWS CloudTrail 監査ログイベントを受け取ります。ConfiguredAudienceModel を所有する AWS CloudTrail は AWS アカウント 監査ログイベントを受信しません。

ジョブのタグ付け

CreateConfiguredAudienceModelchildResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE パラメータを設定すると、設定した類似モデルから作成されたアカウント内のすべての類似セグメント生成ジョブには、設定した類似モデルと同じタグがデフォルトで割り当てられます。設定した類似モデルが親で、類似セグメント生成ジョブが子です。

自身のアカウント内でジョブを作成する場合、ジョブのリクエストタグは親タグよりも優先されます。他のアカウントが作成したジョブが、自身のアカウントにタグを作成することはありません。childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE を設定し、別のアカウントでジョブを作成した場合、そのジョブのコピーは 2 つあります。アカウントのコピーには親リソースタグが付けられ、ジョブ送信者のアカウントのコピーにはリクエストのタグが付けられます。

共同作業者の検証

AWS Clean Rooms コラボレーションの他のメンバーにアクセス許可を付与する場合、リソースポリシーには条件キー を含める必要がありますcleanrooms-ml:CollaborationId。これにより、 collaborationIdパラメータがStartAudienceGenerationJobリクエストに含まれていることが強制されます。リクエストに collaborationIdパラメータが含まれている場合、Clean Rooms ML はコラボレーションが存在すること、ジョブ送信者がコラボレーションのアクティブなメンバーであること、および設定された類似モデル所有者がコラボレーションのアクティブなメンバーであることを検証します。

が設定された類似モデルリソースポリシー AWS Clean Rooms を管理する場合 ( manageResourcePoliciesパラメータはTRUECreateConfiguredAudienceModelAssociation リクエスト )、この条件キーはリソースポリシーで設定されます。したがって、 collaborationIdで を指定する必要がありますStartAudienceGenerationJob

クロスアカウントアクセス

アカウント間で呼び出せるのは StartAudienceGenerationJob のみです。他のすべての Clean Rooms ML は、自分のアカウントのリソースAPIsでのみ使用できます。これにより、トレーニングデータ、類似モデルの設定、その他の情報は非公開のままになります。

Clean Rooms ML は、アカウント間で Amazon S3 または AWS Glue ロケーションを公開しません。トレーニングデータの場所、設定済みの類似モデルの出力場所、および類似セグメント生成ジョブシードの場所は、どのアカウントでも表示されません。コラボレーションでクエリログ記録が有効になっていない限り、シードデータがSQLクエリから取得され、クエリ自体がアカウント間で表示されないかどうかは関係ありません。別のアカウントが送信したオーディエンス生成ジョブを Get した場合、サービスにはシードロケーションは表示されません。