AWS Clean Rooms ML のサービスロールを設定する - AWS Clean Rooms

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Clean Rooms ML のサービスロールを設定する

トレーニングデータを読み取るサービスロールの作成

AWS Clean Rooms は、サービスロールを使用してトレーニングデータを読み込みます。必要なIAMアクセス許可がある場合は、コンソールを使用してこのロールを作成できます。アクセスCreateRole許可がない場合は、管理者にサービスロールの作成を依頼してください。

データセットをトレーニングするサービスロールの作成
  1. 管理者アカウントでIAMコンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. [アクセス管理] で、[ポリシー] を選択します。

  3. [Create policy] を選択します。

  4. ポリシーエディタ で、 JSONタブを選択し、次のポリシーをコピーして貼り付けます。

    注記

    以下のポリシー例は、 AWS Glue メタデータとそれに対応する Amazon S3 データを読み取るのに必要なアクセス許可をサポートしています。ただし、S3 データの設定方法によっては、このポリシーを変更する必要が生じる場合があります。このポリシーには、データを復号するためのKMSキーは含まれていません。

    AWS Glue リソースと基盤となる Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartitions", "glue:GetPartition", "glue:BatchGetPartition", "glue:GetUserDefinedFunctions" ], "Resource": [ "arn:aws:glue:region:accountId:database/databases", "arn:aws:glue:region:accountId:table/databases/tables", "arn:aws:glue:region:accountId:catalog", "arn:aws:glue:region:accountId:database/default" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase" ], "Resource": [ "arn:aws:glue:region:accountId:database/default" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::bucket" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }

    KMS キーを使用してデータを復号する必要がある場合は、前のテンプレートに次の AWS KMS ステートメントを追加します。

    { "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] }
  5. [Next (次へ)] を選択します。

  6. [確認して作成][ポリシー名][説明] を入力し、[概要] を確認します。

  7. [Create policy] を選択します。

    のポリシーを作成しました AWS Clean Rooms。

  8. [アクセス管理] で、[ロール] を選択します。

    [ロール] を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。[ユーザー] を選択して長期間の認証情報を作成することもできます。

  9. [ロールの作成] を選択します。

  10. [ロールの作成] ウィザードの [信頼されたエンティティタイプ][カスタム信頼ポリシー] を選択します。

  11. 次のカスタム信頼ポリシーをコピーしてJSONエディタに貼り付けます。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:training-dataset/*" } } } ] }

    は常にお客様のアカウントSourceAccountです AWS 。SourceArn は特定のトレーニングデータセットに制限できますが、そのデータセットが作成された後に限られます。トレーニングデータセット を事前に知ることができないためARN、ワイルドカードはここで指定します。

  12. [次へ] を選択し、[アクセス許可を追加] で、作成したポリシーの名前を入力します。(ページを再度読み込む必要がある場合があります)。

  13. 作成したポリシーの横にあるチェックボックスをオンにし、[次へ] を選択します。

  14. [名前、確認、および作成] で、[ロール名][説明] を入力します。

    注記

    [ロール名] は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された passRole アクセス許可のパターンと一致している必要があります。

    1. [信頼されたエンティティを選択] を確認し、必要に応じて編集します。

    2. [許可を追加] でアクセス許可を確認し、必要に応じて編集します。

    3. [タグ] を確認し、必要に応じてタグを追加します。

    4. [ロールの作成] を選択します。

  15. のサービスロール AWS Clean Rooms が作成されました。

サービスロールを作成して類似セグメントを書き込む

AWS Clean Rooms はサービスロールを使用して、バケットに類似セグメントを書き込みます。必要なIAMアクセス許可がある場合は、コンソールを使用してこのロールを作成できます。アクセスCreateRole許可がない場合は、管理者にサービスロールの作成を依頼してください。

サービスロールを作成して類似セグメントを書き込むには
  1. 管理者アカウントでIAMコンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. [アクセス管理] で、[ポリシー] を選択します。

  3. [Create policy] を選択します。

  4. ポリシーエディタ で、 JSONタブを選択し、次のポリシーをコピーして貼り付けます。

    注記

    以下のポリシー例は、 AWS Glue メタデータとそれに対応する Amazon S3 データを読み取るのに必要なアクセス許可をサポートしています。ただし、S3 データの設定方法によっては、このポリシーを変更する必要が生じる場合があります。このポリシーには、データを復号するためのKMSキーは含まれていません。

    AWS Glue リソースと基盤となる Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::buckets" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }

    KMS キーを使用してデータを暗号化する必要がある場合は、次の AWS KMS ステートメントをテンプレートに追加します。

    { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] }

    KMS キーを使用してデータを復号する必要がある場合は、テンプレートに次の AWS KMS ステートメントを追加します。

    { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] }
  5. [Next (次へ)] を選択します。

  6. [確認して作成][ポリシー名][説明] を入力し、[概要] を確認します。

  7. [Create policy] を選択します。

    のポリシーを作成しました AWS Clean Rooms。

  8. [アクセス管理] で、[ロール] を選択します。

    [ロール] を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。[ユーザー] を選択して長期間の認証情報を作成することもできます。

  9. [ロールの作成] を選択します。

  10. [ロールの作成] ウィザードの [信頼されたエンティティタイプ][カスタム信頼ポリシー] を選択します。

  11. 次のカスタム信頼ポリシーをコピーしてJSONエディタに貼り付けます。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:configured-audience-model/*" } } } ] }

    は常に AWS アカウントSourceAccountです。SourceArn は特定のトレーニングデータセットに制限できますが、そのデータセットが作成された後に限られます。トレーニングデータセット を事前に知ることができないためARN、ワイルドカードはここで指定します。

  12. [Next (次へ)] を選択します。

  13. 作成したポリシーの横にあるチェックボックスをオンにし、[次へ] を選択します。

  14. [名前、確認、および作成] で、[ロール名][説明] を入力します。

    注記

    [ロール名] は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された passRole アクセス許可のパターンと一致している必要があります。

    1. [信頼されたエンティティを選択] を確認し、必要に応じて編集します。

    2. [許可を追加] でアクセス許可を確認し、必要に応じて編集します。

    3. [タグ] を確認し、必要に応じてタグを追加します。

    4. [ロールの作成] を選択します。

  15. のサービスロール AWS Clean Rooms が作成されました。

シードデータを読み取るサービスロールの作成

AWS Clean Rooms はサービスロールを使用してシードデータを読み込みます。必要なIAMアクセス許可がある場合は、コンソールを使用してこのロールを作成できます。アクセスCreateRole許可がない場合は、管理者にサービスロールの作成を依頼してください。

Amazon S3 バケットに保存されているシードデータを読み取るサービスロールを作成するには。
  1. 管理者アカウントでIAMコンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. [アクセス管理] で、[ポリシー] を選択します。

  3. [Create policy] を選択します。

  4. ポリシーエディタ で、 JSONタブを選択し、次のいずれかのポリシーをコピーして貼り付けます。

    注記

    以下のポリシー例は、 AWS Glue メタデータとそれに対応する Amazon S3 データを読み取るのに必要なアクセス許可をサポートしています。ただし、S3 データの設定方法によっては、このポリシーを変更する必要が生じる場合があります。このポリシーには、データを復号するためのKMSキーは含まれていません。

    AWS Glue リソースと基盤となる Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", ], "Resource": [ "arn:aws:s3:::buckets" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }
    注記

    次のポリシー例では、SQLクエリの結果を読み取って入力データとして使用するのに必要なアクセス許可をサポートしています。ただし、クエリの構造によっては、このポリシーを変更する必要がある場合があります。このポリシーには、データを復号するためのKMSキーは含まれていません。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCleanRoomsStartQuery", "Effect": "Allow", "Action": [ "cleanrooms:GetCollaborationAnalysisTemplate", "cleanrooms:GetSchema", "cleanrooms:StartProtectedQuery" ], "Resource": "*" }, { "Sid": "AllowCleanRoomsGetAndUpdateQuery", "Effect": "Allow", "Action": [ "cleanrooms:GetProtectedQuery", "cleanrooms:UpdateProtectedQuery" ], "Resource": [ "arn:aws:cleanrooms:{{region}}:{{queryRunnerAccountId}}:membership/{{queryRunnerMembershipId}}" ] } ] }

    KMS キーを使用してデータを復号する必要がある場合は、テンプレートに次の AWS KMS ステートメントを追加します。

    { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] }
  5. [Next (次へ)] を選択します。

  6. [確認して作成][ポリシー名][説明] を入力し、[概要] を確認します。

  7. [Create policy] を選択します。

    のポリシーを作成しました AWS Clean Rooms。

  8. [アクセス管理] で、[ロール] を選択します。

    [ロール] を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。[ユーザー] を選択して長期間の認証情報を作成することもできます。

  9. [ロールの作成] を選択します。

  10. [ロールの作成] ウィザードの [信頼されたエンティティタイプ][カスタム信頼ポリシー] を選択します。

  11. 次のカスタム信頼ポリシーをコピーしてJSONエディタに貼り付けます。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:audience-generation-job/*" } } } ] }

    は常に AWS アカウントSourceAccountです。SourceArn は特定のトレーニングデータセットに制限できますが、そのデータセットが作成された後に限られます。トレーニングデータセット を事前に知ることができないためARN、ワイルドカードはここで指定します。

  12. [Next (次へ)] を選択します。

  13. 作成したポリシーの横にあるチェックボックスをオンにし、[次へ] を選択します。

  14. [名前、確認、および作成] で、[ロール名][説明] を入力します。

    注記

    [ロール名] は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された passRole アクセス許可のパターンと一致している必要があります。

    1. [信頼されたエンティティを選択] を確認し、必要に応じて編集します。

    2. [許可を追加] でアクセス許可を確認し、必要に応じて編集します。

    3. [タグ] を確認し、必要に応じてタグを追加します。

    4. [ロールの作成] を選択します。

  15. のサービスロール AWS Clean Rooms が作成されました。