翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Clean Rooms ML のサービスロールを設定する
トレーニングデータを読み取るサービスロールの作成
AWS Clean Rooms は、サービスロールを使用してトレーニングデータを読み込みます。必要なIAMアクセス許可がある場合は、コンソールを使用してこのロールを作成できます。アクセスCreateRole許可がない場合は、管理者にサービスロールの作成を依頼してください。
データセットをトレーニングするサービスロールの作成
-
管理者アカウントでIAMコンソール (https://console.aws.amazon.com/iam/
) にサインインします。 -
[アクセス管理] で、[ポリシー] を選択します。
-
[Create policy] を選択します。
-
ポリシーエディタ で、 JSONタブを選択し、次のポリシーをコピーして貼り付けます。
注記
以下のポリシー例は、 AWS Glue メタデータとそれに対応する Amazon S3 データを読み取るのに必要なアクセス許可をサポートしています。ただし、S3 データの設定方法によっては、このポリシーを変更する必要が生じる場合があります。このポリシーには、データを復号するためのKMSキーは含まれていません。
AWS Glue リソースと基盤となる Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartitions", "glue:GetPartition", "glue:BatchGetPartition", "glue:GetUserDefinedFunctions" ], "Resource": [ "arn:aws:glue:region:accountId:database/databases", "arn:aws:glue:region:accountId:table/databases/tables", "arn:aws:glue:region:accountId:catalog", "arn:aws:glue:region:accountId:database/default" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase" ], "Resource": [ "arn:aws:glue:region:accountId:database/default" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::bucket" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }KMS キーを使用してデータを復号する必要がある場合は、前のテンプレートに次の AWS KMS ステートメントを追加します。
{ "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
[Next (次へ)] を選択します。
-
[確認して作成] で [ポリシー名] と [説明] を入力し、[概要] を確認します。
-
[Create policy] を選択します。
のポリシーを作成しました AWS Clean Rooms。
-
[アクセス管理] で、[ロール] を選択します。
[ロール] を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。[ユーザー] を選択して長期間の認証情報を作成することもできます。
-
[ロールの作成] を選択します。
-
[ロールの作成] ウィザードの [信頼されたエンティティタイプ] で [カスタム信頼ポリシー] を選択します。
-
次のカスタム信頼ポリシーをコピーしてJSONエディタに貼り付けます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:training-dataset/*" } } } ] }は常にお客様のアカウント
SourceAccountです AWS 。SourceArnは特定のトレーニングデータセットに制限できますが、そのデータセットが作成された後に限られます。トレーニングデータセット を事前に知ることができないためARN、ワイルドカードはここで指定します。 -
[次へ] を選択し、[アクセス許可を追加] で、作成したポリシーの名前を入力します。(ページを再度読み込む必要がある場合があります)。
-
作成したポリシーの横にあるチェックボックスをオンにし、[次へ] を選択します。
-
[名前、確認、および作成] で、[ロール名] と [説明] を入力します。
注記
[ロール名] は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された
passRoleアクセス許可のパターンと一致している必要があります。-
[信頼されたエンティティを選択] を確認し、必要に応じて編集します。
-
[許可を追加] でアクセス許可を確認し、必要に応じて編集します。
-
[タグ] を確認し、必要に応じてタグを追加します。
-
[ロールの作成] を選択します。
-
-
のサービスロール AWS Clean Rooms が作成されました。
サービスロールを作成して類似セグメントを書き込む
AWS Clean Rooms はサービスロールを使用して、バケットに類似セグメントを書き込みます。必要なIAMアクセス許可がある場合は、コンソールを使用してこのロールを作成できます。アクセスCreateRole許可がない場合は、管理者にサービスロールの作成を依頼してください。
サービスロールを作成して類似セグメントを書き込むには
-
管理者アカウントでIAMコンソール (https://console.aws.amazon.com/iam/
) にサインインします。 -
[アクセス管理] で、[ポリシー] を選択します。
-
[Create policy] を選択します。
-
ポリシーエディタ で、 JSONタブを選択し、次のポリシーをコピーして貼り付けます。
注記
以下のポリシー例は、 AWS Glue メタデータとそれに対応する Amazon S3 データを読み取るのに必要なアクセス許可をサポートしています。ただし、S3 データの設定方法によっては、このポリシーを変更する必要が生じる場合があります。このポリシーには、データを復号するためのKMSキーは含まれていません。
AWS Glue リソースと基盤となる Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::buckets" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }KMS キーを使用してデータを暗号化する必要がある場合は、次の AWS KMS ステートメントをテンプレートに追加します。
{ "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] }KMS キーを使用してデータを復号する必要がある場合は、テンプレートに次の AWS KMS ステートメントを追加します。
{ "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
[Next (次へ)] を選択します。
-
[確認して作成] で [ポリシー名] と [説明] を入力し、[概要] を確認します。
-
[Create policy] を選択します。
のポリシーを作成しました AWS Clean Rooms。
-
[アクセス管理] で、[ロール] を選択します。
[ロール] を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。[ユーザー] を選択して長期間の認証情報を作成することもできます。
-
[ロールの作成] を選択します。
-
[ロールの作成] ウィザードの [信頼されたエンティティタイプ] で [カスタム信頼ポリシー] を選択します。
-
次のカスタム信頼ポリシーをコピーしてJSONエディタに貼り付けます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:configured-audience-model/*" } } } ] }は常に AWS アカウント
SourceAccountです。SourceArnは特定のトレーニングデータセットに制限できますが、そのデータセットが作成された後に限られます。トレーニングデータセット を事前に知ることができないためARN、ワイルドカードはここで指定します。 -
[Next (次へ)] を選択します。
-
作成したポリシーの横にあるチェックボックスをオンにし、[次へ] を選択します。
-
[名前、確認、および作成] で、[ロール名] と [説明] を入力します。
注記
[ロール名] は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された
passRoleアクセス許可のパターンと一致している必要があります。-
[信頼されたエンティティを選択] を確認し、必要に応じて編集します。
-
[許可を追加] でアクセス許可を確認し、必要に応じて編集します。
-
[タグ] を確認し、必要に応じてタグを追加します。
-
[ロールの作成] を選択します。
-
-
のサービスロール AWS Clean Rooms が作成されました。
シードデータを読み取るサービスロールの作成
AWS Clean Rooms はサービスロールを使用してシードデータを読み込みます。必要なIAMアクセス許可がある場合は、コンソールを使用してこのロールを作成できます。アクセスCreateRole許可がない場合は、管理者にサービスロールの作成を依頼してください。
Amazon S3 バケットに保存されているシードデータを読み取るサービスロールを作成するには。
-
管理者アカウントでIAMコンソール (https://console.aws.amazon.com/iam/
) にサインインします。 -
[アクセス管理] で、[ポリシー] を選択します。
-
[Create policy] を選択します。
-
ポリシーエディタ で、 JSONタブを選択し、次のいずれかのポリシーをコピーして貼り付けます。
注記
以下のポリシー例は、 AWS Glue メタデータとそれに対応する Amazon S3 データを読み取るのに必要なアクセス許可をサポートしています。ただし、S3 データの設定方法によっては、このポリシーを変更する必要が生じる場合があります。このポリシーには、データを復号するためのKMSキーは含まれていません。
AWS Glue リソースと基盤となる Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", ], "Resource": [ "arn:aws:s3:::buckets" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }注記
次のポリシー例では、SQLクエリの結果を読み取って入力データとして使用するのに必要なアクセス許可をサポートしています。ただし、クエリの構造によっては、このポリシーを変更する必要がある場合があります。このポリシーには、データを復号するためのKMSキーは含まれていません。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCleanRoomsStartQuery", "Effect": "Allow", "Action": [ "cleanrooms:GetCollaborationAnalysisTemplate", "cleanrooms:GetSchema", "cleanrooms:StartProtectedQuery" ], "Resource": "*" }, { "Sid": "AllowCleanRoomsGetAndUpdateQuery", "Effect": "Allow", "Action": [ "cleanrooms:GetProtectedQuery", "cleanrooms:UpdateProtectedQuery" ], "Resource": [ "arn:aws:cleanrooms:{{region}}:{{queryRunnerAccountId}}:membership/{{queryRunnerMembershipId}}" ] } ] }KMS キーを使用してデータを復号する必要がある場合は、テンプレートに次の AWS KMS ステートメントを追加します。
{ "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
[Next (次へ)] を選択します。
-
[確認して作成] で [ポリシー名] と [説明] を入力し、[概要] を確認します。
-
[Create policy] を選択します。
のポリシーを作成しました AWS Clean Rooms。
-
[アクセス管理] で、[ロール] を選択します。
[ロール] を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。[ユーザー] を選択して長期間の認証情報を作成することもできます。
-
[ロールの作成] を選択します。
-
[ロールの作成] ウィザードの [信頼されたエンティティタイプ] で [カスタム信頼ポリシー] を選択します。
-
次のカスタム信頼ポリシーをコピーしてJSONエディタに貼り付けます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:audience-generation-job/*" } } } ] }は常に AWS アカウント
SourceAccountです。SourceArnは特定のトレーニングデータセットに制限できますが、そのデータセットが作成された後に限られます。トレーニングデータセット を事前に知ることができないためARN、ワイルドカードはここで指定します。 -
[Next (次へ)] を選択します。
-
作成したポリシーの横にあるチェックボックスをオンにし、[次へ] を選択します。
-
[名前、確認、および作成] で、[ロール名] と [説明] を入力します。
注記
[ロール名] は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された
passRoleアクセス許可のパターンと一致している必要があります。-
[信頼されたエンティティを選択] を確認し、必要に応じて編集します。
-
[許可を追加] でアクセス許可を確認し、必要に応じて編集します。
-
[タグ] を確認し、必要に応じてタグを追加します。
-
[ロールの作成] を選択します。
-
-
のサービスロール AWS Clean Rooms が作成されました。
