翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS の マネージドポリシー AWS Clean Rooms
AWS マネージドポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS マネージドポリシーは、多くの一般的なユースケースに対するアクセス許可を提供するように設計されているため、ユーザー、グループ、ロールへのアクセス許可の割り当てを開始できます。
AWS マネージドポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小権限のアクセス許可を付与しない場合があることに注意してください。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。
AWS マネージドポリシーで定義されているアクセス許可は変更できません。が マネージドポリシーで AWS 定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しいAPIオペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が最も高いです。
詳細については、「 ユーザーガイド」のAWS 「 マネージドポリシー」を参照してください。 IAM
AWS マネージドポリシー: AWSCleanRoomsReadOnlyAccess
IAM プリンシパルAWSCleanRoomsReadOnlyAccessにアタッチできます。
このポリシーは、AWSCleanRoomsReadOnlyAccess コラボレーションのリソースとメタデータへの読み取り専用のアクセス許可を付与します。
許可の詳細
このポリシーには、以下の許可が含まれています。
-
CleanRoomsRead- プリンシパルにサービスへの読み取り専用アクセスを許可します。 -
ConsoleDisplayTables– コンソールの基盤となる AWS Glue テーブルに関するデータを表示するために必要な AWS Glue メタデータへのプリンシパルの読み取り専用アクセスを許可します。 -
ConsoleLogSummaryQueryLogs- プリンシパルにクエリログの閲覧を許可します。 -
ConsoleLogSummaryObtainLogs- プリンシパルにログ結果の取得を許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsRead", "Effect": "Allow", "Action": [ "cleanrooms:BatchGet*", "cleanrooms:Get*", "cleanrooms:List*" ], "Resource": "*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "ConsoleLogSummaryQueryLogs", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*" }, { "Sid": "ConsoleLogSummaryObtainLogs", "Effect": "Allow", "Action": [ "logs:GetQueryResults" ], "Resource": "*" } ] }
AWS マネージドポリシー: AWSCleanRoomsFullAccess
IAM プリンシパルAWSCleanRoomsFullAccessにアタッチできます。
このポリシーは、 AWS Clean Rooms コラボレーション内のリソースとメタデータへのフルアクセス (読み取り、書き込み、更新) を許可する管理アクセス許可を付与します。このポリシーには、クエリを実行するためのアクセス許可が含まれています。
許可の詳細
このポリシーには、以下の許可が含まれています。
-
CleanRoomsAccess– のすべてのリソースに対するすべてのアクションへのフルアクセスを許可します AWS Clean Rooms。 -
PassServiceRole– サービスロールを、「 を持つサービス (PassedToService条件) のみに渡すアクセスを許可しますcleanrooms名前に「」。 -
ListRolesToPickServiceRole– プリンシパルが を使用する際にサービスロールを選択できるように、すべてのロールを一覧表示できるようにします AWS Clean Rooms。 -
GetRoleAndListRolePoliciesToInspectServiceRole– プリンシパルが のサービスロールと対応するポリシーを で確認できるようにしますIAM。 -
ListPoliciesToInspectServiceRolePolicy– プリンシパルが のサービスロールと対応するポリシーを で確認できるようにしますIAM。 -
GetPolicyToInspectServiceRolePolicy– プリンシパルが のサービスロールと対応するポリシーを で確認できるようにしますIAM。 -
ConsoleDisplayTables– プリンシパルが、コンソール上の基盤となる AWS Glue テーブルに関するデータを表示するために必要な AWS Glue メタデータへの読み取り専用アクセスを許可します。 -
ConsolePickQueryResultsBucketListAll- 使用可能なすべての Amazon S3 バケットのリストから、クエリ結果を書き込む S3 バケットを選択することをプリンシパルに許可します。 -
SetQueryResultsBucket– クエリ結果を書き込む S3 バケットを選択することをプリンシパルに許可します。 -
ConsoleDisplayQueryResults– S3 バケットから読み取ったクエリ結果を顧客に示すことをプリンシパルに許可します。 -
WriteQueryResults– クエリ結果を顧客所有の S3 バケットに書き込むことをプリンシパルに許可します。 -
EstablishLogDeliveries– プリンシパルが顧客の Amazon CloudWatch Logs ロググループにクエリログを配信できるようにします。 -
SetupLogGroupsDescribe– プリンシパルが Amazon CloudWatch Logs ロググループの作成プロセスを使用できるようにします。 -
SetupLogGroupsCreate– プリンシパルが Amazon CloudWatch Logs ロググループを作成できるようにします。 -
SetupLogGroupsResourcePolicy– プリンシパルが Amazon CloudWatch Logs ロググループにリソースポリシーを設定できるようにします。 -
ConsoleLogSummaryQueryLogs- プリンシパルにクエリログの閲覧を許可します。 -
ConsoleLogSummaryObtainLogs- プリンシパルにログ結果の取得を許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsAccess", "Effect": "Allow", "Action": [ "cleanrooms:*" ], "Resource": "*" }, { "Sid": "PassServiceRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*", "Condition": { "StringEquals": { "iam:PassedToService": "cleanrooms.amazonaws.com" } } }, { "Sid": "ListRolesToPickServiceRole", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GetRoleAndListRolePoliciesToInspectServiceRole", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*" }, { "Sid": "ListPoliciesToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "GetPolicyToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:GetPolicy", "iam:GetPolicyVersion" ], "Resource": "arn:aws:iam::*:policy/*cleanrooms*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "ConsolePickQueryResultsBucketListAll", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "SetQueryResultsBucket", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucketVersions" ], "Resource": "arn:aws:s3:::cleanrooms-queryresults*" }, { "Sid": "WriteQueryResults", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:PutObject" ], "Resource": "arn:aws:s3:::cleanrooms-queryresults*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "ConsoleDisplayQueryResults", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::cleanrooms-queryresults*" }, { "Sid": "EstablishLogDeliveries", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsDescribe", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsCreate", "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsResourcePolicy", "Effect": "Allow", "Action": [ "logs:DescribeResourcePolicies", "logs:PutResourcePolicy" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "ConsoleLogSummaryQueryLogs", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*" }, { "Sid": "ConsoleLogSummaryObtainLogs", "Effect": "Allow", "Action": [ "logs:GetQueryResults" ], "Resource": "*" } ] }
AWS マネージドポリシー: AWSCleanRoomsFullAccessNoQuerying
を AWSCleanRoomsFullAccessNoQueryingにアタッチできます。IAM
principals.
このポリシーは、 AWS Clean Rooms コラボレーション内のリソースとメタデータへのフルアクセス (読み取り、書き込み、更新) を許可する管理アクセス許可を付与します。このポリシーでは、クエリを実行するためのアクセス許可は除外されます。
許可の詳細
このポリシーには、以下の許可が含まれています。
-
CleanRoomsAccess– コラボレーションでのクエリを除く AWS Clean Rooms、 のすべてのリソースに対するすべてのアクションへのフルアクセスを許可します。 -
CleanRoomsNoQuerying–StartProtectedQueryとUpdateProtectedQueryを明示的に拒否し、クエリを禁止します。 -
PassServiceRole– サービスロールを、「 を持つサービス (PassedToService条件) のみに渡すアクセスを許可しますcleanrooms名前に「」。 -
ListRolesToPickServiceRole– プリンシパルが を使用する際にサービスロールを選択できるように、すべてのロールを一覧表示できるようにします AWS Clean Rooms。 -
GetRoleAndListRolePoliciesToInspectServiceRole– プリンシパルが のサービスロールと対応するポリシーを で確認できるようにしますIAM。 -
ListPoliciesToInspectServiceRolePolicy– プリンシパルが のサービスロールと対応するポリシーを で確認できるようにしますIAM。 -
GetPolicyToInspectServiceRolePolicy– プリンシパルが のサービスロールと対応するポリシーを で確認できるようにしますIAM。 -
ConsoleDisplayTables– プリンシパルが、コンソール上の基盤となる AWS Glue テーブルに関するデータを表示するために必要な AWS Glue メタデータへの読み取り専用アクセスを許可します。 -
EstablishLogDeliveries– プリンシパルが顧客の Amazon CloudWatch Logs ロググループにクエリログを配信できるようにします。 -
SetupLogGroupsDescribe– プリンシパルが Amazon CloudWatch Logs ロググループの作成プロセスを使用できるようにします。 -
SetupLogGroupsCreate– プリンシパルが Amazon CloudWatch Logs ロググループを作成できるようにします。 -
SetupLogGroupsResourcePolicy– プリンシパルが Amazon CloudWatch Logs ロググループにリソースポリシーを設定できるようにします。 -
ConsoleLogSummaryQueryLogs- プリンシパルにクエリログの閲覧を許可します。 -
ConsoleLogSummaryObtainLogs- プリンシパルにログ結果の取得を許可します。 -
cleanrooms– サービス内のコラボレーション、分析テンプレート、設定済みテーブル、メンバーシップ、および関連リソースを管理します AWS Clean Rooms 。これらのリソースに関する情報の作成、更新、削除、一覧表示、取得など、さまざまな操作を実行します。 -
iam–cleanrooms「」を含む名前のサービスロールを AWS Clean Rooms サービスに渡します。ロール、ポリシーを一覧表示し、サービスに関連する AWS Clean Rooms サービスロールとポリシーを検査します。 -
glue— からデータベース、テーブル、パーティション、スキーマに関する情報を取得します AWS Glue。これは、 AWS Clean Rooms サービスが基盤となるデータソースを表示して操作するために必要です。 -
logs– CloudWatch Logs のログ配信、ロググループ、リソースポリシーを管理します。 AWS Clean Rooms サービスに関連するログをクエリして取得します。これらのアクセス許可は、サービス内のモニタリング、監査、トラブルシューティングの目的で必要です。
また、ポリシーは、 アクションを明示的に拒否cleanrooms:StartProtectedQueryし、ユーザーが保護されたクエリを直接実行または更新できないcleanrooms:UpdateProtectedQueryようにします。これは、制御された AWS Clean Rooms メカニズムを介して実行する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsAccess", "Effect": "Allow", "Action": [ "cleanrooms:BatchGetCollaborationAnalysisTemplate", "cleanrooms:BatchGetSchema", "cleanrooms:BatchGetSchemaAnalysisRule", "cleanrooms:CreateAnalysisTemplate", "cleanrooms:CreateCollaboration", "cleanrooms:CreateConfiguredTable", "cleanrooms:CreateConfiguredTableAnalysisRule", "cleanrooms:CreateConfiguredTableAssociation", "cleanrooms:CreateMembership", "cleanrooms:DeleteAnalysisTemplate", "cleanrooms:DeleteCollaboration", "cleanrooms:DeleteConfiguredTable", "cleanrooms:DeleteConfiguredTableAnalysisRule", "cleanrooms:DeleteConfiguredTableAssociation", "cleanrooms:DeleteMember", "cleanrooms:DeleteMembership", "cleanrooms:GetAnalysisTemplate", "cleanrooms:GetCollaboration", "cleanrooms:GetCollaborationAnalysisTemplate", "cleanrooms:GetConfiguredTable", "cleanrooms:GetConfiguredTableAnalysisRule", "cleanrooms:GetConfiguredTableAssociation", "cleanrooms:GetMembership", "cleanrooms:GetProtectedQuery", "cleanrooms:GetSchema", "cleanrooms:GetSchemaAnalysisRule", "cleanrooms:ListAnalysisTemplates", "cleanrooms:ListCollaborationAnalysisTemplates", "cleanrooms:ListCollaborations", "cleanrooms:ListConfiguredTableAssociations", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMembers", "cleanrooms:ListMemberships", "cleanrooms:ListProtectedQueries", "cleanrooms:ListSchemas", "cleanrooms:UpdateAnalysisTemplate", "cleanrooms:UpdateCollaboration", "cleanrooms:UpdateConfiguredTable", "cleanrooms:UpdateConfiguredTableAnalysisRule", "cleanrooms:UpdateConfiguredTableAssociation", "cleanrooms:UpdateMembership", "cleanrooms:ListTagsForResource", "cleanrooms:UntagResource", "cleanrooms:TagResource" ], "Resource": "*" }, { "Sid": "CleanRoomsNoQuerying", "Effect": "Deny", "Action": [ "cleanrooms:StartProtectedQuery", "cleanrooms:UpdateProtectedQuery" ], "Resource": "*" }, { "Sid": "PassServiceRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*", "Condition": { "StringEquals": { "iam:PassedToService": "cleanrooms.amazonaws.com" } } }, { "Sid": "ListRolesToPickServiceRole", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GetRoleAndListRolePoliciesToInspectServiceRole", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*" }, { "Sid": "ListPoliciesToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "GetPolicyToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:GetPolicy", "iam:GetPolicyVersion" ], "Resource": "arn:aws:iam::*:policy/*cleanrooms*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "EstablishLogDeliveries", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsDescribe", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsCreate", "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsResourcePolicy", "Effect": "Allow", "Action": [ "logs:DescribeResourcePolicies", "logs:PutResourcePolicy" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "ConsoleLogSummaryQueryLogs", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*" }, { "Sid": "ConsoleLogSummaryObtainLogs", "Effect": "Allow", "Action": [ "logs:GetQueryResults" ], "Resource": "*" } ] }
AWS マネージドポリシー: AWSCleanRoomsMLReadOnlyAccess
IAM プリンシパルAWSCleanRoomsMLReadOnlyAccessにアタッチできます。
このポリシーは、AWSCleanRoomsMLReadOnlyAccess コラボレーションのリソースとメタデータへの読み取り専用のアクセス許可を付与します。
このポリシーには、以下の権限が含まれています。
-
CleanRoomsConsoleNavigation– AWS Clean Rooms コンソールの画面を表示するアクセスを許可します。 -
CleanRoomsMLRead– プリンシパルに Clean Rooms ML サービスへの読み取り専用アクセスを許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsConsoleNavigation", "Effect": "Allow", "Action": [ "cleanrooms:GetCollaboration", "cleanrooms:GetConfiguredAudienceModelAssociation", "cleanrooms:GetMembership", "cleanrooms:ListAnalysisTemplates", "cleanrooms:ListCollaborationAnalysisTemplates", "cleanrooms:ListCollaborationConfiguredAudienceModelAssociations", "cleanrooms:ListCollaborations", "cleanrooms:ListConfiguredTableAssociations", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMembers", "cleanrooms:ListMemberships", "cleanrooms:ListProtectedQueries", "cleanrooms:ListSchemas", "cleanrooms:ListTagsForResource" ], "Resource": "*" }, { "Sid": "CleanRoomsMLRead", "Effect": "Allow", "Action": [ "cleanrooms-ml:Get*", "cleanrooms-ml:List*" ], "Resource": "*" } ] }
AWS マネージドポリシー: AWSCleanRoomsMLFullAccess
IAM プリンシパルAWSCleanRoomsMLFullAccesにアタッチできます。このポリシーは、Clean Rooms ML に必要なリソースとメタデータへのフルアクセス (読み取り、書き込み、更新) を許可する管理アクセス許可を付与します。
許可の詳細
このポリシーには、以下の許可が含まれています。
-
CleanRoomsMLFullAccess– すべての Clean Rooms ML アクションへのアクセスを許可します。 -
PassServiceRole– サービスロールを、「 を持つサービス (PassedToService条件) のみに渡すアクセスを許可しますcleanrooms-ml名前に「」。 -
CleanRoomsConsoleNavigation– AWS Clean Rooms コンソールの画面を表示するアクセスを許可します。 -
CollaborationMembershipCheck– コラボレーション内でオーディエンス生成 (類似セグメント) ジョブを開始すると、Clean Rooms ML サービスがListMembersを呼び出して、コラボレーションが有効であること、発信者がアクティブなメンバーであること、設定されたオーディエンスモデル所有者がアクティブなメンバーであることを確認します。このアクセス許可は常に必要です。コンソールナビゲーションSIDはコンソールユーザーのみに必要です。 -
AssociateModels– プリンシパルが Clean Rooms ML モデルをコラボレーションに関連付けることを許可します。 -
TagAssociations– 類似モデルとコラボレーションの関連付けにタグを追加することをプリンシパルに許可します。 -
ListRolesToPickServiceRole– プリンシパルが を使用する際にサービスロールを選択できるように、すべてのロールを一覧表示できるようにします AWS Clean Rooms。 -
GetRoleAndListRolePoliciesToInspectServiceRole– プリンシパルが のサービスロールと対応するポリシーを で確認できるようにしますIAM。 -
ListPoliciesToInspectServiceRolePolicy– プリンシパルが のサービスロールと対応するポリシーを で確認できるようにしますIAM。 -
GetPolicyToInspectServiceRolePolicy– プリンシパルが のサービスロールと対応するポリシーを で確認できるようにしますIAM。 -
ConsoleDisplayTables– プリンシパルが、コンソール上の基盤となる AWS Glue テーブルに関するデータを表示するために必要な AWS Glue メタデータへの読み取り専用アクセスを許可します。 -
ConsolePickOutputBucket– 設定済みのオーディエンスモデル出力用の Amazon S3 バケットを選択することをプリンシパルに許可します。 -
ConsolePickS3Location– 設定済みのオーディエンスモデル出力のバケット内の場所を選択することをプリンシパルに許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsMLFullAccess", "Effect": "Allow", "Action": [ "cleanrooms-ml:*" ], "Resource": "*" }, { "Sid": "PassServiceRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/cleanrooms-ml*" ], "Condition": { "StringEquals": { "iam:PassedToService": "cleanrooms-ml.amazonaws.com" } } }, { "Sid": "CleanRoomsConsoleNavigation", "Effect": "Allow", "Action": [ "cleanrooms:GetCollaboration", "cleanrooms:GetConfiguredAudienceModelAssociation", "cleanrooms:GetMembership", "cleanrooms:ListAnalysisTemplates", "cleanrooms:ListCollaborationAnalysisTemplates", "cleanrooms:ListCollaborationConfiguredAudienceModelAssociations", "cleanrooms:ListCollaborations", "cleanrooms:ListConfiguredTableAssociations", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMembers", "cleanrooms:ListMemberships", "cleanrooms:ListProtectedQueries", "cleanrooms:ListSchemas", "cleanrooms:ListTagsForResource" ], "Resource": "*" }, { "Sid": "CollaborationMembershipCheck", "Effect": "Allow", "Action": [ "cleanrooms:ListMembers" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": ["cleanrooms-ml.amazonaws.com"] } } }, { "Sid": "AssociateModels", "Effect": "Allow", "Action": [ "cleanrooms:CreateConfiguredAudienceModelAssociation" ], "Resource": "*" }, { "Sid": "TagAssociations", "Effect": "Allow", "Action": [ "cleanrooms:TagResource" ], "Resource": "arn:aws:cleanrooms:*:*:membership/*/configuredaudiencemodelassociation/*" }, { "Sid": "ListRolesToPickServiceRole", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GetRoleAndListRolePoliciesToInspectServiceRole", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:role/service-role/cleanrooms-ml*", "arn:aws:iam::*:role/role/cleanrooms-ml*" ] }, { "Sid": "ListPoliciesToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "GetPolicyToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:GetPolicy", "iam:GetPolicyVersion" ], "Resource": "arn:aws:iam::*:policy/*cleanroomsml*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "ConsolePickOutputBucket", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "ConsolePickS3Location", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*cleanrooms-ml*" } ] }
AWS Clean RoomsAWS マネージドポリシーの更新
このサービスがこれらの変更の追跡を開始 AWS Clean Rooms してからの AWS の管理ポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、 AWS Clean Rooms ドキュメント履歴ページのRSSフィードにサブスクライブします。
| 変更 | 説明 | 日付 |
|---|---|---|
| AWSCleanRoomsFullAccessNoQuerying – 既存のポリシーの更新 | 追加 cleanrooms:BatchGetSchemaAnalysisRule から CleanRoomsAccess. | 2024 年 5 月 13 日 |
| AWSCleanRoomsFullAccess – 既存のポリシーの更新 | のステートメント ID を更新しました AWSCleanRoomsFullAccess 送信元 ConsolePickQueryResultsBucket から SetQueryResultsBucket このポリシーでは、コンソールの有無にかかわらずクエリ結果バケットを設定するためにアクセス許可が必要なため、アクセス許可をより適切に表現できます。 | 2024 年 3 月 21 日 |
|
AWSCleanRoomsMLReadOnlyAccess - 新しいポリシー AWSCleanRoomsMLFullAccess - 新しいポリシー |
追加 AWSCleanRoomsMLReadOnlyAccess また、AWSCleanRoomsMLFullAccess AWS Clean Rooms ML をサポートするには。 |
2023 年 11 月 29 日 |
| AWSCleanRoomsFullAccessNoQuerying – 既存のポリシーの更新 | 追加 cleanrooms:CreateAnalysisTemplate, cleanrooms:GetAnalysisTemplate, cleanrooms:UpdateAnalysisTemplate, cleanrooms:DeleteAnalysisTemplate, cleanrooms:ListAnalysisTemplates, cleanrooms:GetCollaborationAnalysisTemplate, cleanrooms:BatchGetCollaborationAnalysisTemplate および cleanrooms:ListCollaborationAnalysisTemplates から CleanRoomsAccess 新しい分析テンプレート機能を有効にします。 | 2023 年 7 月 31 日 |
| AWSCleanRoomsFullAccessNoQuerying – 既存のポリシーの更新 | 追加 cleanrooms:ListTagsForResource, cleanrooms:UntagResource および cleanrooms:TagResource から CleanRoomsAccess リソースのタグ付けを有効にします。 | 2023 年 3 月 21 日 |
|
AWS Clean Rooms 変更の追跡を開始しました |
AWS Clean Rooms は、 AWS マネージドポリシーの変更の追跡を開始しました。 |
2023 年 1 月 12 日 |
