IAM AWS Clean Rooms ML에 대한 동작 - AWS Clean Rooms
교차 계정 작업작업에 태그 지정공동 작업자 검증크로스 계정 액세스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM AWS Clean Rooms ML에 대한 동작

교차 계정 작업

Clean Rooms ML을 사용하면 한 에서 생성한 특정 리소스 AWS 계정 에 다른 에서 자신의 계정에서 안전하게 액세스할 수 있습니다 AWS 계정. AWS 계정 A의 클라이언트가 AWS 계정 B가 소유StartAudienceGenerationJobConfiguredAudienceModel 리소스를 호출하면 Clean Rooms ML은 작업에 ARNs 대해 2개를 생성합니다. 하나는 AWS 계정 AARN에, 다른 하나는 AWS 계정 B에 있습니다. ARNs 는 를 제외하고 동일합니다 AWS 계정.

Clean Rooms ML은 두 계정이 작업에 자체 IAM 정책을 적용할 수 있도록 작업에 ARNs 대해 두 개를 생성합니다. 예를 들어 두 계정 모두 태그 기반 액세스 제어를 사용하고 AWS 조직의 정책을 적용할 수 있습니다. 작업은 두 계정의 데이터를 모두 처리하므로 두 계정에서 작업 및 관련 데이터를 삭제할 수 있습니다. 두 계정 모두 다른 계정이 작업을 삭제하지 못하도록 차단할 수는 없습니다.

작업은 한 번만 실행되며 두 계정 모두 ListAudienceGenerationJobs를 호출할 때 작업을 볼 수 있습니다. 두 계정 모두 자체 AWS 계정 IDARN가 있는 를 사용하여 작업ExportAPIs에서 Delete, 및 Get를 호출할 수 있습니다.

다른 AWS 계정 ID와 ARN 함께 를 사용하는 경우 도 작업에 액세스할 수 AWS 계정 없습니다.

작업 이름은 AWS 계정내에서 고유해야 합니다. AWS 계정 B의 이름은 입니다.$accountA-$name. AWS 계정 B에서 작업을 볼 때 AWS 계정 A에서 선택한 이름 앞에 A가 AWS 계정 붙습니다.

교차 계정을 StartAudienceGenerationJob 성공시키려면 AWS 계정 B는 다음 예와 유사한 리소스 정책을 사용하여 AWS 계정 B의 새 작업과 AWS 계정 BConfiguredAudienceModel의 새 작업에 대해 해당 작업을 허용해야 합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Clean-Rooms-<CAMA ID>",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "accountA" 
                ]
            },
            "Action": [
                "cleanrooms-ml:StartAudienceGenerationJob"
            ],
            "Resource": [
                "arn:aws:cleanrooms-ml:us-west-1:AccountB:configured-audience-model/id",
                "arn:aws:cleanrooms-ml:us-west-1:AccountB:audience-generation-job/*"
            ],
            // optional - always set by AWS Clean Rooms
"Condition":{"StringEquals":{"cleanrooms-ml:CollaborationId":"UUID"}}
        }
    ]
}

AWS Clean Rooms MLAPI을 사용하여 가 true로 manageResourcePolicies 설정된 구성된 유사 모델을 생성하는 경우 는 이 정책을 AWS Clean Rooms 생성합니다.

또한 AWS 계정 A에서 호출자의 자격 증명 정책에는 에 대한 StartAudienceGenerationJob 권한이 필요합니다arn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/*. 따라서 작업을 위한 IAM 리소스에는 StartAudienceGenerationJob AWS 계정 A 작업, AWS 계정 B 작업 및 AWS 계정 B 의 세 가지가 있습니다ConfiguredAudienceModel.

주의

작업을 시작한 AWS 계정 는 작업에 대한 AWS CloudTrail 감사 로그 이벤트를 수신합니다. ConfiguredAudienceModel을 소유한 AWS 계정 는 AWS CloudTrail 감사 로그 이벤트를 수신할 수 없습니다.

작업에 태그 지정

CreateConfiguredAudienceModelchildResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE 파라미터를 설정하면 구성된 유사 모델에서 생성된 계정 내 모든 유사 세그먼트 생성 작업은 구성된 유사 모델과 동일한 태그를 기본으로 사용합니다. 구성된 유사 모델은 상위 모델이고 유사 세그먼트 생성 작업은 하위 모델입니다.

자신의 계정 내에서 작업을 생성하는 경우 작업의 요청 태그가 상위 태그를 재정의합니다. 다른 계정에서 생성한 작업은 계정에 태그를 생성할 수 없습니다. childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE를 설정하고 다른 계정에서 작업을 생성하면 해당 작업의 복사본이 2개가 됩니다. 계정의 사본에는 상위 리소스 태그가 있고 작업 제출자 계정의 사본에는 요청에서 얻은 태그가 있습니다.

공동 작업자 검증

다른 AWS Clean Rooms 공동 작업 구성원에게 권한을 부여할 때 리소스 정책에 조건 키 가 포함되어야 합니다cleanrooms-ml:CollaborationId. 이렇게 하면 collaborationId 파라미터가 StartAudienceGenerationJob 요청에 포함됩니다. collaborationId 파라미터가 요청에 포함되면 Clean Rooms ML은 공동 작업이 존재하는지, 작업 제출자가 공동 작업의 활성 멤버인지, 구성된 유사 모델 소유자가 공동 작업의 활성 멤버인지 확인합니다.

가 구성된 유사 모델 리소스 정책(manageResourcePolicies파라미터가 CreateConfiguredAudienceModelAssociation 요청 TRUE 중임)을 AWS Clean Rooms 관리할 때 이 조건 키는 리소스 정책에 설정됩니다. 따라서 collaborationId에서 를 지정해야 합니다StartAudienceGenerationJob.

크로스 계정 액세스

계정 전반에서 StartAudienceGenerationJob만 호출할 수 있습니다. 다른 모든 Clean Rooms ML은 사용자 계정의 리소스에만 사용할 APIs 수 있습니다. 이렇게 하면 훈련 데이터, 유사 모델 구성 및 기타 정보를 비공개로 유지할 수 있습니다.

Clean Rooms ML은 계정 간에 Amazon S3 또는 AWS Glue 위치를 절대 공개하지 않습니다. 훈련 데이터 위치, 구성된 유사 모델 출력 위치, 유사 세그먼트 생성 작업 시드 위치는 계정 전반에서 절대 볼 수 없습니다. 공동 작업에서 쿼리 로깅을 활성화하지 않는 한 시드 데이터가 SQL 쿼리에서 왔는지 여부와 쿼리 자체는 계정 간에 표시되지 않습니다. 다른 계정에서 제출한 대상 생성 작업을 Get으로 처리한 경우 서비스는 시드 위치를 표시하지 않습니다.