기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Clean Rooms ML에 대한 서비스 역할 설정
유사 모델링을 수행하는 데 필요한 역할은 사용자 지정 모델을 사용하는 데 필요한 역할과 다릅니다. 다음 섹션에서는 각 작업을 수행하는 데 필요한 역할을 설명합니다.
유사 모델링을 위한 서비스 역할 설정
서비스 역할 생성하여 훈련 데이터 읽기
AWS Clean Rooms 는 서비스 역할을 사용하여 훈련 데이터를 읽습니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. CreateRole
권한이 없는 경우 관리자에게 서비스 역할을 생성해 달라고 요청하세요.
서비스 역할을 생성하여 데이터 세트를 훈련하려면
-
관리자 계정으로 https://console.aws.amazon.com/iam/
의 IAM 콘솔에 로그인합니다. -
액세스 관리(Access management)에서 정책(Policies)을 선택합니다.
-
[Create policy]를 선택합니다.
-
정책 편집기에서 JSON 탭을 선택한 다음 다음 정책을 복사하여 붙여넣습니다.
참고
다음 예제 정책은 AWS Glue 메타데이터와 해당 Amazon S3 데이터를 읽는 데 필요한 권한을 지원합니다. 하지만 S3 데이터를 설정한 방법에 따라 이 정책을 수정해야 할 수도 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.
AWS Glue 리소스와 기본 Amazon S3 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일해야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartitions", "glue:GetPartition", "glue:BatchGetPartition", "glue:GetUserDefinedFunctions" ], "Resource": [ "arn:aws:glue:
region
:accountId
:database
/databases
", "arn:aws:glue:region
:accountId
:table
/databases
/tables
", "arn:aws:glue:region
:accountId
:catalog
", "arn:aws:glue:region
:accountId
:database
/default" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase" ], "Resource": [ "arn:aws:glue:region
:accountId
:database/default" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::bucket
" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId
" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders
/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId
" ] } } } ] }KMS 키를 사용하여 데이터를 복호화해야 하는 경우 이전 템플릿에 이 AWS KMS 문을 추가하세요.
{ "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": [ "arn:aws:kms:
region
:accountId
:key/keyId
" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders
*" } } } ] } -
각
자리 표시자
를 자신의 정보로 바꿉니다.-
리전
– AWS 리전의 이름. 예:us-east-1
. -
accountId
- S3 버킷이 위치한 AWS 계정 ID입니다. -
데이터베이스/데이터베이스
,table/databases/tables
블,카탈로그
및데이터베이스/기본값
- 액세스 AWS Clean Rooms 해야 하는 훈련 데이터의 위치입니다. -
버킷
- S3 버킷의 Amazon 리소스 이름(ARN)입니다. Amazon 리소스 이름(ARN)은 Amazon S3에 있는 버킷의 속성 탭에서 찾을 수 있습니다. -
bucketFolders
- 액세스 AWS Clean Rooms 해야 하는 S3 버킷의 특정 폴더 이름입니다.
-
-
Next(다음)를 선택합니다.
-
검토 및 생성에서 정책 이름 및 설명을 입력하고 요약을 검토합니다.
-
정책 생성을 선택합니다.
에 대한 정책을 생성했습니다 AWS Clean Rooms.
-
액세스 관리에서 역할을 선택합니다.
역할을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. 사용자를 선택하여 장기 보안 인증을 생성할 수도 있습니다.
-
역할 생성을 선택합니다.
-
역할 생성 마법사의 신뢰할 수 있는 엔터티 유형에서 사용자 지정 신뢰 정책을 선택합니다.
-
다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["
accountId
"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region
:accountId
:training-dataset/*" } } } ] }는 항상 사용자의
SourceAccount
입니다 AWS 계정. 특정 훈련 데이터 세트로SourceArn
을 제한할 수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 아직 모르기 때문에 와일드카드가 여기에 지정됩니다.accountId
는 훈련 데이터가 AWS 계정 포함된의 ID입니다. -
다음을 선택하고 권한 추가에서 방금 생성한 정책의 이름을 입력합니다. (페이지를 새로 고쳐야 할 수 있습니다.)
-
생성한 정책 이름 옆에 있는 확인란을 선택하고 다음을 선택합니다.
-
이름 지정, 생성의 경우 역할의 이름과 설명을 입력합니다.
참고
역할 이름은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된
passRole
권한의 패턴과 일치해야 합니다.-
검토: 신뢰할 수 있는 엔티티를 선택하고 필요한 경우 편집합니다.
-
권한 추가에서 권한을 검토하고 필요한 경우 편집합니다.
-
태그를 검토하고 필요한 경우 태그를 추가합니다.
-
역할 생성을 선택합니다.
-
에 대한 서비스 역할을 생성했습니다 AWS Clean Rooms.
서비스 역할을 생성하여 유사 세그먼트를 작성
AWS Clean Rooms 는 서비스 역할을 사용하여 버킷에 유사 세그먼트를 작성합니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. CreateRole
권한이 없는 경우 관리자에게 서비스 역할을 생성해 달라고 요청하세요.
서비스 역할을 생성하여 유사 세그먼트를 작성하려면
-
관리자 계정으로 https://console.aws.amazon.com/iam/
의 IAM 콘솔에 로그인합니다. -
액세스 관리(Access management)에서 정책(Policies)을 선택합니다.
-
[Create policy]를 선택합니다.
-
정책 편집기에서 JSON 탭을 선택한 다음 다음 정책을 복사하여 붙여넣습니다.
참고
다음 예제 정책은 AWS Glue 메타데이터와 해당 Amazon S3 데이터를 읽는 데 필요한 권한을 지원합니다. 그러나 Amazon S3 데이터를 설정한 방식에 따라이 정책을 수정해야 할 수 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.
AWS Glue 리소스와 기본 Amazon S3 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일해야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::
buckets
" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId
" ] } } }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucketFolders
/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId
" ] } } } ] }KMS 키를 사용하여 데이터를 암호화해야 하는 경우 템플릿에 이 AWS KMS 문을 추가하세요.
{ "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*", ], "Resource": [ "arn:aws:kms:
region
:accountId
:key/keyId
" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders
*" } } } ] } -
각
자리 표시자
를 사용자의 정보로 바꿉니다.-
버킷
- S3 버킷의 Amazon 리소스 이름(ARN)입니다. Amazon 리소스 이름(ARN)은 Amazon S3에 있는 버킷의 속성 탭에서 찾을 수 있습니다. -
accountId
- S3 버킷이 위치한 AWS 계정 ID입니다. -
bucketFolders
- 액세스 AWS Clean Rooms 해야 하는 S3 버킷의 특정 폴더 이름입니다. -
리전
– AWS 리전의 이름. 예:us-east-1
. -
keyId
- 데이터를 암호화하는 데 필요한 KMS 키입니다.
-
-
Next(다음)를 선택합니다.
-
검토 및 생성에서 정책 이름 및 설명을 입력하고 요약을 검토합니다.
-
정책 생성을 선택합니다.
에 대한 정책을 생성했습니다 AWS Clean Rooms.
-
액세스 관리에서 역할을 선택합니다.
역할을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. 사용자를 선택하여 장기 보안 인증을 생성할 수도 있습니다.
-
역할 생성을 선택합니다.
-
역할 생성 마법사의 신뢰할 수 있는 엔터티 유형에서 사용자 지정 신뢰 정책을 선택합니다.
-
다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["
accountId
"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region
:accountId
:configured-audience-model/*" } } } ] }는 항상 사용자의
SourceAccount
입니다 AWS 계정. 특정 훈련 데이터 세트로SourceArn
을 제한할 수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 아직 모르기 때문에 와일드카드가 여기에 지정됩니다. -
Next(다음)를 선택합니다.
-
생성한 정책 이름 옆에 있는 확인란을 선택하고 다음을 선택합니다.
-
이름 지정, 생성의 경우 역할의 이름과 설명을 입력합니다.
참고
역할 이름은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된
passRole
권한의 패턴과 일치해야 합니다.-
검토: 신뢰할 수 있는 엔티티를 선택하고 필요한 경우 편집합니다.
-
권한 추가에서 권한을 검토하고 필요한 경우 편집합니다.
-
태그를 검토하고 필요한 경우 태그를 추가합니다.
-
역할 생성을 선택합니다.
-
에 대한 서비스 역할을 생성했습니다 AWS Clean Rooms.
서비스 역할 생성하여 시드 데이터 읽기
AWS Clean Rooms 는 서비스 역할을 사용하여 시드 데이터를 읽습니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. CreateRole
권한이 없는 경우 관리자에게 서비스 역할을 생성해 달라고 요청하세요.
서비스 역할을 생성하여 S3 버킷에 저장된 시드 데이터를 읽습니다.
-
관리자 계정으로 https://console.aws.amazon.com/iam/
의 IAM 콘솔에 로그인합니다. -
액세스 관리(Access management)에서 정책(Policies)을 선택합니다.
-
[Create policy]를 선택합니다.
-
정책 편집기에서 JSON 탭을 선택한 후 다음 정책 중 하나를 복사하여 붙여넣습니다.
참고
다음 예제 정책은 AWS Glue 메타데이터와 해당 Amazon S3 데이터를 읽는 데 필요한 권한을 지원합니다. 그러나 Amazon S3 데이터를 설정한 방식에 따라이 정책을 수정해야 할 수 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.
AWS Glue 리소스와 기본 Amazon S3 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일해야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", ], "Resource": [ "arn:aws:s3:::
buckets
" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId
" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders
/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId
" ] } } } ] }참고
다음 예제 정책은 SQL 쿼리의 결과를 읽고 이를 입력 데이터로 사용하는 데 필요한 권한을 지원합니다. 그러나 쿼리 구조에 따라 이 정책을 수정해야 할 수 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCleanRoomsStartQuery", "Effect": "Allow", "Action": [ "cleanrooms:GetCollaborationAnalysisTemplate", "cleanrooms:GetSchema", "cleanrooms:StartProtectedQuery" ], "Resource": "*" }, { "Sid": "AllowCleanRoomsGetAndUpdateQuery", "Effect": "Allow", "Action": [ "cleanrooms:GetProtectedQuery", "cleanrooms:UpdateProtectedQuery" ], "Resource": [ "arn:aws:cleanrooms:
region
:queryRunnerAccountId
:membership/queryRunnerMembershipId
" ] } ] }KMS 키를 사용하여 데이터를 복호화해야 하는 경우 템플릿에 이 AWS KMS 문을 추가하세요.
{ "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:
region
:accountId
:key/keyId
" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders
*" } } } ] } -
각
자리 표시자
를 사용자의 정보로 바꿉니다.-
버킷
- S3 버킷의 Amazon 리소스 이름(ARN)입니다. Amazon 리소스 이름(ARN)은 Amazon S3에 있는 버킷의 속성 탭에서 찾을 수 있습니다. -
accountId
- S3 버킷이 위치한 AWS 계정 ID입니다. -
bucketFolders
- 액세스 AWS Clean Rooms 해야 하는 S3 버킷의 특정 폴더 이름입니다. -
리전
– AWS 리전의 이름. 예:us-east-1
. -
queryRunnerAccountId
- 쿼리를 실행할 계정의 AWS 계정 ID입니다. -
queryRunnerMembershipId
- 쿼리할 수 있는 멤버의 멤버십 ID입니다. 멤버십 ID는 공동 작업의 세부 정보 탭에서 찾을 수 있습니다. 이렇게 하면 AWS Clean Rooms 가이 구성원이이 공동 작업에서 분석을 실행할 때만 역할을 수임할 수 있습니다. -
keyId
- 데이터를 암호화하는 데 필요한 KMS 키입니다.
-
-
Next(다음)를 선택합니다.
-
검토 및 생성에서 정책 이름 및 설명을 입력하고 요약을 검토합니다.
-
정책 생성을 선택합니다.
에 대한 정책을 생성했습니다 AWS Clean Rooms.
-
액세스 관리에서 역할을 선택합니다.
역할을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. 사용자를 선택하여 장기 보안 인증을 생성할 수도 있습니다.
-
역할 생성을 선택합니다.
-
역할 생성 마법사의 신뢰할 수 있는 엔터티 유형에서 사용자 지정 신뢰 정책을 선택합니다.
-
다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["
accountId
"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region
:accountId
:audience-generation-job/*" } } } ] }는 항상 사용자의
SourceAccount
입니다 AWS 계정. 특정 훈련 데이터 세트로SourceArn
을 제한할 수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 아직 모르기 때문에 와일드카드가 여기에 지정됩니다. -
Next(다음)를 선택합니다.
-
생성한 정책 이름 옆에 있는 확인란을 선택하고 다음을 선택합니다.
-
이름 지정, 생성의 경우 역할의 이름과 설명을 입력합니다.
참고
역할 이름은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된
passRole
권한의 패턴과 일치해야 합니다.-
검토: 신뢰할 수 있는 엔티티를 선택하고 필요한 경우 편집합니다.
-
권한 추가에서 권한을 검토하고 필요한 경우 편집합니다.
-
태그를 검토하고 필요한 경우 태그를 추가합니다.
-
역할 생성을 선택합니다.
-
에 대한 서비스 역할을 생성했습니다 AWS Clean Rooms.
사용자 지정 모델링을 위한 서비스 역할 설정
주제
사용자 지정 ML 모델링을 위한 서비스 역할 생성 - ML 구성
AWS Clean Rooms 는 서비스 역할을 사용하여 사용자 지정 ML 구성을 생성할 수 있는 사용자를 제어합니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. CreateRole
권한이 없는 경우 관리자에게 서비스 역할을 생성해 달라고 요청하세요.
이 역할을 사용하면 CreateMLConfiguration 작업을 사용할 수 있습니다.
사용자 지정 ML 구성 생성을 허용하는 서비스 역할을 생성하려면
-
관리자 계정으로 https://console.aws.amazon.com/iam/
의 IAM 콘솔에 로그인합니다. -
액세스 관리(Access management)에서 정책(Policies)을 선택합니다.
-
[Create policy]를 선택합니다.
-
정책 편집기에서 JSON 탭을 선택한 다음 다음 정책을 복사하여 붙여넣습니다.
참고
다음 예제 정책은 S3 버킷에 액세스하고 데이터를 쓰며 CloudWatch 지표를 게시하는 데 필요한 권한을 지원합니다. 그러나 Amazon S3 데이터를 설정한 방식에 따라이 정책을 수정해야 할 수 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.
Amazon S3 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일해야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowS3ObjectWriteForExport", "Effect": "Allow", "Action": ["s3:PutObject"], "Resource": [ "arn:aws:s3:::
bucket
/*" ] }, { "Sid": "AllowS3KMSEncryptForExport", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey*", ], "Resource": [ "arn:aws:kms:region
:accountId
:key/keyId
" ] }, { "Sid": "AllowCloudWatchMetricsPublishingForTrainingJobs", "Action": "cloudwatch:PutMetricData", "Resource": "arn:aws:cloudwatch:region
:accountId
:namespace/aws/cleanroomsml/*", "Resource": "*", "Effect": "Allow" }, { "Sid": "AllowCloudWatchLogsPublishingForTrainingOrInferenceJobs", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents" ] } ] } -
각
자리 표시자
를 사용자의 정보로 바꿉니다.-
버킷
- S3 버킷의 Amazon 리소스 이름(ARN)입니다. Amazon 리소스 이름(ARN)은 Amazon S3에 있는 버킷의 속성 탭에서 찾을 수 있습니다. -
리전
– AWS 리전의 이름. 예:us-east-1
. -
accountId
- S3 버킷이 위치한 AWS 계정 ID입니다. -
keyId
- 데이터를 암호화하는 데 필요한 KMS 키입니다.
-
-
Next(다음)를 선택합니다.
-
검토 및 생성에서 정책 이름 및 설명을 입력하고 요약을 검토합니다.
-
정책 생성을 선택합니다.
에 대한 정책을 생성했습니다 AWS Clean Rooms.
-
액세스 관리에서 역할을 선택합니다.
역할을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. 사용자를 선택하여 장기 보안 인증을 생성할 수도 있습니다.
-
역할 생성을 선택합니다.
-
역할 생성 마법사의 신뢰할 수 있는 엔터티 유형에서 사용자 지정 신뢰 정책을 선택합니다.
-
다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
accountId
" }, "ArnLike": { "aws:SourceArn": "arn:aws:cleanrooms:region
:accountId
:membership/membershipID
" } } } ] }는 항상 사용자의
SourceAccount
입니다 AWS 계정. 특정 훈련 데이터 세트로SourceArn
을 제한할 수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 아직 모르기 때문에 와일드카드가 여기에 지정됩니다. -
Next(다음)를 선택합니다.
-
생성한 정책 이름 옆에 있는 확인란을 선택하고 다음을 선택합니다.
-
이름 지정, 생성의 경우 역할의 이름과 설명을 입력합니다.
참고
역할 이름은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된
passRole
권한의 패턴과 일치해야 합니다.-
검토: 신뢰할 수 있는 엔티티를 선택하고 필요한 경우 편집합니다.
-
권한 추가에서 권한을 검토하고 필요한 경우 편집합니다.
-
태그를 검토하고 필요한 경우 태그를 추가합니다.
-
역할 생성을 선택합니다.
-
에 대한 서비스 역할을 생성했습니다 AWS Clean Rooms.
서비스 역할을 생성하여 사용자 지정 ML 모델 제공
AWS Clean Rooms 는 서비스 역할을 사용하여 사용자 지정 ML 모델 알고리즘을 생성할 수 있는 사용자를 제어합니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. CreateRole
권한이 없는 경우 관리자에게 서비스 역할을 생성해 달라고 요청하세요.
이 역할을 사용하면 CreateConfiguredModelAlgorithm 작업을 사용할 수 있습니다.
멤버가 사용자 지정 ML 모델을 제공하도록 허용하는 서비스 역할을 생성하려면
-
관리자 계정으로 https://console.aws.amazon.com/iam/
의 IAM 콘솔에 로그인합니다. -
액세스 관리(Access management)에서 정책(Policies)을 선택합니다.
-
[Create policy]를 선택합니다.
-
정책 편집기에서 JSON 탭을 선택한 다음 다음 정책을 복사하여 붙여넣습니다.
참고
다음 예제 정책은 모델 알고리즘이 포함된 Docker 이미지를 검색하는 데 필요한 권한을 지원합니다. 그러나 Amazon S3 데이터를 설정한 방식에 따라이 정책을 수정해야 할 수 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.
Amazon S3 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일해야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowECRImageDownloadForTrainingAndInferenceJobs", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer" ], "Resource": "arn:aws:ecr:
region
:accountID
:repository/repoName
" } ] } -
각
자리 표시자
를 자신의 정보로 바꿉니다.-
리전
– AWS 리전의 이름. 예:us-east-1
. -
accountId
- S3 버킷이 위치한 AWS 계정 ID입니다. -
repoName
- 데이터가 포함된 리포지토리의 이름입니다.
-
-
Next(다음)를 선택합니다.
-
검토 및 생성에서 정책 이름 및 설명을 입력하고 요약을 검토합니다.
-
정책 생성을 선택합니다.
에 대한 정책을 생성했습니다 AWS Clean Rooms.
-
액세스 관리에서 역할을 선택합니다.
역할을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. 사용자를 선택하여 장기 보안 인증을 생성할 수도 있습니다.
-
역할 생성을 선택합니다.
-
역할 생성 마법사의 신뢰할 수 있는 엔터티 유형에서 사용자 지정 신뢰 정책을 선택합니다.
-
다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
SourceAccount
는 항상 사용자의 입니다 AWS 계정 .는 특정 훈련 데이터 세트로 제한될SourceArn
수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 아직 모르기 때문에 와일드카드가 여기에 지정됩니다. -
Next(다음)를 선택합니다.
-
생성한 정책 이름 옆에 있는 확인란을 선택하고 다음을 선택합니다.
-
이름 지정, 생성의 경우 역할의 이름과 설명을 입력합니다.
참고
역할 이름은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된
passRole
권한의 패턴과 일치해야 합니다.-
검토: 신뢰할 수 있는 엔티티를 선택하고 필요한 경우 편집합니다.
-
권한 추가에서 권한을 검토하고 필요한 경우 편집합니다.
-
태그를 검토하고 필요한 경우 태그를 추가합니다.
-
역할 생성을 선택합니다.
-
에 대한 서비스 역할을 생성했습니다 AWS Clean Rooms.
데이터 세트를 쿼리하는 서비스 역할 생성
AWS Clean Rooms 는 서비스 역할을 사용하여 사용자 지정 ML 모델링에 사용할 데이터세트를 쿼리할 수 있는 사용자를 제어합니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. CreateRole
권한이 없는 경우 관리자에게 서비스 역할을 생성해 달라고 요청하세요.
이 역할을 사용하면 CreateMLInputChannel 작업을 사용할 수 있습니다.
멤버가 데이터 세트를 쿼리할 수 있도록 서비스 역할을 생성하려면
-
관리자 계정으로 https://console.aws.amazon.com/iam/
의 IAM 콘솔에 로그인합니다. -
액세스 관리(Access management)에서 정책(Policies)을 선택합니다.
-
[Create policy]를 선택합니다.
-
정책 편집기에서 JSON 탭을 선택한 다음 다음 정책을 복사하여 붙여넣습니다.
참고
다음 예제 정책은 사용자 지정 ML 모델링에 사용할 데이터 세트를 쿼리하는 데 필요한 권한을 지원합니다. 그러나 Amazon S3 데이터를 설정한 방식에 따라이 정책을 수정해야 할 수 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.
Amazon S3 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일해야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCleanRoomsStartQueryForMLInputChannel", "Effect": "Allow", "Action": "cleanrooms:StartProtectedQuery", "Resource": "*" }, { "Sid": "AllowCleanRoomsGetSchemaForMLInputChannel", "Effect": "Allow", "Action": "cleanrooms:GetSchema", "Resource": "*" }, { "Sid": "AllowCleanRoomsGetAndUpdateQueryForMLInputChannel", "Effect": "Allow", "Action": [ "cleanrooms:GetProtectedQuery", "cleanrooms:UpdateProtectedQuery" ], "Resource": [ "arn:aws:cleanrooms:
region
:queryRunnerAccountId
:membership/queryRunnerMembershipId
" ] } ] } -
각
자리 표시자
를 자신의 정보로 바꿉니다.-
리전
– AWS 리전의 이름. 예:us-east-1
. -
queryRunnerAccountId
- 쿼리를 실행할 계정의 AWS 계정 ID입니다. -
queryRunnerMembershipId
- 쿼리할 수 있는 멤버의 멤버십 ID입니다. 멤버십 ID는 공동 작업의 세부 정보 탭에서 찾을 수 있습니다. 이렇게 하면 AWS Clean Rooms 가이 구성원이이 공동 작업에서 분석을 실행할 때만 역할을 수임할 수 있습니다.
-
-
Next(다음)를 선택합니다.
-
검토 및 생성에서 정책 이름 및 설명을 입력하고 요약을 검토합니다.
-
정책 생성을 선택합니다.
에 대한 정책을 생성했습니다 AWS Clean Rooms.
-
액세스 관리에서 역할을 선택합니다.
역할을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. 사용자를 선택하여 장기 보안 인증을 생성할 수도 있습니다.
-
역할 생성을 선택합니다.
-
역할 생성 마법사의 신뢰할 수 있는 엔터티 유형에서 사용자 지정 신뢰 정책을 선택합니다.
-
다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
SourceAccount
는 항상 사용자의 입니다 AWS 계정 .는 특정 훈련 데이터 세트로 제한될SourceArn
수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 아직 모르기 때문에 와일드카드가 여기에 지정됩니다. -
Next(다음)를 선택합니다.
-
생성한 정책 이름 옆에 있는 확인란을 선택하고 다음을 선택합니다.
-
이름 지정, 생성의 경우 역할의 이름과 설명을 입력합니다.
참고
역할 이름은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된
passRole
권한의 패턴과 일치해야 합니다.-
검토: 신뢰할 수 있는 엔티티를 선택하고 필요한 경우 편집합니다.
-
권한 추가에서 권한을 검토하고 필요한 경우 편집합니다.
-
태그를 검토하고 필요한 경우 태그를 추가합니다.
-
역할 생성을 선택합니다.
-
에 대한 서비스 역할을 생성했습니다 AWS Clean Rooms.
서비스 역할을 생성하여 구성된 테이블 연결 생성
AWS Clean Rooms 는 서비스 역할을 사용하여 구성된 테이블 연결을 생성할 수 있는 사용자를 제어합니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. CreateRole
권한이 없는 경우 관리자에게 서비스 역할을 생성해 달라고 요청하세요.
이 역할을 사용하면 CreateConfiguredTableAssociation 작업을 사용할 수 있습니다.
구성된 테이블 연결을 생성할 수 있도록 서비스 역할을 생성하려면
-
관리자 계정으로 https://console.aws.amazon.com/iam/
의 IAM 콘솔에 로그인합니다. -
액세스 관리(Access management)에서 정책(Policies)을 선택합니다.
-
[Create policy]를 선택합니다.
-
정책 편집기에서 JSON 탭을 선택한 다음 다음 정책을 복사하여 붙여넣습니다.
참고
다음 예제 정책은 구성된 테이블 연결 생성을 지원합니다. 그러나 Amazon S3 데이터를 설정한 방식에 따라이 정책을 수정해야 할 수 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.
Amazon S3 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일해야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "
KMS key used to encrypt the S3 data
", "Effect": "Allow" }, { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "S3 bucket of Glue table
", "Effect": "Allow" }, { "Action": "s3:GetObject", "Resource": "S3 bucket of Glue table
/*", "Effect": "Allow" }, { "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartitions", "glue:GetPartition", "glue:BatchGetPartition" ], "Resource": [ "arn:aws:glue:region
:accountID
:catalog", "arn:aws:glue:region
:accountID
:database/Glue database name
", "arn:aws:glue:region
:accountID
:table/Glue database name
/Glue table name
" ], "Effect": "Allow" }, { "Action": [ "glue:GetSchema", "glue:GetSchemaVersion" ], "Resource": "*", "Effect": "Allow" } ] } -
각
자리 표시자
를 사용자의 정보로 바꿉니다.-
Amazon S3 데이터를 암호화하는 데 사용된 KMS 키
- Amazon S3 데이터를 암호화하는 데 사용된 KMS 키입니다. 데이터를 복호화하려면 데이터를 암호화하는 데 사용된 것과 동일한 KMS 키를 제공해야 합니다. -
AWS Glue 테이블의 Amazon S3 버킷
- 데이터가 포함된 AWS Glue 테이블이 포함된 Amazon S3 버킷의 이름입니다. -
리전
– AWS 리전의 이름. 예:us-east-1
. -
accountId
- 데이터를 소유한 계정의 AWS 계정 ID입니다. -
AWS Glue 데이터베이스 이름
- 데이터가 포함된 AWS Glue 데이터베이스의 이름입니다. -
AWS Glue 테이블 이름
- 데이터가 포함된 AWS Glue 테이블의 이름입니다.
-
-
Next(다음)를 선택합니다.
-
검토 및 생성에서 정책 이름 및 설명을 입력하고 요약을 검토합니다.
-
정책 생성을 선택합니다.
에 대한 정책을 생성했습니다 AWS Clean Rooms.
-
액세스 관리에서 역할을 선택합니다.
역할을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. 사용자를 선택하여 장기 보안 인증을 생성할 수도 있습니다.
-
역할 생성을 선택합니다.
-
역할 생성 마법사의 신뢰할 수 있는 엔터티 유형에서 사용자 지정 신뢰 정책을 선택합니다.
-
다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", } ] }
SourceAccount
는 항상 사용자의 입니다 AWS 계정 .는 특정 훈련 데이터 세트로 제한될SourceArn
수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 아직 모르기 때문에 와일드카드가 여기에 지정됩니다. -
Next(다음)를 선택합니다.
-
생성한 정책 이름 옆에 있는 확인란을 선택하고 다음을 선택합니다.
-
이름 지정, 생성의 경우 역할의 이름과 설명을 입력합니다.
참고
역할 이름은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된
passRole
권한의 패턴과 일치해야 합니다.-
검토: 신뢰할 수 있는 엔티티를 선택하고 필요한 경우 편집합니다.
-
권한 추가에서 권한을 검토하고 필요한 경우 편집합니다.
-
태그를 검토하고 필요한 경우 태그를 추가합니다.
-
역할 생성을 선택합니다.
-
에 대한 서비스 역할을 생성했습니다 AWS Clean Rooms.