AWS 에 대한 관리형 정책 AWS Clean Rooms - AWS Clean Rooms

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 에 대한 관리형 정책 AWS Clean Rooms

AWS 관리형 정책은 에서 생성 및 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.

AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한 권한을 부여하지 않을 수 있다는 점에 유의하세요. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.

AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 AWS 권한을 AWS 업데이트하면 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 미칩니다. AWS 는 새 AWS 서비스 가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 높습니다.

자세한 내용은 IAM 사용 설명서AWS 관리형 정책을 참조하세요.

AWS 관리형 정책: AWSCleanRoomsReadOnlyAccess

IAM 보안 주체AWSCleanRoomsReadOnlyAccess에 연결할 수 있습니다.

이 정책은 AWSCleanRoomsReadOnlyAccess 공동 작업의 리소스 및 메타데이터에 대해 읽기 전용 액세스 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • CleanRoomsRead— 보안 주체가 서비스에 대한 읽기 전용 액세스를 허용합니다.

  • ConsoleDisplayTables - 보안 주체가 콘솔의 기본 AWS Glue 테이블에 대한 데이터를 표시하는 데 필요한 AWS Glue 메타데이터에 대한 읽기 전용 액세스를 허용합니다.

  • ConsoleLogSummaryQueryLogs— 보안 주체가 쿼리 로그를 볼 수 있도록 허용합니다.

  • ConsoleLogSummaryObtainLogs— 보안 주체가 로그 결과를 검색할 수 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsRead", "Effect": "Allow", "Action": [ "cleanrooms:BatchGet*", "cleanrooms:Get*", "cleanrooms:List*" ], "Resource": "*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "ConsoleLogSummaryQueryLogs", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*" }, { "Sid": "ConsoleLogSummaryObtainLogs", "Effect": "Allow", "Action": [ "logs:GetQueryResults" ], "Resource": "*" } ] }

AWS 관리형 정책: AWSCleanRoomsFullAccess

IAM 보안 주체AWSCleanRoomsFullAccess에 연결할 수 있습니다.

이 정책은 AWS Clean Rooms 공동 작업의 리소스 및 메타데이터에 대한 전체 액세스(읽기, 쓰기 및 업데이트)를 허용하는 관리 권한을 부여합니다. 이 정책에는 쿼리를 수행할 수 있는 액세스 권한이 포함됩니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • CleanRoomsAccess - 의 모든 리소스에 대한 모든 작업에 대한 전체 액세스 권한을 부여합니다 AWS Clean Rooms.

  • PassServiceRole - 서비스 역할을 “이 있는 서비스(PassedToService 조건)에만 전달할 수 있는 액세스 권한을 부여합니다.cleanrooms이름에서 '.

  • ListRolesToPickServiceRole - 보안 주체가 를 사용할 때 서비스 역할을 선택할 수 있도록 모든 역할을 나열할 수 있습니다 AWS Clean Rooms.

  • GetRoleAndListRolePoliciesToInspectServiceRole - 보안 주체가 에서 서비스 역할 및 해당 정책을 볼 수 있도록 허용합니다IAM.

  • ListPoliciesToInspectServiceRolePolicy - 보안 주체가 에서 서비스 역할 및 해당 정책을 볼 수 있도록 허용합니다IAM.

  • GetPolicyToInspectServiceRolePolicy - 보안 주체가 에서 서비스 역할 및 해당 정책을 볼 수 있도록 허용합니다IAM.

  • ConsoleDisplayTables - 보안 주체가 콘솔의 기본 AWS Glue 테이블에 대한 데이터를 표시하는 데 필요한 AWS Glue 메타데이터에 대한 읽기 전용 액세스를 허용합니다.

  • ConsolePickQueryResultsBucketListAll— 보안 주체가 사용 가능한 모든 S3 버킷 목록에서 Amazon S3 버킷(쿼리 결과가 작성되는)을 선택할 수 있도록 허용합니다.

  • SetQueryResultsBucket— 보안 주체가 쿼리 결과를 기록되는 S3 버킷을 선택할 수 있습니다.

  • ConsoleDisplayQueryResults— 보안 주체가 S3 버킷에서 읽은 쿼리 결과를 고객에게 표시할 수 있습니다.

  • WriteQueryResults— 보안 주체가 쿼리 결과를 고객 소유의 S3 버킷에 쓸 수 있습니다.

  • EstablishLogDeliveries - 보안 주체가 고객의 Amazon CloudWatch Logs 로그 그룹에 쿼리 로그를 전달할 수 있도록 허용합니다.

  • SetupLogGroupsDescribe - 보안 주체가 Amazon CloudWatch Logs 로그 그룹 생성 프로세스를 사용할 수 있도록 허용합니다.

  • SetupLogGroupsCreate - 보안 주체가 Amazon CloudWatch Logs 로그 그룹을 생성할 수 있도록 허용합니다.

  • SetupLogGroupsResourcePolicy - 보안 주체가 Amazon CloudWatch Logs 로그 그룹에 리소스 정책을 설정할 수 있도록 허용합니다.

  • ConsoleLogSummaryQueryLogs— 보안 주체가 쿼리 로그를 볼 수 있도록 허용합니다.

  • ConsoleLogSummaryObtainLogs— 보안 주체가 로그 결과를 검색할 수 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsAccess", "Effect": "Allow", "Action": [ "cleanrooms:*" ], "Resource": "*" }, { "Sid": "PassServiceRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*", "Condition": { "StringEquals": { "iam:PassedToService": "cleanrooms.amazonaws.com" } } }, { "Sid": "ListRolesToPickServiceRole", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GetRoleAndListRolePoliciesToInspectServiceRole", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*" }, { "Sid": "ListPoliciesToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "GetPolicyToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:GetPolicy", "iam:GetPolicyVersion" ], "Resource": "arn:aws:iam::*:policy/*cleanrooms*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "ConsolePickQueryResultsBucketListAll", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "SetQueryResultsBucket", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucketVersions" ], "Resource": "arn:aws:s3:::cleanrooms-queryresults*" }, { "Sid": "WriteQueryResults", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:PutObject" ], "Resource": "arn:aws:s3:::cleanrooms-queryresults*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "ConsoleDisplayQueryResults", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::cleanrooms-queryresults*" }, { "Sid": "EstablishLogDeliveries", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsDescribe", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsCreate", "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsResourcePolicy", "Effect": "Allow", "Action": [ "logs:DescribeResourcePolicies", "logs:PutResourcePolicy" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "ConsoleLogSummaryQueryLogs", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*" }, { "Sid": "ConsoleLogSummaryObtainLogs", "Effect": "Allow", "Action": [ "logs:GetQueryResults" ], "Resource": "*" } ] }

AWS 관리형 정책: AWSCleanRoomsFullAccessNoQuerying

AWSCleanRoomsFullAccessNoQuerying 에 연결할 수 있습니다.IAM principals.

이 정책은 AWS Clean Rooms 공동 작업의 리소스 및 메타데이터에 대한 전체 액세스(읽기, 쓰기 및 업데이트)를 허용하는 관리 권한을 부여합니다. 이 정책은 쿼리를 수행할 수 있는 액세스를 제외합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • CleanRoomsAccess - 공동 작업에서 쿼리하는 경우를 AWS Clean Rooms제외하고 의 모든 리소스에 대한 모든 작업에 대한 전체 액세스 권한을 부여합니다.

  • CleanRoomsNoQuerying— 쿼리를 방지하기 위해 StartProtectedQueryUpdateProtectedQuery를 명시적으로 거부합니다.

  • PassServiceRole - 서비스 역할을 “이 있는 서비스(PassedToService 조건)에만 전달할 수 있는 액세스 권한을 부여합니다.cleanrooms이름에서 '.

  • ListRolesToPickServiceRole - 보안 주체가 를 사용할 때 서비스 역할을 선택할 수 있도록 모든 역할을 나열할 수 있습니다 AWS Clean Rooms.

  • GetRoleAndListRolePoliciesToInspectServiceRole - 보안 주체가 에서 서비스 역할 및 해당 정책을 볼 수 있도록 허용합니다IAM.

  • ListPoliciesToInspectServiceRolePolicy - 보안 주체가 에서 서비스 역할 및 해당 정책을 볼 수 있도록 허용합니다IAM.

  • GetPolicyToInspectServiceRolePolicy - 보안 주체가 에서 서비스 역할 및 해당 정책을 볼 수 있도록 허용합니다IAM.

  • ConsoleDisplayTables - 보안 주체가 콘솔의 기본 AWS Glue 테이블에 대한 데이터를 표시하는 데 필요한 AWS Glue 메타데이터에 대한 읽기 전용 액세스를 허용합니다.

  • EstablishLogDeliveries - 보안 주체가 고객의 Amazon CloudWatch Logs 로그 그룹에 쿼리 로그를 전달할 수 있도록 허용합니다.

  • SetupLogGroupsDescribe - 보안 주체가 Amazon CloudWatch Logs 로그 그룹 생성 프로세스를 사용할 수 있도록 허용합니다.

  • SetupLogGroupsCreate - 보안 주체가 Amazon CloudWatch Logs 로그 그룹을 생성할 수 있도록 허용합니다.

  • SetupLogGroupsResourcePolicy - 보안 주체가 Amazon CloudWatch Logs 로그 그룹에 리소스 정책을 설정할 수 있도록 허용합니다.

  • ConsoleLogSummaryQueryLogs— 보안 주체가 쿼리 로그를 볼 수 있도록 허용합니다.

  • ConsoleLogSummaryObtainLogs— 보안 주체가 로그 결과를 검색할 수 있습니다.

  • cleanrooms - 서비스 내에서 AWS Clean Rooms 공동 작업, 분석 템플릿, 구성된 테이블, 멤버십 및 관련 리소스를 관리합니다. 이러한 리소스에 대한 정보의 생성, 업데이트, 삭제, 나열 및 검색과 같은 다양한 작업을 수행합니다.

  • iam - 이름이 “cleanrooms”인 서비스 역할을 AWS Clean Rooms 서비스에 전달합니다. 역할, 정책을 나열하고 서비스와 관련된 AWS Clean Rooms 서비스 역할 및 정책을 검사합니다.

  • glue - 에서 데이터베이스, 테이블, 파티션 및 스키마에 대한 정보를 검색합니다 AWS Glue. 이는 AWS Clean Rooms 서비스가 기본 데이터 소스를 표시하고 상호 작용하는 데 필요합니다.

  • logs - 로그에 대한 로그 전송, CloudWatch 로그 그룹 및 리소스 정책을 관리합니다. AWS Clean Rooms 서비스와 관련된 로그를 쿼리하고 검색합니다. 이러한 권한은 서비스 내에서 모니터링, 감사 및 문제 해결을 위해 필요합니다.

또한 이 정책은 사용자가 제어된 메커니즘cleanrooms:StartProtectedQuerycleanrooms:UpdateProtectedQuery을 통해 AWS Clean Rooms 수행해야 하는 보호된 쿼리를 직접 실행하거나 업데이트하지 못하도록 및 작업을 명시적으로 거부합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsAccess", "Effect": "Allow", "Action": [ "cleanrooms:BatchGetCollaborationAnalysisTemplate", "cleanrooms:BatchGetSchema", "cleanrooms:BatchGetSchemaAnalysisRule", "cleanrooms:CreateAnalysisTemplate", "cleanrooms:CreateCollaboration", "cleanrooms:CreateConfiguredTable", "cleanrooms:CreateConfiguredTableAnalysisRule", "cleanrooms:CreateConfiguredTableAssociation", "cleanrooms:CreateMembership", "cleanrooms:DeleteAnalysisTemplate", "cleanrooms:DeleteCollaboration", "cleanrooms:DeleteConfiguredTable", "cleanrooms:DeleteConfiguredTableAnalysisRule", "cleanrooms:DeleteConfiguredTableAssociation", "cleanrooms:DeleteMember", "cleanrooms:DeleteMembership", "cleanrooms:GetAnalysisTemplate", "cleanrooms:GetCollaboration", "cleanrooms:GetCollaborationAnalysisTemplate", "cleanrooms:GetConfiguredTable", "cleanrooms:GetConfiguredTableAnalysisRule", "cleanrooms:GetConfiguredTableAssociation", "cleanrooms:GetMembership", "cleanrooms:GetProtectedQuery", "cleanrooms:GetSchema", "cleanrooms:GetSchemaAnalysisRule", "cleanrooms:ListAnalysisTemplates", "cleanrooms:ListCollaborationAnalysisTemplates", "cleanrooms:ListCollaborations", "cleanrooms:ListConfiguredTableAssociations", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMembers", "cleanrooms:ListMemberships", "cleanrooms:ListProtectedQueries", "cleanrooms:ListSchemas", "cleanrooms:UpdateAnalysisTemplate", "cleanrooms:UpdateCollaboration", "cleanrooms:UpdateConfiguredTable", "cleanrooms:UpdateConfiguredTableAnalysisRule", "cleanrooms:UpdateConfiguredTableAssociation", "cleanrooms:UpdateMembership", "cleanrooms:ListTagsForResource", "cleanrooms:UntagResource", "cleanrooms:TagResource" ], "Resource": "*" }, { "Sid": "CleanRoomsNoQuerying", "Effect": "Deny", "Action": [ "cleanrooms:StartProtectedQuery", "cleanrooms:UpdateProtectedQuery" ], "Resource": "*" }, { "Sid": "PassServiceRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*", "Condition": { "StringEquals": { "iam:PassedToService": "cleanrooms.amazonaws.com" } } }, { "Sid": "ListRolesToPickServiceRole", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GetRoleAndListRolePoliciesToInspectServiceRole", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*" }, { "Sid": "ListPoliciesToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "GetPolicyToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:GetPolicy", "iam:GetPolicyVersion" ], "Resource": "arn:aws:iam::*:policy/*cleanrooms*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "EstablishLogDeliveries", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsDescribe", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsCreate", "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsResourcePolicy", "Effect": "Allow", "Action": [ "logs:DescribeResourcePolicies", "logs:PutResourcePolicy" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "ConsoleLogSummaryQueryLogs", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*" }, { "Sid": "ConsoleLogSummaryObtainLogs", "Effect": "Allow", "Action": [ "logs:GetQueryResults" ], "Resource": "*" } ] }

AWS 관리형 정책: AWSCleanRoomsMLReadOnlyAccess

IAM 보안 주체AWSCleanRoomsMLReadOnlyAccess에 연결할 수 있습니다.

이 정책은 AWSCleanRoomsMLReadOnlyAccess 공동 작업의 리소스 및 메타데이터에 대해 읽기 전용 액세스 권한을 부여합니다.

이 정책에는 다음 권한이 포함되어 있습니다.

  • CleanRoomsConsoleNavigation - AWS Clean Rooms 콘솔의 화면을 볼 수 있는 액세스 권한을 부여합니다.

  • CleanRoomsMLRead – 보안 주체가 Clean Rooms ML 서비스에 대한 읽기 전용 액세스를 허용합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsConsoleNavigation", "Effect": "Allow", "Action": [ "cleanrooms:GetCollaboration", "cleanrooms:GetConfiguredAudienceModelAssociation", "cleanrooms:GetMembership", "cleanrooms:ListAnalysisTemplates", "cleanrooms:ListCollaborationAnalysisTemplates", "cleanrooms:ListCollaborationConfiguredAudienceModelAssociations", "cleanrooms:ListCollaborations", "cleanrooms:ListConfiguredTableAssociations", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMembers", "cleanrooms:ListMemberships", "cleanrooms:ListProtectedQueries", "cleanrooms:ListSchemas", "cleanrooms:ListTagsForResource" ], "Resource": "*" }, { "Sid": "CleanRoomsMLRead", "Effect": "Allow", "Action": [ "cleanrooms-ml:Get*", "cleanrooms-ml:List*" ], "Resource": "*" } ] }

AWS 관리형 정책: AWSCleanRoomsMLFullAccess

IAM 보안 주체AWSCleanRoomsMLFullAcces에 연결할 수 있습니다. 이 정책은 Clean Rooms ML에 필요한 리소스 및 메타데이터에 대한 전체 액세스(읽기, 쓰기 및 업데이트)를 허용하는 관리 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • CleanRoomsMLFullAccess – 모든 Clean Rooms ML 작업에 대한 액세스 권한을 부여합니다.

  • PassServiceRole - 서비스 역할을 “이 있는 서비스(PassedToService 조건)에만 전달할 수 있는 액세스 권한을 부여합니다.cleanrooms-ml이름에 '.

  • CleanRoomsConsoleNavigation - AWS Clean Rooms 콘솔의 화면을 볼 수 있는 액세스 권한을 부여합니다.

  • CollaborationMembershipCheck - 공동 작업 내에서 대상 생성(유사 세그먼트) 작업을 시작하면 Clean Rooms ML 서비스가 공동 작업이 유효한지, 호출자가 활성 멤버인지, 구성된 대상 모델 소유자가 활성 멤버인지 ListMembers 확인합니다. 이 권한은 항상 필요합니다. 콘솔 탐색SID은 콘솔 사용자에게만 필요합니다.

  • AssociateModels - 보안 주체가 Clean Rooms ML 모델을 공동 작업과 연결할 수 있도록 허용합니다.

  • TagAssociations— 보안 주체가 유사 모델과 공동 작업 간의 연관성에 태그를 추가할 수 있습니다.

  • ListRolesToPickServiceRole - 보안 주체가 를 사용할 때 서비스 역할을 선택할 수 있도록 모든 역할을 나열할 수 있습니다 AWS Clean Rooms.

  • GetRoleAndListRolePoliciesToInspectServiceRole - 보안 주체가 에서 서비스 역할 및 해당 정책을 볼 수 있도록 허용합니다IAM.

  • ListPoliciesToInspectServiceRolePolicy - 보안 주체가 에서 서비스 역할 및 해당 정책을 볼 수 있도록 허용합니다IAM.

  • GetPolicyToInspectServiceRolePolicy - 보안 주체가 에서 서비스 역할 및 해당 정책을 볼 수 있도록 허용합니다IAM.

  • ConsoleDisplayTables - 보안 주체가 콘솔의 기본 AWS Glue 테이블에 대한 데이터를 표시하는 데 필요한 AWS Glue 메타데이터에 대한 읽기 전용 액세스를 허용합니다.

  • ConsolePickOutputBucket— 보안 주체가 구성된 대상 모델 출력에 대한 Amazon S3 버킷을 선택할 수 있습니다.

  • ConsolePickS3Location— 보안 주체가 구성된 대상 모델 출력에 대한 위치를 버킷 내에서 선택할 수 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsMLFullAccess", "Effect": "Allow", "Action": [ "cleanrooms-ml:*" ], "Resource": "*" }, { "Sid": "PassServiceRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/cleanrooms-ml*" ], "Condition": { "StringEquals": { "iam:PassedToService": "cleanrooms-ml.amazonaws.com" } } }, { "Sid": "CleanRoomsConsoleNavigation", "Effect": "Allow", "Action": [ "cleanrooms:GetCollaboration", "cleanrooms:GetConfiguredAudienceModelAssociation", "cleanrooms:GetMembership", "cleanrooms:ListAnalysisTemplates", "cleanrooms:ListCollaborationAnalysisTemplates", "cleanrooms:ListCollaborationConfiguredAudienceModelAssociations", "cleanrooms:ListCollaborations", "cleanrooms:ListConfiguredTableAssociations", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMembers", "cleanrooms:ListMemberships", "cleanrooms:ListProtectedQueries", "cleanrooms:ListSchemas", "cleanrooms:ListTagsForResource" ], "Resource": "*" }, { "Sid": "CollaborationMembershipCheck", "Effect": "Allow", "Action": [ "cleanrooms:ListMembers" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": ["cleanrooms-ml.amazonaws.com"] } } }, { "Sid": "AssociateModels", "Effect": "Allow", "Action": [ "cleanrooms:CreateConfiguredAudienceModelAssociation" ], "Resource": "*" }, { "Sid": "TagAssociations", "Effect": "Allow", "Action": [ "cleanrooms:TagResource" ], "Resource": "arn:aws:cleanrooms:*:*:membership/*/configuredaudiencemodelassociation/*" }, { "Sid": "ListRolesToPickServiceRole", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GetRoleAndListRolePoliciesToInspectServiceRole", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:role/service-role/cleanrooms-ml*", "arn:aws:iam::*:role/role/cleanrooms-ml*" ] }, { "Sid": "ListPoliciesToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "GetPolicyToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:GetPolicy", "iam:GetPolicyVersion" ], "Resource": "arn:aws:iam::*:policy/*cleanroomsml*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "ConsolePickOutputBucket", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "ConsolePickS3Location", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*cleanrooms-ml*" } ] }

AWS Clean RoomsAWS 관리형 정책에 대한 업데이트

이 서비스가 이러한 변경 사항을 추적하기 시작한 AWS Clean Rooms 이후 에 대한 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 AWS Clean Rooms 문서 기록 페이지에서 RSS 피드를 구독하세요.

변경 사항 설명 날짜
AWSCleanRoomsFullAccessNoQuerying - 기존 정책에 대한 업데이트 추가됨 cleanrooms:BatchGetSchemaAnalysisRule 아래로 변경합니다.CleanRoomsAccess. 2024년 5월 13일
AWSCleanRoomsFullAccess - 기존 정책에 대한 업데이트 에서 문 ID 업데이트 AWSCleanRoomsFullAccess from ConsolePickQueryResultsBucket 아래로 변경합니다.SetQueryResultsBucket 콘솔을 사용하거나 사용하지 않고 쿼리 결과 버킷을 설정하는 데 권한이 필요하기 때문에 권한을 더 잘 나타내려면 이 정책에서 를 참조하세요. 2024년 3월 21일

AWSCleanRoomsMLReadOnlyAccess - 새 정책

AWSCleanRoomsMLFullAccess - 새 정책

추가됨 AWSCleanRoomsMLReadOnlyAccess 그리고 AWSCleanRoomsMLFullAccess AWS Clean Rooms ML을 지원합니다.

2023년 11월 29일
AWSCleanRoomsFullAccessNoQuerying - 기존 정책에 대한 업데이트 추가됨 cleanrooms:CreateAnalysisTemplate, cleanrooms:GetAnalysisTemplate, cleanrooms:UpdateAnalysisTemplate, cleanrooms:DeleteAnalysisTemplate, cleanrooms:ListAnalysisTemplates, cleanrooms:GetCollaborationAnalysisTemplate, cleanrooms:BatchGetCollaborationAnalysisTemplate, 및 cleanrooms:ListCollaborationAnalysisTemplates 아래로 변경합니다.CleanRoomsAccess 새 분석 템플릿 기능을 활성화합니다. 2023년 7월 31일
AWSCleanRoomsFullAccessNoQuerying - 기존 정책에 대한 업데이트 추가됨 cleanrooms:ListTagsForResource, cleanrooms:UntagResource, 및 cleanrooms:TagResource 아래로 변경합니다.CleanRoomsAccess 리소스 태깅을 활성화합니다. 2023년 3월 21일

AWS Clean Rooms 변경 사항 추적 시작

AWS Clean Rooms 는 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다.

2023년 1월 12일