AWS 에 대한 관리형 정책 AWS Clean Rooms - AWS Clean Rooms

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 에 대한 관리형 정책 AWS Clean Rooms

AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.

AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.

AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 AWS 관리형 정책에 정의된 권한을 AWS 업데이트하면 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 미칩니다. AWS 는 새 AWS 서비스 가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 높습니다.

자세한 내용은 IAM 사용 설명서AWS 관리형 정책을 참조하세요.

AWS 관리형 정책: AWSCleanRoomsReadOnlyAccess

AWSCleanRoomsReadOnlyAccess를 IAM 보안 주체에 연결할 수 있습니다.

이 정책은 AWSCleanRoomsReadOnlyAccess 공동 작업의 리소스 및 메타데이터에 대해 읽기 전용 액세스 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • CleanRoomsRead— 보안 주체가 서비스에 대한 읽기 전용 액세스를 허용합니다.

  • ConsoleDisplayTables - 보안 주체가 콘솔의 기본 AWS Glue 테이블에 대한 데이터를 표시하는 데 필요한 AWS Glue 메타데이터에 대한 읽기 전용 액세스를 허용합니다.

  • ConsoleLogSummaryQueryLogs— 보안 주체가 쿼리 로그를 볼 수 있도록 허용합니다.

  • ConsoleLogSummaryObtainLogs— 보안 주체가 로그 결과를 검색할 수 있습니다.

정책 세부 정보의 JSON 목록은 AWS 관리형 정책 참조 안내서AWSCleanRoomsReadOnlyAccess를 참조하세요.

AWS 관리형 정책: AWSCleanRoomsFullAccess

AWSCleanRoomsFullAccess를 IAM 보안 주체에 연결할 수 있습니다.

이 정책은 AWS Clean Rooms 공동 작업에서 리소스 및 메타데이터에 대한 전체 액세스(읽기, 쓰기 및 업데이트)를 허용하는 관리 권한을 부여합니다. 이 정책에는 쿼리를 수행할 수 있는 액세스 권한이 포함됩니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • CleanRoomsAccess -에 대한 모든 리소스의 모든 작업에 대한 전체 액세스 권한을 부여합니다 AWS Clean Rooms.

  • PassServiceRole— 이름에 "cleanrooms“이 있는 서비스(PassedToService조건)에만 서비스 역할을 전달할 수 있는 액세스 권한을 부여합니다.

  • ListRolesToPickServiceRole - 보안 주체가 사용 시 서비스 역할을 선택하기 위해 모든 역할을 나열할 수 있도록 허용합니다 AWS Clean Rooms.

  • GetRoleAndListRolePoliciesToInspectServiceRole— 보안 주체가 IAM의 서비스 역할과 해당 정책을 볼 수 있도록 허용합니다.

  • ListPoliciesToInspectServiceRolePolicy— 보안 주체가 IAM의 서비스 역할과 해당 정책을 볼 수 있도록 허용합니다.

  • GetPolicyToInspectServiceRolePolicy— 주체가 IAM의 서비스 역할과 해당 정책을 볼 수 있도록 허용합니다.

  • ConsoleDisplayTables - 보안 주체가 콘솔의 기본 AWS Glue 테이블에 대한 데이터를 표시하는 데 필요한 AWS Glue 메타데이터에 대한 읽기 전용 액세스를 허용합니다.

  • ConsolePickQueryResultsBucketListAll— 보안 주체가 사용 가능한 모든 S3 버킷 목록에서 Amazon S3 버킷(쿼리 결과가 작성되는)을 선택할 수 있도록 허용합니다.

  • SetQueryResultsBucket— 보안 주체가 쿼리 결과를 기록되는 S3 버킷을 선택할 수 있습니다.

  • ConsoleDisplayQueryResults— 보안 주체가 S3 버킷에서 읽은 쿼리 결과를 고객에게 표시할 수 있습니다.

  • WriteQueryResults— 보안 주체가 쿼리 결과를 고객 소유의 S3 버킷에 쓸 수 있습니다.

  • EstablishLogDeliveries— 보안 주체가 고객의 Amazon CloudWatch Logs 로그 그룹에 쿼리 로그를 전송할 수 있습니다.

  • SetupLogGroupsDescribe— 보안 주체가 Amazon CloudWatch Logs 로그 그룹 생성 프로세스를 사용할 수 있습니다.

  • SetupLogGroupsCreate – 보안 주체가 Amazon CloudWatch Logs 로그 그룹을 생성, 관리 및 설명할 수 있습니다.

  • SetupLogGroupsResourcePolicy— 보안 주체가 Amazon CloudWatch Logs 로그 그룹에 대한 리소스 정책을 설정할 수 있습니다.

  • ConsoleLogSummaryQueryLogs— 보안 주체가 쿼리 로그를 볼 수 있도록 허용합니다.

  • ConsoleLogSummaryObtainLogs— 보안 주체가 로그 결과를 검색할 수 있습니다.

정책 세부 정보의 JSON 목록은 AWS 관리형 정책 참조 안내서AWSCleanRoomsFullAccess를 참조하세요.

AWS 관리형 정책: AWSCleanRoomsFullAccessNoQuerying

AWSCleanRoomsFullAccessNoQuerying을 IAM principals에 첨부할 수 있습니다.

이 정책은 AWS Clean Rooms 공동 작업에서 리소스 및 메타데이터에 대한 전체 액세스(읽기, 쓰기 및 업데이트)를 허용하는 관리 권한을 부여합니다. 이 정책은 쿼리를 수행할 수 있는 액세스를 제외합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • CleanRoomsAccess - 공동 작업에서 쿼리를 AWS Clean Rooms제외하고에 대한 모든 리소스의 모든 작업에 대한 전체 액세스 권한을 부여합니다.

  • CleanRoomsNoQuerying— 쿼리를 방지하기 위해 StartProtectedQueryUpdateProtectedQuery를 명시적으로 거부합니다.

  • PassServiceRole— 이름에 "cleanrooms“이 있는 서비스(PassedToService조건)에만 서비스 역할을 전달할 수 있는 액세스 권한을 부여합니다.

  • ListRolesToPickServiceRole - 보안 주체가 사용 시 서비스 역할을 선택하기 위해 모든 역할을 나열할 수 있도록 허용합니다 AWS Clean Rooms.

  • GetRoleAndListRolePoliciesToInspectServiceRole— 보안 주체가 IAM의 서비스 역할과 해당 정책을 볼 수 있도록 허용합니다.

  • ListPoliciesToInspectServiceRolePolicy— 보안 주체가 IAM의 서비스 역할과 해당 정책을 볼 수 있도록 허용합니다.

  • GetPolicyToInspectServiceRolePolicy— 주체가 IAM의 서비스 역할과 해당 정책을 볼 수 있도록 허용합니다.

  • ConsoleDisplayTables - 보안 주체가 콘솔의 기본 AWS Glue 테이블에 대한 데이터를 표시하는 데 필요한 AWS Glue 메타데이터에 대한 읽기 전용 액세스를 허용합니다.

  • EstablishLogDeliveries— 보안 주체가 고객의 Amazon CloudWatch Logs 로그 그룹에 쿼리 로그를 전송할 수 있습니다.

  • SetupLogGroupsDescribe— 보안 주체가 Amazon CloudWatch Logs 로그 그룹 생성 프로세스를 사용할 수 있습니다.

  • SetupLogGroupsCreate – 보안 주체가 Amazon CloudWatch Logs 로그 그룹을 생성, 관리 및 설명할 수 있습니다.

  • SetupLogGroupsResourcePolicy— 보안 주체가 Amazon CloudWatch Logs 로그 그룹에 대한 리소스 정책을 설정할 수 있습니다.

  • ConsoleLogSummaryQueryLogs— 보안 주체가 쿼리 로그를 볼 수 있도록 허용합니다.

  • ConsoleLogSummaryObtainLogs— 보안 주체가 로그 결과를 검색할 수 있습니다.

  • cleanrooms — AWS Clean Rooms 서비스 내에서 공동 작업, 분석 템플릿, 구성된 테이블, 멤버십 및 관련 리소스를 관리합니다. 이러한 리소스에 대한 정보를 생성, 업데이트, 삭제, 나열 및 검색하는 등의 다양한 작업을 수행합니다.

  • iam - 이름이 "cleanrooms"인 서비스 역할을 AWS Clean Rooms 서비스에 전달합니다. 역할, 정책을 나열하고 서비스와 관련된 AWS Clean Rooms 서비스 역할 및 정책을 검사합니다.

  • glue - 데이터베이스, 테이블, 파티션 및 스키마에 대한 정보를 검색합니다 AWS Glue. 이는 AWS Clean Rooms 서비스가 기본 데이터 소스를 표시하고 상호 작용하는 데 필요합니다.

  • logs — CloudWatch Logs에 대한 로그 전송, 로그 그룹 및 리소스 정책을 관리합니다. AWS Clean Rooms 서비스와 관련된 로그를 쿼리하고 검색합니다. 이러한 권한은 서비스 내에서 모니터링, 감사 및 문제 해결을 위해 필요합니다.

이 정책은 또한 사용자가 보호된 쿼리를 직접 실행하거나 업데이트하지 못하도록 cleanrooms:StartProtectedQuerycleanrooms:UpdateProtectedQuery 동작을 명시적으로 거부합니다. 이 동작은 AWS Clean Rooms 제어 메커니즘을 통해 수행해야 합니다.

정책 세부 정보의 JSON 목록은 AWS 관리형 정책 참조 안내서AWSCleanRoomsFullAccessNoQuerying을 참조하세요.

AWS 관리형 정책: AWSCleanRoomsMLReadOnlyAccess

AWSCleanRoomsMLReadOnlyAccess를 IAM 보안 주체에 연결할 수 있습니다.

이 정책은 AWSCleanRoomsMLReadOnlyAccess 공동 작업의 리소스 및 메타데이터에 대해 읽기 전용 액세스 권한을 부여합니다.

이 정책에는 다음 권한이 포함되어 있습니다.

  • CleanRoomsConsoleNavigation - AWS Clean Rooms 콘솔의 화면을 볼 수 있는 액세스 권한을 부여합니다.

  • CleanRoomsMLRead — 보안 주체가 Clean Rooms ML 서비스에 대한 읽기 전용 액세스를 허용합니다.

  • PassCleanRoomsResources - 지정된 AWS Clean Rooms 리소스를 전달할 수 있는 액세스 권한을 부여합니다.

정책 세부 정보의 JSON 목록은 AWS 관리형 정책 참조 안내서AWSCleanRoomsMLReadOnlyAccess를 참조하세요.

AWS 관리형 정책: AWSCleanRoomsMLFullAccess

AWSCleanRoomsMLFullAcces를 IAM 보안 주체에 연결할 수 있습니다. 이 정책은 Clean Rooms ML에서 필요한 리소스와 메타데이터에 대한 전체 액세스(읽기, 쓰기, 업데이트)를 허용하는 관리 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • CleanRoomsMLFullAccess — 모든 Clean Rooms ML 작업에 대한 액세스 권한을 부여합니다.

  • PassServiceRole— 이름에 "cleanrooms-ml“이 있는 서비스(PassedToService조건)에만 서비스 역할을 전달할 수 있는 액세스 권한을 부여합니다.

  • CleanRoomsConsoleNavigation - AWS Clean Rooms 콘솔의 화면을 볼 수 있는 액세스 권한을 부여합니다.

  • CollaborationMembershipCheck - 공동 작업 내에서 대상 생성(유사 세그먼트) 작업을 시작하면 Clean Rooms ML 서비스가를 호출ListMembers하여 공동 작업이 유효한지, 호출자가 활성 멤버인지, 구성된 대상 모델 소유자가 활성 멤버인지 확인합니다. 이 권한은 항상 필요하며 콘솔 탐색 SID는 콘솔 사용자에게만 필요합니다.

  • PassCleanRoomsResources - 지정된 AWS Clean Rooms 리소스를 전달할 수 있는 액세스 권한을 부여합니다.

  • AssociateModels — 보안 주체가 Clean Rooms ML 모델을 공동 작업과 연결할 수 있습니다.

  • TagAssociations— 보안 주체가 유사 모델과 공동 작업 간의 연관성에 태그를 추가할 수 있습니다.

  • ListRolesToPickServiceRole - 보안 주체가 사용 시 서비스 역할을 선택하기 위해 모든 역할을 나열할 수 있도록 허용합니다 AWS Clean Rooms.

  • GetRoleAndListRolePoliciesToInspectServiceRole— 보안 주체가 IAM의 서비스 역할과 해당 정책을 볼 수 있도록 허용합니다.

  • ListPoliciesToInspectServiceRolePolicy— 보안 주체가 IAM의 서비스 역할과 해당 정책을 볼 수 있도록 허용합니다.

  • GetPolicyToInspectServiceRolePolicy— 주체가 IAM의 서비스 역할과 해당 정책을 볼 수 있도록 허용합니다.

  • ConsoleDisplayTables - 보안 주체가 콘솔의 기본 AWS Glue 테이블에 대한 데이터를 표시하는 데 필요한 AWS Glue 메타데이터에 대한 읽기 전용 액세스를 허용합니다.

  • ConsolePickOutputBucket— 보안 주체가 구성된 대상 모델 출력에 대한 Amazon S3 버킷을 선택할 수 있습니다.

  • ConsolePickS3Location— 보안 주체가 구성된 대상 모델 출력에 대한 위치를 버킷 내에서 선택할 수 있습니다.

  • ConsoleDescribeECRRepositories - 보안 주체가 Amazon ECR 리포지토리 및 이미지를 설명할 수 있도록 허용합니다.

정책 세부 정보의 JSON 목록은 AWS 관리형 정책 참조 안내서AWSCleanRoomsMLFullAccess를 참조하세요.

AWS Clean RoomsAWS 관리형 정책에 대한 업데이트

이 서비스가 이러한 변경 사항을 추적하기 시작한 AWS Clean Rooms 이후의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 AWS Clean Rooms 문서 기록 페이지에서 RSS 피드를 구독하세요.

변경 사항 설명 날짜

AWSCleanRoomsMLReadOnlyAccess - 기존 정책에 대한 업데이트

AWSCleanRoomsMLFullAccess - 기존 정책에 대한 업데이트

AWSCleanRoomsMLReadOnlyAccess에 PassCleanRoomsResources이(가) 추가되었습니다. AWSCleanRoomsMLFullAccess에 PassCleanRoomsResources 및 ConsoleDescribeECRRepositories 추가.

2025년 1월 10일
AWSCleanRoomsFullAccessNoQuerying - 기존 정책에 대한 업데이트 CleanRoomsAccess에 cleanrooms:BatchGetSchemaAnalysisRule이(가) 추가되었습니다. 2024년 5월 13일
AWSCleanRoomsFullAccess - 기존 정책에 대한 업데이트 콘솔을 사용하거나 사용하지 않고 쿼리 결과 버킷을 설정하는 데 권한이 필요하므로 권한을 더 잘 나타내기 위해 이 정책에서 AWSCleanRoomsFullAccess의 Statement ID를 ConsolePickQueryResultsBucket에서 SetQueryResultsBucket으로 업데이트했습니다. 2024년 3월 21일

AWSCleanRoomsMLReadOnlyAccess - 새 정책

AWSCleanRoomsMLFullAccess - 새 정책

AWSCleanRoomsMLReadOnlyAccess 및 AWSCleanRoomsMLFullAccess를 추가하여 AWS Clean Rooms ML을 지원합니다.

2023년 11월 29일
AWSCleanRoomsFullAccessNoQuerying - 기존 정책에 대한 업데이트 새로운 분석 템플릿 기능을 활성화하기 위해 cleanrooms:CreateAnalysisTemplate, cleanrooms:GetAnalysisTemplate, cleanrooms:UpdateAnalysisTemplate, cleanrooms:DeleteAnalysisTemplate, cleanrooms:ListAnalysisTemplates, cleanrooms:GetCollaborationAnalysisTemplate, cleanrooms:BatchGetCollaborationAnalysisTemplate, cleanrooms:ListCollaborationAnalysisTemplates를 CleanRoomsAccess에 추가했습니다. 2023년 7월 31일
AWSCleanRoomsFullAccessNoQuerying - 기존 정책에 대한 업데이트 리소스 태깅을 활성화하기 위해 cleanrooms:ListTagsForResource. cleanrooms:UntagResource 및 cleanrooms:TagResource를 CleanRoomsAccess에 추가했습니다. 2023년 3월 21일

AWS Clean Rooms 변경 사항 추적 시작

AWS Clean Rooms 는 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다.

2023년 1월 12일