As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

IAMcomportamentos para AWS Clean Rooms ML

Trabalhos entre contas

O Clean Rooms ML permite que determinados recursos criados por um Conta da AWS sejam acessados com segurança em sua conta por outro. Conta da AWS Quando um cliente em A chama Conta da AWS StartAudienceGenerationJob um ConfiguredAudienceModel recurso de propriedade de Conta da AWS B, o Clean Rooms ML cria dois ARNs para o trabalho. Um ARN em Conta da AWS A e outro em Conta da AWS B. Eles ARNs são idênticos, exceto por seus Conta da AWS.

O Clean Rooms ML cria duas ARNs para o trabalho, a fim de garantir que ambas as contas possam aplicar suas próprias IAM políticas aos trabalhos. Por exemplo, ambas as contas podem usar o controle de acesso baseado em tags e aplicar políticas de sua AWS organização. O trabalho processa dados de ambas as contas, para que elas possam excluir o trabalho e os dados associados. Nenhuma conta pode impedir que a outra exclua o trabalho.

Há apenas uma execução de trabalho e ambas as contas podem ver o trabalho quando chamam ListAudienceGenerationJobs. Ambas as contas podem ligar para GetDelete,, e Export APIs no trabalho usando o ARN com seu próprio Conta da AWS ID.

Nenhum deles Conta da AWS pode acessar o trabalho usando um ARN com o outro Conta da AWS ID.

O nome do trabalho deve ser exclusivo em uma Conta da AWS. O nome em Conta da AWS B é $accountA-$name. O nome escolhido por Conta da AWS A é prefixado com Conta da AWS A quando o trabalho é visualizado em B. Conta da AWS

Para que uma conta cruzada StartAudienceGenerationJob seja bem-sucedida, Conta da AWS B deve permitir essa ação no novo trabalho em Conta da AWS B e ConfiguredAudienceModel no Conta da AWS B usando uma política de recursos semelhante ao exemplo a seguir:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Clean-Rooms-<CAMA ID>",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "accountA" 
                ]
            },
            "Action": [
                "cleanrooms-ml:StartAudienceGenerationJob"
            ],
            "Resource": [
                "arn:aws:cleanrooms-ml:us-west-1:AccountB:configured-audience-model/id",
                "arn:aws:cleanrooms-ml:us-west-1:AccountB:audience-generation-job/*"
            ],
            // optional - always set by AWS Clean Rooms
"Condition":{"StringEquals":{"cleanrooms-ml:CollaborationId":"UUID"}}
        }
    ]
}

Se você usar o AWS Clean Rooms ML API para criar um modelo semelhante configurado com manageResourcePolicies definido como verdadeiro, AWS Clean Rooms criará essa política para você.

Além disso, a política de identidade do chamador em A precisa Conta da AWS de StartAudienceGenerationJob permissão ativadaarn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/*. Portanto, há três IAM recursos para açãoStartAudienceGenerationJob: o trabalho Conta da AWS A, o trabalho Conta da AWS Conta da AWS B e o ConfiguredAudienceModel B.

Marcação de trabalhos

Quando você define o parâmetro childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE de CreateConfiguredAudienceModel, todos os trabalhos de geração de segmentos de semelhanças em sua conta que são criados com base nesse modelo de semelhanças configurado têm como padrão as mesmas tags do modelo de semelhanças configurado. O modelo de semelhanças configurado é o pai e o trabalho de geração do segmento de semelhanças é o filho.

Se você estiver criando um trabalho em sua própria conta, as tags de solicitação do trabalho substituirão as tags pais. Os trabalhos criados por outras contas nunca criam tags em sua conta. Se você definir childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE e outra conta criar um trabalho, haverá duas cópias do trabalho. A cópia na sua conta tem as tags do recurso pai e a cópia na conta do remetente do trabalho tem as tags da solicitação.

Validar colaboradores

Ao conceder permissões a outros membros de uma AWS Clean Rooms colaboração, a política de recursos deve incluir a chave cleanrooms-ml:CollaborationId de condição. Isso garante que o collaborationId parâmetro seja incluído na StartAudienceGenerationJobsolicitação. Quando o collaborationId parâmetro é incluído na solicitação, o Clean Rooms ML valida que a colaboração existe, o remetente do trabalho é um membro ativo da colaboração e o proprietário do modelo semelhante configurado é um membro ativo da colaboração.

Quando AWS Clean Rooms gerencia sua política de recursos de modelo semelhante configurada (o manageResourcePolicies parâmetro está sendo TRUE CreateConfiguredAudienceModelAssociation solicitado), essa chave de condição será definida na política de recursos. Portanto, você deve especificar a collaborationId entrada StartAudienceGenerationJob.

Acesso entre contas

Só StartAudienceGenerationJob pode ser chamado em várias contas. Todos os outros Clean Rooms ML só APIs podem ser usados com recursos em sua própria conta. Isso garante que seus dados de treinamento, configuração de modelo de semelhanças e outras informações permaneçam privadas.

O Clean Rooms ML nunca revela o Amazon S3 ou AWS Glue localizações em todas as contas. O local dos dados de treinamento, o local de saída do modelo de semelhanças configurado e o local de seed do trabalho de geração de segmentos de semelhanças nunca são visíveis em todas as contas. A menos que o registro de consultas esteja ativado na colaboração, se os dados iniciais vêm de uma SQL consulta e da consulta em si não são visíveis nas contas. Se você usar Get em um trabalho de geração de público enviado por outra conta, o serviço não mostrará o local de seed.