As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurar funções de serviço para AWS Clean Rooms ML
As funções necessárias para realizar a modelagem semelhante são diferentes das necessárias para usar um modelo personalizado. As seções a seguir descrevem as funções necessárias para realizar cada tarefa.
Tópicos
Configurar funções de serviço para modelagem semelhante
Tópicos
Criar um perfil de serviço para ler dados de treinamento
AWS Clean Rooms usa uma função de serviço para ler dados de treinamento. Você pode criar esse perfil usando o console se você tiver as permissões necessárias do IAM. Se você não tiver permissões CreateRole
, peça ao administrador que crie o perfil de serviço.
Para criar um perfil de serviço para treinar um conjunto de dados
-
Faça login no console do IAM (https://console.aws.amazon.com/iam/
) com sua conta de administrador. -
Em Access management (Gerenciamento de acesso), escolha Policies (Políticas).
-
Escolha Create policy (Criar política).
-
No Editor de políticas, selecione a guia JSON e copie e cole a política a seguir.
nota
O exemplo de política a seguir suporta as permissões necessárias para ler AWS Glue metadados e seus dados correspondentes do Amazon S3. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do S3. Essa política não inclui uma chave do KMS para descriptografar dados.
Seus AWS Glue recursos e os recursos subjacentes do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartitions", "glue:GetPartition", "glue:BatchGetPartition", "glue:GetUserDefinedFunctions" ], "Resource": [ "arn:aws:glue:
region
:accountId
:database
/databases
", "arn:aws:glue:region
:accountId
:table
/databases
/tables
", "arn:aws:glue:region
:accountId
:catalog
", "arn:aws:glue:region
:accountId
:database
/default" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase" ], "Resource": [ "arn:aws:glue:region
:accountId
:database/default" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::bucket
" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId
" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders
/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId
" ] } } } ] }Se você precisar usar uma chave do KMS para descriptografar dados, adicione esta instrução do AWS KMS ao modelo anterior:
{ "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": [ "arn:aws:kms:
region
:accountId
:key/keyId
" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders
*" } } } ] } -
Substitua cada um
placeholder
por suas próprias informações:-
region
– O nome da Região da AWS. Por exemplo,us-east-1
. -
accountId
— O Conta da AWS ID no qual o bucket do S3 está localizado. -
database/databases
,table/databases/tables
,catalog
, edatabase/default
— A localização dos dados de treinamento que AWS Clean Rooms precisam ser acessados. -
bucket
— O nome de recurso da Amazon (ARN) do bucket S3. O nome do recurso da Amazon (ARN) pode ser encontrado na guia Propriedades do bucket no Amazon S3. -
bucketFolders
— O nome das pastas específicas no bucket do S3 que AWS Clean Rooms precisam ser acessadas.
-
-
Escolha Próximo.
-
Em Analisar e criar, insira um Nome da política e uma Descrição e analise o Resumo.
-
Escolha Criar política.
Você criou uma política para AWS Clean Rooms.
-
Em Gerenciamento de acesso, escolha Perfis.
Com Perfis, é possível criar credenciais de curto prazo, o que é recomendado para aumentar a segurança. Você também pode escolher Usuários para criar credenciais de longo prazo.
-
Selecione Criar perfil.
-
No assistente Criar perfil, para Tipo de entidade confiável, escolha Política de confiança personalizada.
-
Copie e cole a seguinte política de confiança personalizada no editor JSON.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["
accountId
"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region
:accountId
:training-dataset/*" } } } ] }SourceAccount
É sempre seu Conta da AWS. OSourceArn
pode ser limitado a um conjunto de dados de treinamento específico, mas somente após a criação desse conjunto de dados. Como você ainda não conhece o ARN do conjunto de dados de treinamento, o caractere curinga é especificado aqui.accountId
é o ID Conta da AWS que contém os dados de treinamento. -
Escolha Próximo e, em Adicionar permissões, insira o nome da política que você acabou de criar. (Você pode precisar recarregar a página.)
-
Marque a caixa de seleção ao lado do nome da política que você criou e escolha Próximo.
-
Para Nome, revisar e criar, insira um nome de perfil e uma descrição.
nota
O nome do perfil deve corresponder ao padrão nas
passRole
permissões concedidas ao membro que pode consultar e receber resultados e funções do membro.-
Revise Selecionar entidades confiáveis e edite, se necessário.
-
Revise as permissões em Adicionar permissões e edite, se necessário.
-
Revise as tags e adicione tags, se necessário.
-
Selecione Criar perfil.
-
Você criou a função de serviço para AWS Clean Rooms.
Criar um perfil de serviço para escrever um segmento de semelhanças
AWS Clean Rooms usa uma função de serviço para gravar segmentos semelhantes em um bucket. Você pode criar esse perfil usando o console se você tiver as permissões necessárias do IAM. Se você não tiver permissões CreateRole
, peça ao administrador que crie o perfil de serviço.
Para criar um perfil de serviço para escrever um segmento de semelhanças
-
Faça login no console do IAM (https://console.aws.amazon.com/iam/
) com sua conta de administrador. -
Em Access management (Gerenciamento de acesso), escolha Policies (Políticas).
-
Escolha Create policy (Criar política).
-
No Editor de políticas, selecione a guia JSON e copie e cole a política a seguir.
nota
O exemplo de política a seguir suporta as permissões necessárias para ler AWS Glue metadados e seus dados correspondentes do Amazon S3. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do Amazon S3. Essa política não inclui uma chave do KMS para descriptografar dados.
Seus AWS Glue recursos e os recursos subjacentes do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::
buckets
" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId
" ] } } }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucketFolders
/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId
" ] } } } ] }Se você precisar usar uma chave do KMS para criptografar dados, adicione esta declaração do AWS KMS ao modelo:
{ "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*", ], "Resource": [ "arn:aws:kms:
region
:accountId
:key/keyId
" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders
*" } } } ] } -
Substitua cada um
placeholder
por suas próprias informações:-
buckets
— O nome de recurso da Amazon (ARN) do bucket S3. O nome do recurso da Amazon (ARN) pode ser encontrado na guia Propriedades do bucket no Amazon S3. -
accountId
— O Conta da AWS ID no qual o bucket do S3 está localizado. -
bucketFolders
— O nome das pastas específicas no bucket do S3 que AWS Clean Rooms precisam ser acessadas. -
region
– O nome da Região da AWS. Por exemplo,us-east-1
. -
keyId
— A chave KMS necessária para criptografar seus dados.
-
-
Escolha Próximo.
-
Em Analisar e criar, insira um Nome da política e uma Descrição e analise o Resumo.
-
Escolha Criar política.
Você criou uma política para AWS Clean Rooms.
-
Em Gerenciamento de acesso, escolha Perfis.
Com Perfis, é possível criar credenciais de curto prazo, o que é recomendado para aumentar a segurança. Você também pode escolher Usuários para criar credenciais de longo prazo.
-
Selecione Criar perfil.
-
No assistente Criar perfil, para Tipo de entidade confiável, escolha Política de confiança personalizada.
-
Copie e cole a seguinte política de confiança personalizada no editor JSON.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["
accountId
"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region
:accountId
:configured-audience-model/*" } } } ] }SourceAccount
É sempre seu Conta da AWS. OSourceArn
pode ser limitado a um conjunto de dados de treinamento específico, mas somente após a criação desse conjunto de dados. Como você ainda não conhece o ARN do conjunto de dados de treinamento, o caractere curinga é especificado aqui. -
Escolha Próximo.
-
Marque a caixa de seleção ao lado do nome da política que você criou e escolha Próximo.
-
Para Nome, revisar e criar, insira um nome de perfil e uma descrição.
nota
O nome do perfil deve corresponder ao padrão nas
passRole
permissões concedidas ao membro que pode consultar e receber resultados e funções do membro.-
Revise Selecionar entidades confiáveis e edite, se necessário.
-
Revise as permissões em Adicionar permissões e edite, se necessário.
-
Revise as tags e adicione tags, se necessário.
-
Selecione Criar perfil.
-
Você criou a função de serviço para AWS Clean Rooms.
Criar um perfil de serviço para ler dados de seed
AWS Clean Rooms usa uma função de serviço para ler dados iniciais. Você pode criar esse perfil usando o console se você tiver as permissões necessárias do IAM. Se você não tiver permissões CreateRole
, peça ao administrador que crie o perfil de serviço.
Para criar uma função de serviço para ler dados iniciais armazenados em um bucket do S3.
-
Faça login no console do IAM (https://console.aws.amazon.com/iam/
) com sua conta de administrador. -
Em Access management (Gerenciamento de acesso), escolha Policies (Políticas).
-
Escolha Create policy (Criar política).
-
No Editor de políticas, selecione a guia JSON e copie e cole uma das políticas a seguir.
nota
O exemplo de política a seguir suporta as permissões necessárias para ler AWS Glue metadados e seus dados correspondentes do Amazon S3. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do Amazon S3. Essa política não inclui uma chave do KMS para descriptografar dados.
Seus AWS Glue recursos e os recursos subjacentes do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", ], "Resource": [ "arn:aws:s3:::
buckets
" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId
" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders
/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId
" ] } } } ] }nota
O exemplo de política a seguir aceita as permissões necessárias para ler os resultados de uma consulta SQL e usá-los como dados de entrada. No entanto, talvez seja necessário modificar essa política dependendo de como sua consulta está estruturada. Essa política não inclui uma chave do KMS para descriptografar dados.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCleanRoomsStartQuery", "Effect": "Allow", "Action": [ "cleanrooms:GetCollaborationAnalysisTemplate", "cleanrooms:GetSchema", "cleanrooms:StartProtectedQuery" ], "Resource": "*" }, { "Sid": "AllowCleanRoomsGetAndUpdateQuery", "Effect": "Allow", "Action": [ "cleanrooms:GetProtectedQuery", "cleanrooms:UpdateProtectedQuery" ], "Resource": [ "arn:aws:cleanrooms:
region
:queryRunnerAccountId
:membership/queryRunnerMembershipId
" ] } ] }Se você precisar usar uma chave do KMS para descriptografar dados, adicione esta instrução do AWS KMS ao modelo:
{ "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:
region
:accountId
:key/keyId
" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders
*" } } } ] } -
Substitua cada um
placeholder
por suas próprias informações:-
buckets
— O nome de recurso da Amazon (ARN) do bucket S3. O nome do recurso da Amazon (ARN) pode ser encontrado na guia Propriedades do bucket no Amazon S3. -
accountId
— O Conta da AWS ID no qual o bucket do S3 está localizado. -
bucketFolders
— O nome das pastas específicas no bucket do S3 que AWS Clean Rooms precisam ser acessadas. -
region
– O nome da Região da AWS. Por exemplo,us-east-1
. -
queryRunnerAccountId
— O Conta da AWS ID da conta que executará as consultas. -
queryRunnerMembershipId
— O ID de membro do membro que pode consultar. A ID de membro pode ser encontrada na guia Detalhes da colaboração. Isso garante que AWS Clean Rooms esteja assumindo a função somente quando esse membro executa a análise nessa colaboração. -
keyId
— A chave KMS necessária para criptografar seus dados.
-
-
Escolha Próximo.
-
Em Analisar e criar, insira um Nome da política e uma Descrição e analise o Resumo.
-
Escolha Criar política.
Você criou uma política para AWS Clean Rooms.
-
Em Gerenciamento de acesso, escolha Perfis.
Com Perfis, é possível criar credenciais de curto prazo, o que é recomendado para aumentar a segurança. Você também pode escolher Usuários para criar credenciais de longo prazo.
-
Selecione Criar perfil.
-
No assistente Criar perfil, para Tipo de entidade confiável, escolha Política de confiança personalizada.
-
Copie e cole a seguinte política de confiança personalizada no editor JSON.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["
accountId
"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region
:accountId
:audience-generation-job/*" } } } ] }SourceAccount
É sempre seu Conta da AWS. OSourceArn
pode ser limitado a um conjunto de dados de treinamento específico, mas somente após a criação desse conjunto de dados. Como você ainda não conhece o ARN do conjunto de dados de treinamento, o caractere curinga é especificado aqui. -
Escolha Próximo.
-
Marque a caixa de seleção ao lado do nome da política que você criou e escolha Próximo.
-
Para Nome, revisar e criar, insira um nome de perfil e uma descrição.
nota
O nome do perfil deve corresponder ao padrão nas
passRole
permissões concedidas ao membro que pode consultar e receber resultados e funções do membro.-
Revise Selecionar entidades confiáveis e edite, se necessário.
-
Revise as permissões em Adicionar permissões e edite, se necessário.
-
Revise as tags e adicione tags, se necessário.
-
Selecione Criar perfil.
-
Você criou a função de serviço para AWS Clean Rooms.
Configurar funções de serviço para modelagem personalizada
Tópicos
Crie uma função de serviço para modelagem de ML personalizada - Configuração de ML
AWS Clean Rooms usa uma função de serviço para controlar quem pode criar uma configuração personalizada de ML. Você pode criar esse perfil usando o console se você tiver as permissões necessárias do IAM. Se você não tiver permissões CreateRole
, peça ao administrador que crie o perfil de serviço.
Essa função permite que você use a MLConfiguration ação Criar.
Para criar uma função de serviço para permitir a criação de uma configuração de ML personalizada
-
Faça login no console do IAM (https://console.aws.amazon.com/iam/
) com sua conta de administrador. -
Em Access management (Gerenciamento de acesso), escolha Policies (Políticas).
-
Escolha Create policy (Criar política).
-
No Editor de políticas, selecione a guia JSON e copie e cole a política a seguir.
nota
O exemplo de política a seguir oferece suporte às permissões necessárias para acessar e gravar dados em um bucket do S3 e publicar CloudWatch métricas. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do Amazon S3. Essa política não inclui uma chave do KMS para descriptografar dados.
Seus recursos do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowS3ObjectWriteForExport", "Effect": "Allow", "Action": ["s3:PutObject"], "Resource": [ "arn:aws:s3:::
bucket
/*" ] }, { "Sid": "AllowS3KMSEncryptForExport", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey*", ], "Resource": [ "arn:aws:kms:region
:accountId
:key/keyId
" ] }, { "Sid": "AllowCloudWatchMetricsPublishingForTrainingJobs", "Action": "cloudwatch:PutMetricData", "Resource": "arn:aws:cloudwatch:region
:accountId
:namespace/aws/cleanroomsml/*", "Resource": "*", "Effect": "Allow" }, { "Sid": "AllowCloudWatchLogsPublishingForTrainingOrInferenceJobs", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents" ] } ] } -
Substitua cada um
placeholder
por suas próprias informações:-
bucket
— O nome de recurso da Amazon (ARN) do bucket S3. O nome do recurso da Amazon (ARN) pode ser encontrado na guia Propriedades do bucket no Amazon S3. -
region
– O nome da Região da AWS. Por exemplo,us-east-1
. -
accountId
— O Conta da AWS ID no qual o bucket do S3 está localizado. -
keyId
— A chave KMS necessária para criptografar seus dados.
-
-
Escolha Próximo.
-
Em Analisar e criar, insira um Nome da política e uma Descrição e analise o Resumo.
-
Escolha Criar política.
Você criou uma política para AWS Clean Rooms.
-
Em Gerenciamento de acesso, escolha Perfis.
Com Perfis, é possível criar credenciais de curto prazo, o que é recomendado para aumentar a segurança. Você também pode escolher Usuários para criar credenciais de longo prazo.
-
Selecione Criar perfil.
-
No assistente Criar perfil, para Tipo de entidade confiável, escolha Política de confiança personalizada.
-
Copie e cole a seguinte política de confiança personalizada no editor JSON.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
accountId
" }, "ArnLike": { "aws:SourceArn": "arn:aws:cleanrooms:region
:accountId
:membership/membershipID
" } } } ] }SourceAccount
É sempre seu Conta da AWS. OSourceArn
pode ser limitado a um conjunto de dados de treinamento específico, mas somente após a criação desse conjunto de dados. Como você ainda não conhece o ARN do conjunto de dados de treinamento, o caractere curinga é especificado aqui. -
Escolha Próximo.
-
Marque a caixa de seleção ao lado do nome da política que você criou e escolha Próximo.
-
Para Nome, revisar e criar, insira um nome de perfil e uma descrição.
nota
O nome do perfil deve corresponder ao padrão nas
passRole
permissões concedidas ao membro que pode consultar e receber resultados e funções do membro.-
Revise Selecionar entidades confiáveis e edite, se necessário.
-
Revise as permissões em Adicionar permissões e edite, se necessário.
-
Revise as tags e adicione tags, se necessário.
-
Selecione Criar perfil.
-
Você criou a função de serviço para AWS Clean Rooms.
Crie uma função de serviço para fornecer um modelo de ML personalizado
AWS Clean Rooms usa uma função de serviço para controlar quem pode criar um algoritmo de modelo de ML personalizado. Você pode criar esse perfil usando o console se você tiver as permissões necessárias do IAM. Se você não tiver permissões CreateRole
, peça ao administrador que crie o perfil de serviço.
Essa função permite que você use a CreateConfiguredModelAlgorithm ação.
Para criar uma função de serviço para permitir que um membro forneça um modelo de ML personalizado
-
Faça login no console do IAM (https://console.aws.amazon.com/iam/
) com sua conta de administrador. -
Em Access management (Gerenciamento de acesso), escolha Policies (Políticas).
-
Escolha Create policy (Criar política).
-
No Editor de políticas, selecione a guia JSON e copie e cole a política a seguir.
nota
O exemplo de política a seguir oferece suporte às permissões necessárias para recuperar a imagem do docker que contém o algoritmo do modelo. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do Amazon S3. Essa política não inclui uma chave do KMS para descriptografar dados.
Seus recursos do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowECRImageDownloadForTrainingAndInferenceJobs", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer" ], "Resource": "arn:aws:ecr:
region
:accountID
:repository/repoName
" } ] } -
Substitua cada um
placeholder
por suas próprias informações:-
region
– O nome da Região da AWS. Por exemplo,us-east-1
. -
accountId
— O Conta da AWS ID no qual o bucket do S3 está localizado. -
repoName
— O nome do repositório que contém seus dados.
-
-
Escolha Próximo.
-
Em Analisar e criar, insira um Nome da política e uma Descrição e analise o Resumo.
-
Escolha Criar política.
Você criou uma política para AWS Clean Rooms.
-
Em Gerenciamento de acesso, escolha Perfis.
Com Perfis, é possível criar credenciais de curto prazo, o que é recomendado para aumentar a segurança. Você também pode escolher Usuários para criar credenciais de longo prazo.
-
Selecione Criar perfil.
-
No assistente Criar perfil, para Tipo de entidade confiável, escolha Política de confiança personalizada.
-
Copie e cole a seguinte política de confiança personalizada no editor JSON.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
O
SourceAccount
é sempre seu. Conta da AWS O OSourceArn
pode ser limitado a um conjunto de dados de treinamento específico, mas somente após a criação desse conjunto de dados. Como você ainda não conhece o ARN do conjunto de dados de treinamento, o caractere curinga é especificado aqui. -
Escolha Próximo.
-
Marque a caixa de seleção ao lado do nome da política que você criou e escolha Próximo.
-
Para Nome, revisar e criar, insira um nome de perfil e uma descrição.
nota
O nome do perfil deve corresponder ao padrão nas
passRole
permissões concedidas ao membro que pode consultar e receber resultados e funções do membro.-
Revise Selecionar entidades confiáveis e edite, se necessário.
-
Revise as permissões em Adicionar permissões e edite, se necessário.
-
Revise as tags e adicione tags, se necessário.
-
Selecione Criar perfil.
-
Você criou a função de serviço para AWS Clean Rooms.
Crie uma função de serviço para consultar um conjunto de dados
AWS Clean Rooms usa uma função de serviço para controlar quem pode consultar um conjunto de dados que será usado para modelagem personalizada de ML. Você pode criar esse perfil usando o console se você tiver as permissões necessárias do IAM. Se você não tiver permissões CreateRole
, peça ao administrador que crie o perfil de serviço.
Essa função permite que você use a ação Criar MLInput canal.
Para criar uma função de serviço para permitir que um membro consulte um conjunto de dados
-
Faça login no console do IAM (https://console.aws.amazon.com/iam/
) com sua conta de administrador. -
Em Access management (Gerenciamento de acesso), escolha Policies (Políticas).
-
Escolha Create policy (Criar política).
-
No Editor de políticas, selecione a guia JSON e copie e cole a política a seguir.
nota
O exemplo de política a seguir oferece suporte às permissões necessárias para consultar um conjunto de dados que será usado para modelagem personalizada de ML. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do Amazon S3. Essa política não inclui uma chave do KMS para descriptografar dados.
Seus recursos do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCleanRoomsStartQueryForMLInputChannel", "Effect": "Allow", "Action": "cleanrooms:StartProtectedQuery", "Resource": "*" }, { "Sid": "AllowCleanRoomsGetSchemaForMLInputChannel", "Effect": "Allow", "Action": "cleanrooms:GetSchema", "Resource": "*" }, { "Sid": "AllowCleanRoomsGetAndUpdateQueryForMLInputChannel", "Effect": "Allow", "Action": [ "cleanrooms:GetProtectedQuery", "cleanrooms:UpdateProtectedQuery" ], "Resource": [ "arn:aws:cleanrooms:
region
:queryRunnerAccountId
:membership/queryRunnerMembershipId
" ] } ] } -
Substitua cada um
placeholder
por suas próprias informações:-
region
– O nome da Região da AWS. Por exemplo,us-east-1
. -
queryRunnerAccountId
— O Conta da AWS ID da conta que executará as consultas. -
queryRunnerMembershipId
— O ID de membro do membro que pode consultar. A ID de membro pode ser encontrada na guia Detalhes da colaboração. Isso garante que AWS Clean Rooms esteja assumindo a função somente quando esse membro executa a análise nessa colaboração.
-
-
Escolha Próximo.
-
Em Analisar e criar, insira um Nome da política e uma Descrição e analise o Resumo.
-
Escolha Criar política.
Você criou uma política para AWS Clean Rooms.
-
Em Gerenciamento de acesso, escolha Perfis.
Com Perfis, é possível criar credenciais de curto prazo, o que é recomendado para aumentar a segurança. Você também pode escolher Usuários para criar credenciais de longo prazo.
-
Selecione Criar perfil.
-
No assistente Criar perfil, para Tipo de entidade confiável, escolha Política de confiança personalizada.
-
Copie e cole a seguinte política de confiança personalizada no editor JSON.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
O
SourceAccount
é sempre seu. Conta da AWS O OSourceArn
pode ser limitado a um conjunto de dados de treinamento específico, mas somente após a criação desse conjunto de dados. Como você ainda não conhece o ARN do conjunto de dados de treinamento, o caractere curinga é especificado aqui. -
Escolha Próximo.
-
Marque a caixa de seleção ao lado do nome da política que você criou e escolha Próximo.
-
Para Nome, revisar e criar, insira um nome de perfil e uma descrição.
nota
O nome do perfil deve corresponder ao padrão nas
passRole
permissões concedidas ao membro que pode consultar e receber resultados e funções do membro.-
Revise Selecionar entidades confiáveis e edite, se necessário.
-
Revise as permissões em Adicionar permissões e edite, se necessário.
-
Revise as tags e adicione tags, se necessário.
-
Selecione Criar perfil.
-
Você criou a função de serviço para AWS Clean Rooms.
Crie uma função de serviço para criar uma associação de tabela configurada
AWS Clean Rooms usa uma função de serviço para controlar quem pode criar uma associação de tabela configurada. Você pode criar esse perfil usando o console se você tiver as permissões necessárias do IAM. Se você não tiver permissões CreateRole
, peça ao administrador que crie o perfil de serviço.
Essa função permite que você use a CreateConfiguredTableAssociation ação.
Para criar uma função de serviço para permitir a criação de uma associação de tabela configurada
-
Faça login no console do IAM (https://console.aws.amazon.com/iam/
) com sua conta de administrador. -
Em Access management (Gerenciamento de acesso), escolha Policies (Políticas).
-
Escolha Create policy (Criar política).
-
No Editor de políticas, selecione a guia JSON e copie e cole a política a seguir.
nota
O exemplo de política a seguir oferece suporte à criação de uma associação de tabela configurada. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do Amazon S3. Essa política não inclui uma chave do KMS para descriptografar dados.
Seus recursos do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "
KMS key used to encrypt the S3 data
", "Effect": "Allow" }, { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "S3 bucket of Glue table
", "Effect": "Allow" }, { "Action": "s3:GetObject", "Resource": "S3 bucket of Glue table
/*", "Effect": "Allow" }, { "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartitions", "glue:GetPartition", "glue:BatchGetPartition" ], "Resource": [ "arn:aws:glue:region
:accountID
:catalog", "arn:aws:glue:region
:accountID
:database/Glue database name
", "arn:aws:glue:region
:accountID
:table/Glue database name
/Glue table name
" ], "Effect": "Allow" }, { "Action": [ "glue:GetSchema", "glue:GetSchemaVersion" ], "Resource": "*", "Effect": "Allow" } ] } -
Substitua cada um
placeholder
por suas próprias informações:-
KMS key used to encrypt the Amazon S3 data
— A chave KMS usada para criptografar os dados do Amazon S3. Para descriptografar os dados, você precisa fornecer a mesma chave KMS usada para criptografar os dados. -
Amazon S3 bucket of AWS Glue table
— O nome do bucket do Amazon S3 que contém a AWS Glue tabela que contém seus dados. -
region
– O nome da Região da AWS. Por exemplo,us-east-1
. -
accountId
— O Conta da AWS ID da conta que possui os dados. -
AWS Glue database name
— O nome do AWS Glue banco de dados que contém seus dados. -
AWS Glue table name
— O nome da AWS Glue tabela que contém seus dados.
-
-
Escolha Próximo.
-
Em Analisar e criar, insira um Nome da política e uma Descrição e analise o Resumo.
-
Escolha Criar política.
Você criou uma política para AWS Clean Rooms.
-
Em Gerenciamento de acesso, escolha Perfis.
Com Perfis, é possível criar credenciais de curto prazo, o que é recomendado para aumentar a segurança. Você também pode escolher Usuários para criar credenciais de longo prazo.
-
Selecione Criar perfil.
-
No assistente Criar perfil, para Tipo de entidade confiável, escolha Política de confiança personalizada.
-
Copie e cole a seguinte política de confiança personalizada no editor JSON.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", } ] }
O
SourceAccount
é sempre seu. Conta da AWS O OSourceArn
pode ser limitado a um conjunto de dados de treinamento específico, mas somente após a criação desse conjunto de dados. Como você ainda não conhece o ARN do conjunto de dados de treinamento, o caractere curinga é especificado aqui. -
Escolha Próximo.
-
Marque a caixa de seleção ao lado do nome da política que você criou e escolha Próximo.
-
Para Nome, revisar e criar, insira um nome de perfil e uma descrição.
nota
O nome do perfil deve corresponder ao padrão nas
passRole
permissões concedidas ao membro que pode consultar e receber resultados e funções do membro.-
Revise Selecionar entidades confiáveis e edite, se necessário.
-
Revise as permissões em Adicionar permissões e edite, se necessário.
-
Revise as tags e adicione tags, se necessário.
-
Selecione Criar perfil.
-
Você criou a função de serviço para AWS Clean Rooms.