AWS políticas gerenciadas para AWS Clean Rooms - AWS Clean Rooms

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS políticas gerenciadas para AWS Clean Rooms

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da  específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas API operações são disponibilizadas para os serviços existentes.

Para obter mais informações, consulte as políticas AWS gerenciadas no Guia IAM do usuário.

AWS política gerenciada: AWSCleanRoomsReadOnlyAccess

Você pode se associar AWSCleanRoomsReadOnlyAccess aos seus IAM diretores.

Essa política concede permissões somente leitura aos recursos e metadados em uma colaboração AWSCleanRoomsReadOnlyAccess.

Detalhes de permissão

Esta política inclui as seguintes permissões:

  • CleanRoomsRead – Permite que as entidades principais tenham acesso somente leitura ao serviço.

  • ConsoleDisplayTables— Permite que os diretores tenham acesso somente para leitura aos AWS Glue metadados necessários para mostrar dados sobre as AWS Glue tabelas subjacentes no console.

  • ConsoleLogSummaryQueryLogs – Permite que as entidades principais vejam os logs de consultas.

  • ConsoleLogSummaryObtainLogs – Permite que as entidades principais recuperem os resultados do log.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsRead", "Effect": "Allow", "Action": [ "cleanrooms:BatchGet*", "cleanrooms:Get*", "cleanrooms:List*" ], "Resource": "*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "ConsoleLogSummaryQueryLogs", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*" }, { "Sid": "ConsoleLogSummaryObtainLogs", "Effect": "Allow", "Action": [ "logs:GetQueryResults" ], "Resource": "*" } ] }

AWS política gerenciada: AWSCleanRoomsFullAccess

Você pode se associar AWSCleanRoomsFullAccess aos seus IAM diretores.

Essa política concede permissões administrativas que permitem acesso total (leitura, gravação e atualização) aos recursos e metadados em uma AWS Clean Rooms colaboração. Essa política inclui acesso para realizar consultas.

Detalhes de permissão

Esta política inclui as seguintes permissões:

  • CleanRoomsAccess— Concede acesso total a todas as ações em todos os recursos do AWS Clean Rooms.

  • PassServiceRole— Concede acesso para passar uma função de serviço somente para o serviço (PassedToServicecondição) que tem”cleanrooms“em seu nome.

  • ListRolesToPickServiceRole— Permite que os diretores listem todas as suas funções para escolher uma função de serviço ao usar AWS Clean Rooms.

  • GetRoleAndListRolePoliciesToInspectServiceRole— Permite que os diretores vejam a função do serviço e a política correspondente noIAM.

  • ListPoliciesToInspectServiceRolePolicy— Permite que os diretores vejam a função do serviço e a política correspondente noIAM.

  • GetPolicyToInspectServiceRolePolicy— Permite que os diretores vejam a função do serviço e a política correspondente noIAM.

  • ConsoleDisplayTables— Permite que os diretores tenham acesso somente para leitura aos AWS Glue metadados necessários para mostrar dados sobre as AWS Glue tabelas subjacentes no console.

  • ConsolePickQueryResultsBucketListAll – Permite que as entidades principais escolham um bucket do Amazon S3 em uma lista de todos os buckets do S3 disponíveis nos quais seus resultados de consulta são gravados.

  • SetQueryResultsBucket – Permite que as entidades principais escolham um bucket do S3 no qual os resultados de consulta são gravados.

  • ConsoleDisplayQueryResults – Permite que as entidades principais mostrem ao cliente os resultados de consulta, lidos do bucket do S3.

  • WriteQueryResults – Permite que as entidades principais gravem os resultados de consulta em um bucket S3 de propriedade do cliente.

  • EstablishLogDeliveries— Permite que os diretores entreguem registros de consulta ao grupo de CloudWatch registros Amazon Logs de um cliente.

  • SetupLogGroupsDescribe— Permite que os diretores usem o processo de criação de grupos de CloudWatch logs do Amazon Logs.

  • SetupLogGroupsCreate— Permite que os diretores criem um grupo de CloudWatch logs do Amazon Logs.

  • SetupLogGroupsResourcePolicy— Permite que os diretores configurem uma política de recursos no grupo de CloudWatch registros do Amazon Logs.

  • ConsoleLogSummaryQueryLogs – Permite que as entidades principais vejam os logs de consultas.

  • ConsoleLogSummaryObtainLogs – Permite que as entidades principais recuperem os resultados do log.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsAccess", "Effect": "Allow", "Action": [ "cleanrooms:*" ], "Resource": "*" }, { "Sid": "PassServiceRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*", "Condition": { "StringEquals": { "iam:PassedToService": "cleanrooms.amazonaws.com" } } }, { "Sid": "ListRolesToPickServiceRole", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GetRoleAndListRolePoliciesToInspectServiceRole", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*" }, { "Sid": "ListPoliciesToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "GetPolicyToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:GetPolicy", "iam:GetPolicyVersion" ], "Resource": "arn:aws:iam::*:policy/*cleanrooms*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "ConsolePickQueryResultsBucketListAll", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "SetQueryResultsBucket", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucketVersions" ], "Resource": "arn:aws:s3:::cleanrooms-queryresults*" }, { "Sid": "WriteQueryResults", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:PutObject" ], "Resource": "arn:aws:s3:::cleanrooms-queryresults*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "ConsoleDisplayQueryResults", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::cleanrooms-queryresults*" }, { "Sid": "EstablishLogDeliveries", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsDescribe", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsCreate", "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsResourcePolicy", "Effect": "Allow", "Action": [ "logs:DescribeResourcePolicies", "logs:PutResourcePolicy" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "ConsoleLogSummaryQueryLogs", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*" }, { "Sid": "ConsoleLogSummaryObtainLogs", "Effect": "Allow", "Action": [ "logs:GetQueryResults" ], "Resource": "*" } ] }

AWS política gerenciada: AWSCleanRoomsFullAccessNoQuerying

Você pode anexar AWSCleanRoomsFullAccessNoQuerying ao seu IAM principals.

Essa política concede permissões administrativas que permitem acesso total (leitura, gravação e atualização) aos recursos e metadados em uma AWS Clean Rooms colaboração. Essa política exclui o acesso para realizar consultas.

Detalhes de permissão

Esta política inclui as seguintes permissões:

  • CleanRoomsAccess— Concede acesso total a todas as ações em todos os recursos AWS Clean Rooms, exceto para consultas em colaborações.

  • CleanRoomsNoQuerying – Nega explicitamente StartProtectedQuery e UpdateProtectedQuery para evitar consultas.

  • PassServiceRole— Concede acesso para passar uma função de serviço somente para o serviço (PassedToServicecondição) que tem”cleanrooms“em seu nome.

  • ListRolesToPickServiceRole— Permite que os diretores listem todas as suas funções para escolher uma função de serviço ao usar AWS Clean Rooms.

  • GetRoleAndListRolePoliciesToInspectServiceRole— Permite que os diretores vejam a função do serviço e a política correspondente noIAM.

  • ListPoliciesToInspectServiceRolePolicy— Permite que os diretores vejam a função do serviço e a política correspondente noIAM.

  • GetPolicyToInspectServiceRolePolicy— Permite que os diretores vejam a função do serviço e a política correspondente noIAM.

  • ConsoleDisplayTables— Permite que os diretores tenham acesso somente para leitura aos AWS Glue metadados necessários para mostrar dados sobre as AWS Glue tabelas subjacentes no console.

  • EstablishLogDeliveries— Permite que os diretores entreguem registros de consulta ao grupo de CloudWatch registros Amazon Logs de um cliente.

  • SetupLogGroupsDescribe— Permite que os diretores usem o processo de criação de grupos de CloudWatch logs do Amazon Logs.

  • SetupLogGroupsCreate— Permite que os diretores criem um grupo de CloudWatch logs do Amazon Logs.

  • SetupLogGroupsResourcePolicy— Permite que os diretores configurem uma política de recursos no grupo de CloudWatch registros do Amazon Logs.

  • ConsoleLogSummaryQueryLogs – Permite que as entidades principais vejam os logs de consultas.

  • ConsoleLogSummaryObtainLogs – Permite que as entidades principais recuperem os resultados do log.

  • cleanrooms— gerencie colaborações, modelos de análise, tabelas configuradas, associações e recursos associados dentro do AWS Clean Rooms serviço. Execute várias operações, como criar, atualizar, excluir, listar e recuperar informações sobre esses recursos.

  • iam— Passe funções de serviço com nomes contendo cleanrooms "" para o AWS Clean Rooms serviço. Liste funções, políticas e inspecione funções de serviço e políticas relacionadas ao AWS Clean Rooms serviço.

  • glue— recupere informações sobre bancos de dados, tabelas, partições e esquemas do. AWS Glue Isso é necessário para que o AWS Clean Rooms serviço exiba e interaja com as fontes de dados subjacentes.

  • logs— Gerencie entregas de registros, grupos de registros e políticas de recursos para o CloudWatch Logs. Consulte e recupere registros relacionados ao AWS Clean Rooms serviço. Essas permissões são necessárias para fins de monitoramento, auditoria e solução de problemas no serviço.

A política também nega explicitamente as ações cleanrooms:StartProtectedQuery e cleanrooms:UpdateProtectedQuery impede que os usuários executem ou atualizem diretamente as consultas protegidas, o que deve ser feito por meio de mecanismos controlados. AWS Clean Rooms

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsAccess", "Effect": "Allow", "Action": [ "cleanrooms:BatchGetCollaborationAnalysisTemplate", "cleanrooms:BatchGetSchema", "cleanrooms:BatchGetSchemaAnalysisRule", "cleanrooms:CreateAnalysisTemplate", "cleanrooms:CreateCollaboration", "cleanrooms:CreateConfiguredTable", "cleanrooms:CreateConfiguredTableAnalysisRule", "cleanrooms:CreateConfiguredTableAssociation", "cleanrooms:CreateMembership", "cleanrooms:DeleteAnalysisTemplate", "cleanrooms:DeleteCollaboration", "cleanrooms:DeleteConfiguredTable", "cleanrooms:DeleteConfiguredTableAnalysisRule", "cleanrooms:DeleteConfiguredTableAssociation", "cleanrooms:DeleteMember", "cleanrooms:DeleteMembership", "cleanrooms:GetAnalysisTemplate", "cleanrooms:GetCollaboration", "cleanrooms:GetCollaborationAnalysisTemplate", "cleanrooms:GetConfiguredTable", "cleanrooms:GetConfiguredTableAnalysisRule", "cleanrooms:GetConfiguredTableAssociation", "cleanrooms:GetMembership", "cleanrooms:GetProtectedQuery", "cleanrooms:GetSchema", "cleanrooms:GetSchemaAnalysisRule", "cleanrooms:ListAnalysisTemplates", "cleanrooms:ListCollaborationAnalysisTemplates", "cleanrooms:ListCollaborations", "cleanrooms:ListConfiguredTableAssociations", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMembers", "cleanrooms:ListMemberships", "cleanrooms:ListProtectedQueries", "cleanrooms:ListSchemas", "cleanrooms:UpdateAnalysisTemplate", "cleanrooms:UpdateCollaboration", "cleanrooms:UpdateConfiguredTable", "cleanrooms:UpdateConfiguredTableAnalysisRule", "cleanrooms:UpdateConfiguredTableAssociation", "cleanrooms:UpdateMembership", "cleanrooms:ListTagsForResource", "cleanrooms:UntagResource", "cleanrooms:TagResource" ], "Resource": "*" }, { "Sid": "CleanRoomsNoQuerying", "Effect": "Deny", "Action": [ "cleanrooms:StartProtectedQuery", "cleanrooms:UpdateProtectedQuery" ], "Resource": "*" }, { "Sid": "PassServiceRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*", "Condition": { "StringEquals": { "iam:PassedToService": "cleanrooms.amazonaws.com" } } }, { "Sid": "ListRolesToPickServiceRole", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GetRoleAndListRolePoliciesToInspectServiceRole", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*" }, { "Sid": "ListPoliciesToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "GetPolicyToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:GetPolicy", "iam:GetPolicyVersion" ], "Resource": "arn:aws:iam::*:policy/*cleanrooms*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "EstablishLogDeliveries", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsDescribe", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsCreate", "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsResourcePolicy", "Effect": "Allow", "Action": [ "logs:DescribeResourcePolicies", "logs:PutResourcePolicy" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "ConsoleLogSummaryQueryLogs", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*" }, { "Sid": "ConsoleLogSummaryObtainLogs", "Effect": "Allow", "Action": [ "logs:GetQueryResults" ], "Resource": "*" } ] }

AWS política gerenciada: AWSCleanRoomsMLReadOnlyAccess

Você pode se associar AWSCleanRoomsMLReadOnlyAccess aos seus IAM diretores.

Essa política concede permissões somente leitura aos recursos e metadados em uma colaboração AWSCleanRoomsMLReadOnlyAccess.

Esta política inclui as seguintes permissões:

  • CleanRoomsConsoleNavigation— Concede acesso para visualizar as telas do AWS Clean Rooms console.

  • CleanRoomsMLRead— Permite que os diretores tenham acesso somente para leitura ao serviço Clean Rooms ML.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsConsoleNavigation", "Effect": "Allow", "Action": [ "cleanrooms:GetCollaboration", "cleanrooms:GetConfiguredAudienceModelAssociation", "cleanrooms:GetMembership", "cleanrooms:ListAnalysisTemplates", "cleanrooms:ListCollaborationAnalysisTemplates", "cleanrooms:ListCollaborationConfiguredAudienceModelAssociations", "cleanrooms:ListCollaborations", "cleanrooms:ListConfiguredTableAssociations", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMembers", "cleanrooms:ListMemberships", "cleanrooms:ListProtectedQueries", "cleanrooms:ListSchemas", "cleanrooms:ListTagsForResource" ], "Resource": "*" }, { "Sid": "CleanRoomsMLRead", "Effect": "Allow", "Action": [ "cleanrooms-ml:Get*", "cleanrooms-ml:List*" ], "Resource": "*" } ] }

AWS política gerenciada: AWSCleanRoomsMLFullAccess

Você pode se associar AWSCleanRoomsMLFullAcces aos seus IAM diretores. Essa política concede permissões administrativas que permitem acesso total (leitura, gravação e atualização) aos recursos e metadados necessários ao Clean Rooms ML.

Detalhes de permissão

Esta política inclui as seguintes permissões:

  • CleanRoomsMLFullAccess— Concede acesso a todas as ações do Clean Rooms ML.

  • PassServiceRole— Concede acesso para passar uma função de serviço somente para o serviço (PassedToServicecondição) que tem”cleanrooms-ml“em seu nome.

  • CleanRoomsConsoleNavigation— Concede acesso para visualizar as telas do AWS Clean Rooms console.

  • CollaborationMembershipCheck— Quando você inicia um trabalho de geração de público (segmento semelhante) em uma colaboração, o serviço Clean Rooms ML liga ListMembers para verificar se a colaboração é válida, se o chamador é um membro ativo e se o proprietário do modelo de público configurado é um membro ativo. Essa permissão é sempre necessária; a navegação no console só SID é necessária para usuários do console.

  • AssociateModels— Permite que os diretores associem um modelo de ML de salas limpas à sua colaboração.

  • TagAssociations: permite que as entidades principais adicionem tags à associação entre um modelo de semelhanças e uma colaboração.

  • ListRolesToPickServiceRole— Permite que os diretores listem todas as suas funções para escolher uma função de serviço ao usar AWS Clean Rooms.

  • GetRoleAndListRolePoliciesToInspectServiceRole— Permite que os diretores vejam a função do serviço e a política correspondente noIAM.

  • ListPoliciesToInspectServiceRolePolicy— Permite que os diretores vejam a função do serviço e a política correspondente noIAM.

  • GetPolicyToInspectServiceRolePolicy— Permite que os diretores vejam a função do serviço e a política correspondente noIAM.

  • ConsoleDisplayTables— Permite que os diretores tenham acesso somente para leitura aos AWS Glue metadados necessários para mostrar dados sobre as AWS Glue tabelas subjacentes no console.

  • ConsolePickOutputBucket: permite que as entidades principais selecionem buckets do Amazon S3 para saídas configuradas do modelo de público.

  • ConsolePickS3Location: permite que as entidades principais selecionem o local em um bucket para saídas configuradas do modelo de público.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsMLFullAccess", "Effect": "Allow", "Action": [ "cleanrooms-ml:*" ], "Resource": "*" }, { "Sid": "PassServiceRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/cleanrooms-ml*" ], "Condition": { "StringEquals": { "iam:PassedToService": "cleanrooms-ml.amazonaws.com" } } }, { "Sid": "CleanRoomsConsoleNavigation", "Effect": "Allow", "Action": [ "cleanrooms:GetCollaboration", "cleanrooms:GetConfiguredAudienceModelAssociation", "cleanrooms:GetMembership", "cleanrooms:ListAnalysisTemplates", "cleanrooms:ListCollaborationAnalysisTemplates", "cleanrooms:ListCollaborationConfiguredAudienceModelAssociations", "cleanrooms:ListCollaborations", "cleanrooms:ListConfiguredTableAssociations", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMembers", "cleanrooms:ListMemberships", "cleanrooms:ListProtectedQueries", "cleanrooms:ListSchemas", "cleanrooms:ListTagsForResource" ], "Resource": "*" }, { "Sid": "CollaborationMembershipCheck", "Effect": "Allow", "Action": [ "cleanrooms:ListMembers" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": ["cleanrooms-ml.amazonaws.com"] } } }, { "Sid": "AssociateModels", "Effect": "Allow", "Action": [ "cleanrooms:CreateConfiguredAudienceModelAssociation" ], "Resource": "*" }, { "Sid": "TagAssociations", "Effect": "Allow", "Action": [ "cleanrooms:TagResource" ], "Resource": "arn:aws:cleanrooms:*:*:membership/*/configuredaudiencemodelassociation/*" }, { "Sid": "ListRolesToPickServiceRole", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GetRoleAndListRolePoliciesToInspectServiceRole", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:role/service-role/cleanrooms-ml*", "arn:aws:iam::*:role/role/cleanrooms-ml*" ] }, { "Sid": "ListPoliciesToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "GetPolicyToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:GetPolicy", "iam:GetPolicyVersion" ], "Resource": "arn:aws:iam::*:policy/*cleanroomsml*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "ConsolePickOutputBucket", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "ConsolePickS3Location", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*cleanrooms-ml*" } ] }

AWS Clean Rooms atualizações nas políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas AWS Clean Rooms desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o RSS feed na página Histórico do AWS Clean Rooms documento.

Alteração Descrição Data
AWSCleanRoomsFullAccessNoQuerying: atualizar para uma política existente. Adicionado cleanrooms:BatchGetSchemaAnalysisRule para CleanRoomsAccess. 13 de maio de 2024
AWSCleanRoomsFullAccess: atualizar para uma política existente. Atualizou o ID da declaração em AWSCleanRoomsFullAccess from ConsolePickQueryResultsBucket para SetQueryResultsBucket nesta política para representar melhor as permissões, pois as permissões são necessárias para definir o bucket de resultados da consulta com e sem o console. 21 de março de 2024

AWSCleanRoomsMLReadOnlyAccess – Nova política

AWSCleanRoomsMLFullAccess – Nova política

Adicionado AWSCleanRoomsMLReadOnlyAccess e AWSCleanRoomsMLFullAccess para oferecer suporte ao AWS Clean Rooms ML.

29 de novembro de 2023
AWSCleanRoomsFullAccessNoQuerying: atualizar para uma política existente. Adicionado cleanrooms:CreateAnalysisTemplate, cleanrooms:GetAnalysisTemplate, cleanrooms:UpdateAnalysisTemplate, cleanrooms:DeleteAnalysisTemplate, cleanrooms:ListAnalysisTemplates, cleanrooms:GetCollaborationAnalysisTemplate, cleanrooms:BatchGetCollaborationAnalysisTemplate e cleanrooms:ListCollaborationAnalysisTemplates para CleanRoomsAccess para ativar o novo recurso de modelos de análise. 31 de julho de 2023
AWSCleanRoomsFullAccessNoQuerying: atualizar para uma política existente. Adicionado cleanrooms:ListTagsForResource, cleanrooms:UntagResource e cleanrooms:TagResource para CleanRoomsAccess para ativar a marcação de recursos. 21 de março de 2023

AWS Clean Rooms começou a rastrear alterações

AWS Clean Rooms começou a rastrear as mudanças em suas políticas AWS gerenciadas.

12 de janeiro de 2023