Configurar funções de serviço para AWS Clean Rooms - AWS Clean Rooms
Criação de um usuário administradorCriar uma IAM função para um membro da colaboraçãoCriar um perfil de serviço para ler dadosCrie uma função de serviço para receber resultados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar funções de serviço para AWS Clean Rooms

Criação de um usuário administrador

Para usar AWS Clean Rooms, você precisa criar um usuário administrador para si mesmo e adicionar o usuário administrador a um grupo de administradores.

Para criar um usuário administrador, selecione uma das opções a seguir.

Selecionar uma forma de gerenciar o administrador Para Por Você também pode
No IAM Identity Center

(Recomendado)

 Use credenciais de curto prazo para acessar a AWS.

Isso está de acordo com as práticas recomendadas de segurança. Para obter informações sobre as melhores práticas, consulte as melhores práticas de segurança IAM no Guia IAM do usuário.

 Seguindo as instruções em Conceitos básicos no Guia do usuário do AWS IAM Identity Center . Configure o acesso programático configurando o AWS CLI para uso AWS IAM Identity Center no Guia do AWS Command Line Interface usuário.
Em IAM

(Não recomendado)

 Use credenciais de curto prazo para acessar a AWS. Siga as instruções em Como criar seu primeiro usuário IAM administrador e grupo de usuários no Guia IAM do usuário. Configure o acesso programático gerenciando as chaves de acesso para IAM usuários no Guia do IAM usuário.

Criar uma IAM função para um membro da colaboração

Um membro é um AWS cliente que participa de uma colaboração.

Para criar uma IAM função para um membro da colaboração

  1. Siga o procedimento Criar uma função para delegar permissões a um IAM usuário no Guia do AWS Identity and Access Management usuário.

  2. Para a etapa Criar política, selecione a JSONguia no editor de políticas e, em seguida, adicione políticas de acordo com as habilidades concedidas ao membro da colaboração.

    AWS Clean Rooms oferece as seguintes políticas gerenciadas com base em casos de uso comuns:

    Se você deseja ... Em seguida, use ...
    Veja os recursos e os meta-dados AWS política gerenciada: AWSCleanRoomsReadOnlyAccess
    Consulta AWS política gerenciada: AWSCleanRoomsFullAccess
    Consulte e receba resultados AWS política gerenciada: AWSCleanRoomsFullAccess
    Gerencie recursos de colaboração, mas não faça consultas AWS política gerenciada: AWSCleanRoomsFullAccessNoQuerying

    Para obter informações sobre as diferentes políticas gerenciadas oferecidas pela AWS Clean Rooms, consulte AWS políticas gerenciadas para AWS Clean Rooms

Criar um perfil de serviço para ler dados

AWS Clean Rooms usa uma função de serviço para ler os dados.

Há duas maneiras de criar essa função de serviço:

Se... Então
Você tem as IAM permissões necessárias para criar uma função de serviço Use o AWS Clean Rooms console para criar uma função de serviço.

Você não temiam:CreateRole, iam:CreatePolicy nem iam:AttachRolePolicy permissões

ou

Você deseja criar as IAM funções manualmente

 Execute um destes procedimentos:

  • Use o procedimento a seguir para criar uma função de serviço.

  • Peça ao administrador que crie a função de serviço usando o procedimento a seguir.
Para criar um perfil de serviço para ler dados
nota

Você ou seu IAM administrador só devem seguir esse procedimento se não tiverem as permissões necessárias para criar uma função de serviço usando o AWS Clean Rooms console.

  1. Siga o procedimento Criar uma função usando políticas de confiança personalizadas (console) no Guia do AWS Identity and Access Management usuário.

  2. Use a seguinte política de confiança personalizada de acordo com o procedimento Criar uma função usando políticas de confiança personalizadas (console).

    nota

    Se quiser garantir que o perfil só possa ser usado no contexto de uma determinada associação de colaboração, você pode detalhar ainda mais a política de confiança. Para obter mais informações, consulte Prevenção do problema do substituto confuso entre serviços.

    { 

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyForCleanRoomsService",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
     ]
}

  3. Use a política de permissões a seguir de acordo com o procedimento Criar uma função usando políticas de confiança personalizadas (console).

    nota

    O exemplo de política a seguir suporta as permissões necessárias para ler AWS Glue meta-dados e seus dados correspondentes do Amazon S3. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do S3. Por exemplo, se você configurou uma KMS chave personalizada para seus dados do S3, talvez seja necessário alterar essa política com permissões adicionais AWS KMS .

    Seus AWS Glue recursos e os recursos subjacentes do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms 

    { 

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "NecessaryGluePermissions",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:aws-region:accountId:database/database",
                "arn:aws:glue:aws-region:accountId:table/table",
                "arn:aws:glue:aws-region:accountId:catalog"
            ]
        },
 	{
            "Effect": "Allow",
            "Action": [
                "glue:GetSchema",
                "glue:GetSchemaVersion"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "NecessaryS3BucketPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation", 
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "s3BucketOwnerAccountId"
                    ]
                }
            }
        },
        {
            "Sid": "NecessaryS3ObjectPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3::bucket/prefix/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "s3BucketOwnerAccountId"
                    ]
                }
            }
        }
        
    ]
}

  4. Substitua cada placeholder com suas próprias informações.

  5. Continue seguindo o procedimento Criando uma função usando políticas de confiança personalizadas (console) para criar a função.

Crie uma função de serviço para receber resultados

nota

Se você for o membro que só pode receber resultados (no console, Suas habilidades de membro são Somente Receber resultados), siga este procedimento.

Se você for um membro que pode consultar e receber resultados (no console, suas habilidades de membro são Consultar e Receber resultados), você pode pular esse procedimento.

Para membros da colaboração que só podem receber resultados, AWS Clean Rooms usa uma função de serviço para gravar os resultados dos dados consultados na colaboração no bucket do Amazon S3 especificado.

Há duas maneiras de criar essa função de serviço:

Se... Então
Você tem as IAM permissões necessárias para criar uma função de serviço Use o AWS Clean Rooms console para criar uma função de serviço.

Você não temiam:CreateRole, iam:CreatePolicy nem iam:AttachRolePolicy permissões

ou

Você deseja criar as IAM funções manualmente

 Execute um destes procedimentos:

  • Use o procedimento a seguir para criar uma função de serviço.

  • Peça ao administrador que crie a função de serviço usando o procedimento a seguir.
Para criar uma função de serviço para receber resultados
nota

Você ou seu IAM administrador só devem seguir esse procedimento se não tiverem as permissões necessárias para criar uma função de serviço usando o AWS Clean Rooms console.

  1. Siga o procedimento Criar uma função usando políticas de confiança personalizadas (console) no Guia do AWS Identity and Access Management usuário.

  2. Use a seguinte política de confiança personalizada de acordo com o procedimento Criar uma função usando políticas de confiança personalizadas (console).

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIfExternalIdMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {
                    "sts:ExternalId": "arn:aws:*:region:*:dbuser:*/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa*"
                }
            }
        },
        {
            "Sid": "AllowIfSourceArnMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ForAnyValue:ArnEquals": {
                    "aws:SourceArn": [
                        "arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa"
                    ]
                
                }
            }
        }
    ]
}

  3. Use a política de permissões a seguir de acordo com o procedimento Criar uma função usando políticas de confiança personalizadas (console).

    nota

    O exemplo de política a seguir suporta as permissões necessárias para ler AWS Glue meta-dados e seus dados correspondentes do Amazon S3. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do S3.

    Seus AWS Glue recursos e os recursos subjacentes do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms 

    {

    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation", 
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount":"accountId"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name/optional_key_prefix/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount":"accountId"
                }
            }
        }
    ]
}

  4. Substitua cada placeholder com suas próprias informações:

    • region — O nome do Região da AWS. Por exemplo, us-east-1.

    • a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa — O ID de membro do membro que pode consultar. A ID de membro pode ser encontrada na guia Detalhes da colaboração. Isso garante que AWS Clean Rooms esteja assumindo a função somente quando esse membro executa a análise nessa colaboração.

    • arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa — A associação única ARN do membro que pode consultar. A associação ARN pode ser encontrada na guia Detalhes da colaboração. Isso garante AWS Clean Rooms que ele assuma a função somente quando esse membro executa a análise nessa colaboração.

    • bucket_name — O Amazon Resource Name (ARN) do bucket do S3. O Amazon Resource Name (ARN) pode ser encontrado na guia Propriedades do bucket no Amazon S3.

    • accountId — O Conta da AWS ID no qual o bucket do S3 está localizado.

      bucket_name/optional_key_prefix — O Amazon Resource Name (ARN) do destino dos resultados no S3. O Amazon Resource Name (ARN) pode ser encontrado na guia Propriedades do bucket no Amazon S3.

  5. Continue seguindo o procedimento Criando uma função usando políticas de confiança personalizadas (console) para criar a função.