AWS Clean Rooms ML 的 IAM 行為 - AWS Clean Rooms
跨帳戶任務標記任務驗證協作者跨帳戶存取權

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Clean Rooms ML 的 IAM 行為

跨帳戶任務

Clean Rooms ML AWS 帳戶 可讓一個 建立的特定資源在帳戶中由另一個資源安全存取 AWS 帳戶。當 A AWS 帳戶 中的用戶端StartAudienceGenerationJob呼叫 AWS 帳戶 B 擁有ConfiguredAudienceModel的資源時,Clean Rooms ML 會為任務建立兩個 ARNs。A 中的一個 ARN, AWS 帳戶 B AWS 帳戶 中的另一個 ARN。ARNs是相同的,但 ARN 除外 AWS 帳戶。

Clean Rooms ML 會為任務建立兩個 ARNs,以確保兩個帳戶都可以將自己的 IAM 政策套用至任務。例如,這兩個帳戶都可以使用標籤型存取控制,並從其 AWS 組織套用政策。任務會處理來自兩個帳戶的資料,因此兩個帳戶都可以刪除任務及其相關聯的資料。兩個帳戶都無法封鎖另一個帳戶刪除任務。

只有一個任務執行,兩個帳戶在呼叫 時都可以看到任務ListAudienceGenerationJobs。這兩個帳戶都可以使用具有其 AWS 帳戶 ID Get的 ARN 來呼叫任務上的 Delete、 和 Export APIs。

使用 ARN 搭配其他 AWS 帳戶 ID 時,兩者都 AWS 帳戶 無法存取任務。

任務的名稱在 中必須是唯一的 AWS 帳戶。 AWS 帳戶 B 中的名稱為 $accountA-$name。在 AWS 帳戶 B 中檢視任務時, AWS 帳戶 A 所選擇的名稱會以 AWS 帳戶 A 開頭。

為了StartAudienceGenerationJob讓跨帳戶成功, AWS 帳戶 B 必須使用類似下列範例的資源政策,在 AWS 帳戶 B 中的新任務和 AWS 帳戶 B ConfiguredAudienceModel中的 上允許該動作:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Clean-Rooms-<CAMA ID>",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "accountA" 
                ]
            },
            "Action": [
                "cleanrooms-ml:StartAudienceGenerationJob"
            ],
            "Resource": [
                "arn:aws:cleanrooms-ml:us-west-1:AccountB:configured-audience-model/id",
                "arn:aws:cleanrooms-ml:us-west-1:AccountB:audience-generation-job/*"
            ],
            // optional - always set by AWS Clean Rooms
"Condition":{"StringEquals":{"cleanrooms-ml:CollaborationId":"UUID"}}
        }
    ]
}

如果您使用 AWS Clean Rooms ML API 來建立manageResourcePolicies設定為 true 的已設定外觀模型, 會為您 AWS Clean Rooms 建立此政策。

此外, AWS 帳戶 A 中來電者的身分政策需要 的StartAudienceGenerationJob許可arn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/*。因此,A 任務、 AWS 帳戶 B StartAudienceGenerationJob AWS 帳戶 任務和 AWS 帳戶 B 有三種 IAM 資源ConfiguredAudienceModel

警告

AWS 帳戶 開始任務的 會收到有關任務的 AWS CloudTrail 稽核日誌事件。擁有 AWS 帳戶 的 ConfiguredAudienceModel不會收到 AWS CloudTrail 稽核日誌事件。

標記任務

當您設定 childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE 參數 時CreateConfiguredAudienceModel,您帳戶中從該已設定的外觀模型建立的所有類似客群產生任務,預設為具有與已設定的外觀模型相同的標籤。設定的類似模型是父系,而類似 區段的產生任務是子系。

如果您要在自己的帳戶中建立任務,任務的請求標籤會覆寫父標籤。其他帳戶建立的任務永遠不會在您的帳戶中建立標籤。如果您設定 ,childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE而另一個帳戶建立任務,則有兩個任務複本。您帳戶中的複本具有父資源標籤,而任務提交者帳戶中的複本具有來自請求的標籤。

驗證協作者

將許可授予 AWS Clean Rooms 協同合作的其他成員時,資源政策應包含條件索引鍵 cleanrooms-ml:CollaborationId。這會強制執行 collaborationId 參數包含在 StartAudienceGenerationJob 請求中。當 collaborationId 參數包含在請求中時,Clean Rooms ML 會驗證協作是否存在、任務提交者是協作的作用中成員,而設定的類似模型擁有者是協作的作用中成員。

當 AWS Clean Rooms 管理您設定的外觀模型資源政策 ( manageResourcePolicies 參數位於 CreateConfiguredAudienceModelAssociation 請求TRUE中) 時,此條件金鑰將在資源政策中設定。因此,您必須在 StartAudienceGenerationJob collaborationId中指定 。

跨帳戶存取權

StartAudienceGenerationJob 只能跨帳戶呼叫 。所有其他 Clean Rooms ML APIs只能與您自己的帳戶中的資源搭配使用。這可確保您的訓練資料、類似模型組態和其他資訊保持私密。

Clean Rooms ML 絕不會揭露 Amazon S3 或跨帳戶 AWS Glue 的位置。訓練資料位置、已設定的外觀模型輸出位置和外觀區段產生任務種子位置永遠不會在帳戶之間顯示。除非在協同合作中啟用查詢記錄,否則種子資料是否來自 SQL 查詢,且查詢本身不會在帳戶間顯示。如果您是另一個帳戶提交的Get對象產生任務,服務不會顯示種子位置。