本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 AWS Clean Rooms ML 的服務角色
建立服務角色以讀取訓練資料
AWS Clean Rooms 使用服務角色來讀取訓練資料。如果您有必要的IAM權限,則可以使用控制台建立此角色。如果您沒有CreateRole權限,請要求管理員建立服務角色。
若要建立服務角色以訓練資料集
-
使用您的管理員帳戶登入IAM主控台 (https://console.aws.amazon.com/iam/
)。 -
在 Access management (存取管理) 下,請選擇 Policies (政策)。
-
選擇 Create policy (建立政策)。
-
在 [原則編輯器] 中,選取JSON索引標籤,然後複製並貼上下列原則。
注意
下列範例政策支援讀取 AWS Glue 中繼資料及其對應 Amazon S3 資料所需的許可。但是,您可能需要修改此政策,具體取決於您設定 S3 資料的方式。此原則不包含解密資料的KMS金鑰。
您的 AWS Glue 資源和基礎 Amazon S3 資源必須與協同 AWS Clean Rooms 合 AWS 區域 作相同。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartitions", "glue:GetPartition", "glue:BatchGetPartition", "glue:GetUserDefinedFunctions" ], "Resource": [ "arn:aws:glue:region:accountId:database/databases", "arn:aws:glue:region:accountId:table/databases/tables", "arn:aws:glue:region:accountId:catalog", "arn:aws:glue:region:accountId:database/default" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase" ], "Resource": [ "arn:aws:glue:region:accountId:database/default" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::bucket" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }如果您需要使用密KMS鑰來解密數據,請將此 AWS KMS 語句添加到上一個模板中:
{ "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
選擇 Next (下一步)。
-
對於檢閱和建立,請輸入策略名稱和說明,然後檢閱摘要。
-
選擇 建立政策。
您已針對建立策略 AWS Clean Rooms。
-
在 Access management (存取管理) 下,請選擇 Roles (角色)。
使用角色時,您可以建立短期認證,建議您提高安全性。您也可以選擇 [使用者] 建立長期認證。
-
選擇建立角色。
-
在 [建立角色] 精靈中,針對 [信任的實體類型] 選擇 [自訂信任原則]。
-
將以下自訂信任原則複製並貼到編JSON輯器中。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:training-dataset/*" } } } ] }永遠
SourceAccount是您的 AWS 帳戶。SourceArn可以限制為特定的訓練資料集,但只能在建立該資料集之後。因為您無法預先知道訓練資料集ARN,因此會在此指定萬用字元。 -
選擇 [下一步],然後在 [新增權限] 底下輸入您剛建立的原則名稱。(您可能需要重新加載頁面。)
-
選取您建立之原則名稱旁的核取方塊,然後選擇 [下一步]。
-
在名稱、檢閱和建立中,輸入角色名稱和說明。
注意
角色名稱必須與授予可查詢和接收結果和成員角色的成員
passRole權限中的模式相符。-
檢閱選取信任的實體,並視需要進行編輯。
-
檢閱新增權限中的權限,並視需要進行編輯。
-
檢閱標籤,並視需要新增標籤。
-
選擇建立角色。
-
-
AWS Clean Rooms 已建立的服務角色。
建立服務角色以撰寫相似區段
AWS Clean Rooms 使用服務角色將相似區段寫入值區。如果您有必要的IAM權限,則可以使用控制台建立此角色。如果您沒有CreateRole權限,請要求管理員建立服務角色。
若要建立服務角色以撰寫相似區段
-
使用您的管理員帳戶登入IAM主控台 (https://console.aws.amazon.com/iam/
)。 -
在 Access management (存取管理) 下,請選擇 Policies (政策)。
-
選擇 Create policy (建立政策)。
-
在 [原則編輯器] 中,選取JSON索引標籤,然後複製並貼上下列原則。
注意
下列範例政策支援讀取 AWS Glue 中繼資料及其對應 Amazon S3 資料所需的許可。但是,您可能需要修改此政策,具體取決於您設定 S3 資料的方式。此原則不包含解密資料的KMS金鑰。
您的 AWS Glue 資源和基礎 Amazon S3 資源必須與協同 AWS Clean Rooms 合 AWS 區域 作相同。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::buckets" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }如果您需要使用密KMS鑰來加密數據,請將此 AWS KMS 語句添加到模板中:
{ "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] }如果您需要使用密KMS鑰來解密數據,請將此 AWS KMS 語句添加到模板中:
{ "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
選擇 Next (下一步)。
-
對於檢閱和建立,請輸入策略名稱和說明,然後檢閱摘要。
-
選擇 建立政策。
您已針對建立策略 AWS Clean Rooms。
-
在 Access management (存取管理) 下,請選擇 Roles (角色)。
使用角色時,您可以建立短期認證,建議您提高安全性。您也可以選擇 [使用者] 建立長期認證。
-
選擇建立角色。
-
在 [建立角色] 精靈中,針對 [信任的實體類型] 選擇 [自訂信任原則]。
-
將以下自訂信任原則複製並貼到編JSON輯器中。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:configured-audience-model/*" } } } ] }永遠
SourceAccount是您的 AWS 帳戶。SourceArn可以限制為特定的訓練資料集,但只能在建立該資料集之後。因為您無法預先知道訓練資料集ARN,因此會在此指定萬用字元。 -
選擇 Next (下一步)。
-
選取您建立之原則名稱旁的核取方塊,然後選擇 [下一步]。
-
在名稱、檢閱和建立中,輸入角色名稱和說明。
注意
角色名稱必須與授予可查詢和接收結果和成員角色的成員
passRole權限中的模式相符。-
檢閱選取信任的實體,並視需要進行編輯。
-
檢閱新增權限中的權限,並視需要進行編輯。
-
檢閱標籤,並視需要新增標籤。
-
選擇建立角色。
-
-
AWS Clean Rooms 已建立的服務角色。
建立服務角色以讀取種子資料
AWS Clean Rooms 使用服務角色來讀取種子資料。如果您有必要的IAM權限,則可以使用控制台建立此角色。如果您沒有CreateRole權限,請要求管理員建立服務角色。
建立服務角色以讀取存放在 Amazon S3 儲存貯體中的種子資料。
-
使用您的管理員帳戶登入IAM主控台 (https://console.aws.amazon.com/iam/
)。 -
在 Access management (存取管理) 下,請選擇 Policies (政策)。
-
選擇 Create policy (建立政策)。
-
在 [原則編輯器] 中,選取JSON索引標籤,然後複製並貼上下列其中一個原則。
注意
下列範例政策支援讀取 AWS Glue 中繼資料及其對應 Amazon S3 資料所需的許可。但是,您可能需要修改此政策,具體取決於您設定 S3 資料的方式。此原則不包含解密資料的KMS金鑰。
您的 AWS Glue 資源和基礎 Amazon S3 資源必須與協同 AWS Clean Rooms 合 AWS 區域 作相同。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", ], "Resource": [ "arn:aws:s3:::buckets" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }注意
下列範例原則支援讀取SQL查詢結果並將其用作輸入資料所需的權限。但是,您可能需要修改此政策,具體取決於查詢的結構方式。此原則不包含解密資料的KMS金鑰。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCleanRoomsStartQuery", "Effect": "Allow", "Action": [ "cleanrooms:GetCollaborationAnalysisTemplate", "cleanrooms:GetSchema", "cleanrooms:StartProtectedQuery" ], "Resource": "*" }, { "Sid": "AllowCleanRoomsGetAndUpdateQuery", "Effect": "Allow", "Action": [ "cleanrooms:GetProtectedQuery", "cleanrooms:UpdateProtectedQuery" ], "Resource": [ "arn:aws:cleanrooms:{{region}}:{{queryRunnerAccountId}}:membership/{{queryRunnerMembershipId}}" ] } ] }如果您需要使用密KMS鑰來解密數據,請將此 AWS KMS 語句添加到模板中:
{ "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
選擇 Next (下一步)。
-
對於檢閱和建立,請輸入策略名稱和說明,然後檢閱摘要。
-
選擇 建立政策。
您已針對建立策略 AWS Clean Rooms。
-
在 Access management (存取管理) 下,請選擇 Roles (角色)。
使用角色時,您可以建立短期認證,建議您提高安全性。您也可以選擇 [使用者] 建立長期認證。
-
選擇建立角色。
-
在 [建立角色] 精靈中,針對 [信任的實體類型] 選擇 [自訂信任原則]。
-
將以下自訂信任原則複製並貼到編JSON輯器中。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:audience-generation-job/*" } } } ] }永遠
SourceAccount是您的 AWS 帳戶。SourceArn可以限制為特定的訓練資料集,但只能在建立該資料集之後。因為您無法預先知道訓練資料集ARN,因此會在此指定萬用字元。 -
選擇 Next (下一步)。
-
選取您建立之原則名稱旁的核取方塊,然後選擇 [下一步]。
-
在名稱、檢閱和建立中,輸入角色名稱和說明。
注意
角色名稱必須與授予可查詢和接收結果和成員角色的成員
passRole權限中的模式相符。-
檢閱選取信任的實體,並視需要進行編輯。
-
檢閱新增權限中的權限,並視需要進行編輯。
-
檢閱標籤,並視需要新增標籤。
-
選擇建立角色。
-
-
AWS Clean Rooms 已建立的服務角色。
