設定 AWS Clean Rooms ML 的服務角色 - AWS Clean Rooms

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 AWS Clean Rooms ML 的服務角色

建立服務角色以讀取訓練資料

AWS Clean Rooms 使用服務角色來讀取訓練資料。如果您有必要的IAM權限,則可以使用控制台建立此角色。如果您沒有CreateRole權限,請要求管理員建立服務角色。

若要建立服務角色以訓練資料集
  1. 使用您的管理員帳戶登入IAM主控台 (https://console.aws.amazon.com/iam/)。

  2. Access management (存取管理) 下,請選擇 Policies (政策)。

  3. 選擇 Create policy (建立政策)。

  4. 在 [原則編輯器] 中,選取JSON索引標籤,然後複製並貼上下列原則。

    注意

    下列範例政策支援讀取 AWS Glue 中繼資料及其對應 Amazon S3 資料所需的許可。但是,您可能需要修改此政策,具體取決於您設定 S3 資料的方式。此原則不包含解密資料的KMS金鑰。

    您的 AWS Glue 資源和基礎 Amazon S3 資源必須與協同 AWS Clean Rooms 合 AWS 區域 作相同。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartitions", "glue:GetPartition", "glue:BatchGetPartition", "glue:GetUserDefinedFunctions" ], "Resource": [ "arn:aws:glue:region:accountId:database/databases", "arn:aws:glue:region:accountId:table/databases/tables", "arn:aws:glue:region:accountId:catalog", "arn:aws:glue:region:accountId:database/default" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase" ], "Resource": [ "arn:aws:glue:region:accountId:database/default" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::bucket" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }

    如果您需要使用密KMS鑰來解密數據,請將此 AWS KMS 語句添加到上一個模板中:

    { "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] }
  5. 選擇 Next (下一步)

  6. 對於檢閱和建立,請輸入策略名稱說明,然後檢閱摘要

  7. 選擇 建立政策

    您已針對建立策略 AWS Clean Rooms。

  8. Access management (存取管理) 下,請選擇 Roles (角色)。

    使用角色時,您可以建立短期認證,建議您提高安全性。您也可以選擇 [使用者] 建立長期認證。

  9. 選擇建立角色

  10. 在 [建立角色] 精靈中,針對 [信任的實體類型] 選擇 [自訂信任原則]。

  11. 將以下自訂信任原則複製並貼到編JSON輯器中。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:training-dataset/*" } } } ] }

    永遠SourceAccount是您的 AWS 帳戶。SourceArn可以限制為特定的訓練資料集,但只能在建立該資料集之後。因為您無法預先知道訓練資料集ARN,因此會在此指定萬用字元。

  12. 選擇 [下步],然後在 [新增權限] 底下輸入您剛建立的原則名稱。(您可能需要重新加載頁面。)

  13. 選取您建立之原則名稱旁的核取方塊,然後選擇 [下一步]。

  14. 名稱、檢閱和建立中,輸入角色名稱說明

    注意

    角色名稱必須與授予可查詢和接收結果和成員角色的成員passRole權限中的模式相符。

    1. 檢閱選取信任的實體,並視需要進行編輯。

    2. 檢閱新增權限中的權限,並視需要進行編輯。

    3. 檢閱標,並視需要新增標籤。

    4. 選擇建立角色

  15. AWS Clean Rooms 已建立的服務角色。

建立服務角色以撰寫相似區段

AWS Clean Rooms 使用服務角色將相似區段寫入值區。如果您有必要的IAM權限,則可以使用控制台建立此角色。如果您沒有CreateRole權限,請要求管理員建立服務角色。

若要建立服務角色以撰寫相似區段
  1. 使用您的管理員帳戶登入IAM主控台 (https://console.aws.amazon.com/iam/)。

  2. Access management (存取管理) 下,請選擇 Policies (政策)。

  3. 選擇 Create policy (建立政策)。

  4. 在 [原則編輯器] 中,選取JSON索引標籤,然後複製並貼上下列原則。

    注意

    下列範例政策支援讀取 AWS Glue 中繼資料及其對應 Amazon S3 資料所需的許可。但是,您可能需要修改此政策,具體取決於您設定 S3 資料的方式。此原則不包含解密資料的KMS金鑰。

    您的 AWS Glue 資源和基礎 Amazon S3 資源必須與協同 AWS Clean Rooms 合 AWS 區域 作相同。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::buckets" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }

    如果您需要使用密KMS鑰來加密數據,請將此 AWS KMS 語句添加到模板中:

    { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] }

    如果您需要使用密KMS鑰來解密數據,請將此 AWS KMS 語句添加到模板中:

    { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] }
  5. 選擇 Next (下一步)

  6. 對於檢閱和建立,請輸入策略名稱說明,然後檢閱摘要

  7. 選擇 建立政策

    您已針對建立策略 AWS Clean Rooms。

  8. Access management (存取管理) 下,請選擇 Roles (角色)。

    使用角色時,您可以建立短期認證,建議您提高安全性。您也可以選擇 [使用者] 建立長期認證。

  9. 選擇建立角色

  10. 在 [建立角色] 精靈中,針對 [信任的實體類型] 選擇 [自訂信任原則]。

  11. 將以下自訂信任原則複製並貼到編JSON輯器中。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:configured-audience-model/*" } } } ] }

    永遠SourceAccount是您的 AWS 帳戶。SourceArn可以限制為特定的訓練資料集,但只能在建立該資料集之後。因為您無法預先知道訓練資料集ARN,因此會在此指定萬用字元。

  12. 選擇 Next (下一步)

  13. 選取您建立之原則名稱旁的核取方塊,然後選擇 [下一步]。

  14. 名稱、檢閱和建立中,輸入角色名稱說明

    注意

    角色名稱必須與授予可查詢和接收結果和成員角色的成員passRole權限中的模式相符。

    1. 檢閱選取信任的實體,並視需要進行編輯。

    2. 檢閱新增權限中的權限,並視需要進行編輯。

    3. 檢閱標,並視需要新增標籤。

    4. 選擇建立角色

  15. AWS Clean Rooms 已建立的服務角色。

建立服務角色以讀取種子資料

AWS Clean Rooms 使用服務角色來讀取種子資料。如果您有必要的IAM權限,則可以使用控制台建立此角色。如果您沒有CreateRole權限,請要求管理員建立服務角色。

建立服務角色以讀取存放在 Amazon S3 儲存貯體中的種子資料。
  1. 使用您的管理員帳戶登入IAM主控台 (https://console.aws.amazon.com/iam/)。

  2. Access management (存取管理) 下,請選擇 Policies (政策)。

  3. 選擇 Create policy (建立政策)。

  4. 在 [原則編輯器] 中,選取JSON索引標籤,然後複製並貼上下列其中一個原則。

    注意

    下列範例政策支援讀取 AWS Glue 中繼資料及其對應 Amazon S3 資料所需的許可。但是,您可能需要修改此政策,具體取決於您設定 S3 資料的方式。此原則不包含解密資料的KMS金鑰。

    您的 AWS Glue 資源和基礎 Amazon S3 資源必須與協同 AWS Clean Rooms 合 AWS 區域 作相同。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", ], "Resource": [ "arn:aws:s3:::buckets" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }
    注意

    下列範例原則支援讀取SQL查詢結果並將其用作輸入資料所需的權限。但是,您可能需要修改此政策,具體取決於查詢的結構方式。此原則不包含解密資料的KMS金鑰。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCleanRoomsStartQuery", "Effect": "Allow", "Action": [ "cleanrooms:GetCollaborationAnalysisTemplate", "cleanrooms:GetSchema", "cleanrooms:StartProtectedQuery" ], "Resource": "*" }, { "Sid": "AllowCleanRoomsGetAndUpdateQuery", "Effect": "Allow", "Action": [ "cleanrooms:GetProtectedQuery", "cleanrooms:UpdateProtectedQuery" ], "Resource": [ "arn:aws:cleanrooms:{{region}}:{{queryRunnerAccountId}}:membership/{{queryRunnerMembershipId}}" ] } ] }

    如果您需要使用密KMS鑰來解密數據,請將此 AWS KMS 語句添加到模板中:

    { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] }
  5. 選擇 Next (下一步)

  6. 對於檢閱和建立,請輸入策略名稱說明,然後檢閱摘要

  7. 選擇 建立政策

    您已針對建立策略 AWS Clean Rooms。

  8. Access management (存取管理) 下,請選擇 Roles (角色)。

    使用角色時,您可以建立短期認證,建議您提高安全性。您也可以選擇 [使用者] 建立長期認證。

  9. 選擇建立角色

  10. 在 [建立角色] 精靈中,針對 [信任的實體類型] 選擇 [自訂信任原則]。

  11. 將以下自訂信任原則複製並貼到編JSON輯器中。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:audience-generation-job/*" } } } ] }

    永遠SourceAccount是您的 AWS 帳戶。SourceArn可以限制為特定的訓練資料集,但只能在建立該資料集之後。因為您無法預先知道訓練資料集ARN,因此會在此指定萬用字元。

  12. 選擇 Next (下一步)

  13. 選取您建立之原則名稱旁的核取方塊,然後選擇 [下一步]。

  14. 名稱、檢閱和建立中,輸入角色名稱說明

    注意

    角色名稱必須與授予可查詢和接收結果和成員角色的成員passRole權限中的模式相符。

    1. 檢閱選取信任的實體,並視需要進行編輯。

    2. 檢閱新增權限中的權限,並視需要進行編輯。

    3. 檢閱標,並視需要新增標籤。

    4. 選擇建立角色

  15. AWS Clean Rooms 已建立的服務角色。