View a markdown version of this page

IAM-Verhalten für benutzerdefinierte Clean Rooms ML-Modelle - AWS Clean Rooms
Cross-account JobsCross-account ZugriffZugriff auf Mitgliedschaft und Zusammenarbeit

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Verhalten für benutzerdefinierte Clean Rooms ML-Modelle

Cross-account Jobs

Clean Rooms ML ermöglicht den sicheren Zugriff auf bestimmte Ressourcen, die mit einer von einer Person AWS-Konto erstellten Zusammenarbeit verknüpft sind, von einer anderen Person in ihrem Konto AWS-Konto. Ein Client in AWS-Konto A, der über die Fähigkeit eines Mitglieds verfügt, Abfragen auszuführen CreateTrainedModelCreateMLInputChannel, kann eine ConfiguredModelAlgorithmAssociation Ressource aufrufen, die einem anderen Mitglied der Kollaboration gehört, sofern dies durch die benutzerdefinierte Analyseregel, die mit erstellt wurde, zulässig ConfiguredModelAlgorithmAssociation istCreateConfiguredTableAnalysisRule. StartTrainedModelInferenceJob

Darüber hinaus kann jedes aktive Mitglied einer Kollaboration Daten, die einem trainierten Modell oder einem ML-Eingangskanal zugeordnet sind, über die DeleteMLInputChannelData APIs DeleteTrainedModelOutput und löschen.

Cross-account Zugriff

Clean Rooms ML ermöglicht Benutzern das Abrufen von Metadaten zu Ressourcen, die von anderen Konten erstellt wurden, über die ListCollaboration APIs GetCollaboration und. Clean Rooms ML gibt keine KMS-Schlüssel-ARNs, -Tags, Umgebungsvariablen oder Hyperparameter (für die TrainedModel Aktion) an andere Konten weiter.

Zugriff auf Mitgliedschaft und Zusammenarbeit

Beim Zugriff auf Mitgliedschafts- und Kollaborationsressourcen im Kontext von benutzerdefinierten Clean Rooms ML-Modellen benötigt die Identitätsrichtlinie eines Benutzers Berechtigungen für die Aktionen cleanrooms:PassMembership oder beides. cleanrooms:PassCollaboration Alle APIs, die akzeptieren, membershipId benötigen die cleanrooms:PassMembership Genehmigung, und alle APIs, die akzeptieren, collaborationId benötigen die cleanrooms:PassCollaboration Genehmigung. Es wird ein Beispiel für eine Identitätsrichtlinie für eine Rolle bereitgestellt, die createTrainedModel im Kontext einer Mitglieds-ID aufgerufen werden kann, die GetCollaborationTrainedModel im Kontext einer Kollaborations-ID aufgerufen werden kann.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCleanroomsMLActions",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:PassCollaboration",
                "cleanrooms:PassMembership"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowMembershipAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetMembership"
            ],
            "Resource": [
                "arn:aws:cleanrooms:us-east-1:111122223333:membership/memberId"
            ]
        },
        {
            "Sid": "AllowCollaborationAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaboration"
            ],
            "Resource": [
                "arn:aws:cleanrooms:us-east-1:111122223333:collaboration/collaborationId"
            ]
        }
    ]
}