Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# IAM-Verhalten für benutzerdefinierte Clean Rooms ML-Modelle
<a name="ml-behaviors-byom"></a>

## Cross-account Jobs
<a name="ml-behaviors-byom-cross-account-jobs"></a>

Clean Rooms ML ermöglicht den sicheren Zugriff auf bestimmte Ressourcen, die mit einer von einer Person AWS-Konto erstellten Zusammenarbeit verknüpft sind, von einer anderen Person in ihrem Konto AWS-Konto. Ein Client in AWS-Konto A, der über die Fähigkeit eines Mitglieds verfügt, Abfragen auszuführen `CreateTrainedModel``CreateMLInputChannel`, kann eine `ConfiguredModelAlgorithmAssociation` Ressource aufrufen, die einem anderen Mitglied der Kollaboration gehört, sofern dies durch die benutzerdefinierte Analyseregel, die mit erstellt wurde, zulässig `ConfiguredModelAlgorithmAssociation` ist`CreateConfiguredTableAnalysisRule`. `StartTrainedModelInferenceJob`

Darüber hinaus kann jedes aktive Mitglied einer Kollaboration Daten, die einem trainierten Modell oder einem ML-Eingangskanal zugeordnet sind, über die `DeleteMLInputChannelData` APIs `DeleteTrainedModelOutput` und löschen.

## Cross-account Zugriff
<a name="ml-behaviors-byom-cross-account-access"></a>

Clean Rooms ML ermöglicht Benutzern das Abrufen von Metadaten zu Ressourcen, die von anderen Konten erstellt wurden, über die `ListCollaboration` APIs `GetCollaboration` und. Clean Rooms ML gibt keine KMS-Schlüssel-ARNs, -Tags, Umgebungsvariablen oder Hyperparameter (für die `TrainedModel` Aktion) an andere Konten weiter.

## Zugriff auf Mitgliedschaft und Zusammenarbeit
<a name="ml-behaviors-byom-membership-collaboration-access"></a>

Beim Zugriff auf Mitgliedschafts- und Kollaborationsressourcen im Kontext von benutzerdefinierten Clean Rooms ML-Modellen benötigt die Identitätsrichtlinie eines Benutzers Berechtigungen für die Aktionen `cleanrooms:PassMembership` oder beides. `cleanrooms:PassCollaboration` Alle APIs, die akzeptieren, `membershipId` benötigen die `cleanrooms:PassMembership` Genehmigung, und alle APIs, die akzeptieren, `collaborationId` benötigen die `cleanrooms:PassCollaboration` Genehmigung. Es wird ein Beispiel für eine Identitätsrichtlinie für eine Rolle bereitgestellt, die `createTrainedModel` im Kontext einer Mitglieds-ID aufgerufen werden kann, die `GetCollaborationTrainedModel` im Kontext einer Kollaborations-ID aufgerufen werden kann.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCleanroomsMLActions",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:PassCollaboration",
                "cleanrooms:PassMembership"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowMembershipAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetMembership"
            ],
            "Resource": [
                "arn:aws:cleanrooms:{{us-east-1}}:{{111122223333}}:membership/{{memberId}}"
            ]
        },
        {
            "Sid": "AllowCollaborationAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaboration"
            ],
            "Resource": [
                "arn:aws:cleanrooms:{{us-east-1}}:{{111122223333}}:collaboration/{{collaborationId}}"
            ]
        }
    ]
}
```

------