View a markdown version of this page

Comportamientos de IAM para los modelos personalizados de Clean Rooms ML - AWS Clean Rooms
Cross-account trabajosCross-account accederAcceso a membresías y colaboraciones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Comportamientos de IAM para los modelos personalizados de Clean Rooms ML

Cross-account trabajos

Clean Rooms ML permite que otro acceda de forma segura a determinados recursos asociados Cuenta de AWS a una colaboración creada por uno de ellos en su cuenta Cuenta de AWS. Un cliente de Cuenta de AWS A con la capacidad de realizar consultas como miembro puede llamar CreateTrainedModel o utilizar StartTrainedModelInferenceJob un ConfiguredModelAlgorithmAssociation recurso propiedad de otro miembro de la colaboración, siempre que lo permita la ConfiguredModelAlgorithmAssociation regla de análisis personalizada creada con ellaCreateConfiguredTableAnalysisRule. CreateMLInputChannel

Además, cualquier miembro activo de una colaboración puede eliminar los datos asociados a un modelo entrenado o a un canal de entrada de aprendizaje automático a través de DeleteMLInputChannelData las API DeleteTrainedModelOutput y.

Cross-account acceder

Clean Rooms ML permite a los usuarios recuperar metadatos sobre los recursos creados por otras cuentas a través de ListCollaboration las API GetCollaboration y. Clean Rooms ML no revela los ARN, etiquetas, variables de entorno o hiperparámetros clave del KMS (para la TrainedModel acción) a otras cuentas.

Acceso a membresías y colaboraciones

Al acceder a los recursos de membresía y colaboración en el contexto de los modelos personalizados de Clean Rooms ML, la política de identidad del usuario necesita permisos para las acciones cleanrooms:PassMembershipcleanrooms:PassCollaboration, o ambos. Todas las API que aceptan membershipId necesitan el cleanrooms:PassMembership permiso y todas las API que collaborationId lo aceptan necesitan el cleanrooms:PassCollaboration permiso. Se proporciona un ejemplo de política de identidad para un rol al que se puede llamar createTrainedModel en el contexto de un ID de membresía y al que se puede llamar GetCollaborationTrainedModel en el contexto de un ID de colaboración.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCleanroomsMLActions",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:PassCollaboration",
                "cleanrooms:PassMembership"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowMembershipAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetMembership"
            ],
            "Resource": [
                "arn:aws:cleanrooms:us-east-1:111122223333:membership/memberId"
            ]
        },
        {
            "Sid": "AllowCollaborationAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaboration"
            ],
            "Resource": [
                "arn:aws:cleanrooms:us-east-1:111122223333:collaboration/collaborationId"
            ]
        }
    ]
}