Creación de un usuario administrador Creación de un rol de IAM para un miembro de la colaboración Cree un rol de servicio para leer datos de Amazon S3 Cree un rol de servicio para leer los datos de Amazon Athena Cree un rol de servicio para leer los datos de Snowflake Cree un rol de servicio para leer el código de un bucket de S3 (rol de plantilla de PySpark análisis)Cree un rol de servicio para escribir los resultados de un PySpark trabajo Creación de un rol de servicio para recibir resultados

Configure las funciones de servicio para AWS Clean Rooms

En las siguientes secciones se describen las funciones necesarias para realizar cada tarea.

Temas

Creación de un usuario administrador
Creación de un rol de IAM para un miembro de la colaboración
Cree un rol de servicio para leer datos de Amazon S3
Cree un rol de servicio para leer los datos de Amazon Athena
Cree un rol de servicio para leer los datos de Snowflake
Cree un rol de servicio para leer el código de un bucket de S3 (rol de plantilla de PySpark análisis)
Cree un rol de servicio para escribir los resultados de un PySpark trabajo
Creación de un rol de servicio para recibir resultados

Creación de un usuario administrador

Para AWS Clean Rooms utilizarlos, debe crear un usuario administrador para usted y añadir el usuario administrador a un grupo de administradores.

Para crear un usuario administrador, elija una de las siguientes opciones.

Elegir una forma de administrar el administrador	Para	Haga esto	También puede
En IAM Identity Center (recomendado)	Usar credenciales a corto plazo para acceder a AWS. Esto se ajusta a las prácticas recomendadas de seguridad. Para obtener información sobre las prácticas recomendadas, consulta Prácticas recomendadas de seguridad en IAM en la Guía del usuario de IAM.	Siga las instrucciones en Introducción en la Guía del usuario de AWS IAM Identity Center .	Configure el acceso mediante programación configurando el AWS CLI que se utilizará AWS IAM Identity Center en la Guía del AWS Command Line Interface usuario.
En IAM (no recomendado)	Usar credenciales a largo plazo para acceder a AWS.	Siguiendo las instrucciones de Crear un usuario de IAM para acceso de emergencia de la Guía del usuario de IAM.	Configure el acceso programático mediante Administrar las claves de acceso de los usuarios de IAM en la Guía del usuario de IAM.

Creación de un rol de IAM para un miembro de la colaboración

Un miembro es un AWS cliente que participa en una colaboración.

Para crear un rol de IAM para un miembro de la colaboración

Siga el procedimiento Creación de un rol para delegar permisos a un usuario de IAM de la Guía del usuario de AWS Identity and Access Management .

Para el paso Creación de política, seleccione la pestaña JSON en el Editor de políticas y, a continuación, agregue políticas en función de las capacidades otorgadas al miembro de la colaboración.

AWS Clean Rooms ofrece las siguientes políticas administradas basadas en casos de uso comunes.

Si desea…	Entonces use...
Ver los recursos y metadatos	AWS política gestionada: AWSCleanRoomsReadOnlyAccess
Consultar	AWS política gestionada: AWSCleanRoomsFullAccess
Consulta y ejecuta trabajos	AWS política gestionada: AWSCleanRoomsFullAccess
Consultar y recibir resultados	AWS política gestionada: AWSCleanRoomsFullAccess
Administración de los recursos de colaboración, pero no consultas	AWS política gestionada: AWSCleanRoomsFullAccessNoQuerying

Para obtener información sobre las diferentes políticas gestionadas que ofrecen AWS Clean Rooms, consulteAWS políticas gestionadas para AWS Clean Rooms,

Cree un rol de servicio para leer datos de Amazon S3

AWS Clean Rooms utiliza un rol de servicio para leer los datos de Amazon S3.

Hay dos formas de crear este rol de servicio.

Si tiene los permisos de IAM necesarios para crear un rol de servicio, utilice la AWS Clean Rooms consola para crear un rol de servicio.
Si no tiene iam:CreateRole iam:AttachRolePolicy permisos o desea crear iam:CreatePolicy los roles de IAM manualmente, realice una de las siguientes acciones:
- Utilice el siguiente procedimiento para crear un rol de servicio mediante políticas de confianza personalizadas.
- Pídale al administrador que cree el rol de servicio mediante el siguiente procedimiento.

nota

Usted o su administrador de IAM deben seguir este procedimiento únicamente si no tienen los permisos necesarios para crear un rol de servicio mediante la AWS Clean Rooms consola.

Para crear un rol de servicio para leer datos de Amazon S3 mediante políticas de confianza personalizadas

Cree un rol mediante políticas de confianza personalizadas. Para obtener más información, consulte el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola) en la Guía del AWS Identity and Access Management usuario.
Utilice la siguiente política de confianza personalizada de acuerdo con el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola).

nota
Si quiere asegurarse de que el rol se utilice únicamente en el contexto de una determinada membresía de colaboración, puede ampliar la política de confianza. Para obtener más información, consulte Prevención de la sustitución confusa entre servicios.
JSON
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RoleTrustPolicyForCleanRoomsService", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Utilice la siguiente política de permisos de acuerdo con el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola).

nota

La siguiente política de ejemplo admite los permisos necesarios para leer los metadatos de AWS Glue y los datos de Amazon S3 correspondientes. Sin embargo, es posible que tengas que modificar esta política en función de cómo hayas configurado los datos de Amazon S3. Por ejemplo, si ha configurado una clave de KMS personalizada para sus datos de Amazon S3, es posible que deba modificar esta política con permisos adicionales AWS Key Management Service (AWS KMS).

Sus AWS Glue recursos y los recursos subyacentes de Amazon S3 deben estar en la Región de AWS misma posición que los de la AWS Clean Rooms colaboración.

JSON


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "NecessaryGluePermissions",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:us-east-1:111122223333:database/databaseName",
                "arn:aws:glue:us-east-1:111122223333:table/databaseName/tableName",
                "arn:aws:glue:us-east-1:111122223333:catalog"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetSchema",
                "glue:GetSchemaVersion"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "NecessaryS3BucketPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": [
                        "444455556666"
                    ]
                }
            }
        },
        {
            "Sid": "NecessaryS3ObjectPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket/prefix/*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": [
                        "444455556666"
                    ]
                }
            }
        }
    ]
}

nota

Esta política hace referencia a dos tipos diferentes Cuenta de AWS IDs para respaldar una AWS Clean Rooms colaboración en la que las distintas partes gestionen los metadatos del catálogo de datos y el almacenamiento real de los datos:

111122223333: es la cuenta propietaria de los recursos del catálogo de AWS Glue datos (bases de datos, tablas y catálogos). La primera instrucción otorga permisos para acceder a los esquemas de tablas, la información de particiones y los metadatos del catálogo de esta cuenta. AWS Glue
444455556666: es la cuenta propietaria del bucket de Amazon S3 que contiene los archivos de datos reales. Los permisos de Amazon S3 (estados de cuenta 3 y 4) están restringidos a los buckets propiedad de esta cuenta a través de esta s3:ResourceAccount condición.

Esta configuración es compatible con las arquitecturas de datos empresariales habituales, en las que un equipo administra el catálogo de datos y las definiciones del esquema, mientras que otro equipo es propietario de la infraestructura de almacenamiento de datos subyacente. La s3:ResourceAccount condición proporciona una capa de seguridad adicional al garantizar que las operaciones de Amazon S3 solo funcionen en los buckets que pertenecen a la cuenta designada.

Reemplace cada placeholder por su propia información.
Siga el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola) para crear el rol.

Cree un rol de servicio para leer los datos de Amazon Athena

AWS Clean Rooms utiliza un rol de servicio para leer los datos de Amazon Athena.

Para crear un rol de servicio para leer datos de Athena mediante políticas de confianza personalizadas

Cree un rol mediante políticas de confianza personalizadas. Para obtener más información, consulte el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola) en la Guía del AWS Identity and Access Management usuario.
Utilice la siguiente política de confianza personalizada de acuerdo con el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola).

nota
Si quiere asegurarse de que el rol se utilice únicamente en el contexto de una determinada membresía de colaboración, puede ampliar la política de confianza. Para obtener más información, consulte Prevención de la sustitución confusa entre servicios.
JSON
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RoleTrustPolicyForCleanRoomsService", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Utilice la siguiente política de permisos de acuerdo con el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola).

nota

El siguiente ejemplo de política admite los permisos necesarios para leer AWS Glue los metadatos y sus datos de Athena correspondientes. Sin embargo, es posible que tengas que modificar esta política en función de cómo hayas configurado los datos de Amazon S3. Por ejemplo, si ya configuró una clave de KMS personalizada para sus datos de Amazon S3, es posible que deba modificar esta política con AWS KMS permisos adicionales.

Sus AWS Glue recursos y los recursos subyacentes de Athena deben ser los mismos que los de la Región de AWS AWS Clean Rooms colaboración.

Reemplace cada placeholder por su propia información.
Siga el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola) para crear el rol.

Configurar permisos de Lake Formation

Si consulta recursos protegidos con permisos de Lake Formation, el rol de servicio debe tener permisos de acceso de selección table/view y descripción en la AWS Glue base de datos en la que está almacenada la vista.

Para obtener más información, consulte:

Utilice Athena para consultar los datos registrados AWS Lake Formation en la Guía del usuario de Amazon Athena
Cómo incorporar los permisos de Lake Formation en la Guía AWS Lake Formation para desarrolladores

Cree un rol de servicio para leer los datos de Snowflake

AWS Clean Rooms utiliza un rol de servicio para recuperar las credenciales para que Snowflake lea los datos de esta fuente.

Hay dos formas de crear este rol de servicio:

Si tiene los permisos de IAM necesarios para crear un rol de servicio, utilice la AWS Clean Rooms consola para crear un rol de servicio.
Si no tiene iam:CreateRole iam:AttachRolePolicy permisos o desea crear iam:CreatePolicy los roles de IAM manualmente, realice una de las siguientes acciones:
- Utilice el siguiente procedimiento para crear un rol de servicio mediante políticas de confianza personalizadas.
- Pídale al administrador que cree el rol de servicio mediante el siguiente procedimiento.

nota

Usted o su administrador de IAM deben seguir este procedimiento únicamente si no tienen los permisos necesarios para crear un rol de servicio mediante la AWS Clean Rooms consola.

Para crear un rol de servicio para leer datos de Snowflake mediante políticas de confianza personalizadas

Cree un rol mediante políticas de confianza personalizadas. Para obtener más información, consulte el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola) en la Guía del AWS Identity and Access Management usuario.
Utilice la siguiente política de confianza personalizada de acuerdo con el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola).

nota
Si quiere asegurarse de que el rol se utilice únicamente en el contexto de una determinada membresía de colaboración, puede ampliar la política de confianza. Para obtener más información, consulte Prevención de la sustitución confusa entre servicios.
JSON
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIfSourceArnMatches", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ForAnyValue:ArnEquals": { "aws:SourceArn": [ "arn:aws:cleanrooms:us-east-1:111122223333:membership/membershipId", "arn:aws:cleanrooms:us-east-1:444455556666:membership/queryRunnerMembershipId" ] } } } ] }
nota
Esta política de confianza hace referencia a dos tipos diferentes Cuenta de AWS IDs para respaldar una AWS Clean Rooms colaboración en la que las responsabilidades de ejecución de las consultas se distribuyen entre varias partes:
- 111122223333: esta es la cuenta que contiene una membresía que participa en la colaboración. Esta membresía puede ser propietaria de tablas de datos, reglas de análisis u otros recursos de colaboración que requieran acceso desde un rol.
- 444455556666: esta es la cuenta que contiene la membresía responsable de ejecutar las consultas (el «ejecutor de consultas»). Esta membresía ejecuta consultas protegidas y debe asumir esta función para acceder a los recursos informáticos y de datos necesarios.
Esta configuración permite escenarios en los que una parte proporciona plantillas de datos o análisis mientras que otra parte ejecuta las consultas reales. Ambas funciones requieren permisos diferentes pero complementarios a través de la misma función de ejecución. La aws:SourceArn condición garantiza que solo AWS Clean Rooms las operaciones que se originen a partir de estas dos membresías específicas puedan asumir esa función, manteniendo la seguridad y, al mismo tiempo, apoyando el flujo de trabajo distribuido de ejecución de tareas y gestión de resultados.
Utilice una de las siguientes políticas de permisos según el procedimiento de creación de un rol mediante políticas de confianza personalizadas (consola).

Política de permisos para los secretos cifrados con una clave KMS propiedad del cliente
JSON
{ "Version": "2012-10-17", "Statement": [ { "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secretIdentifier", "Effect": "Allow" }, { "Sid": "AllowDecryptViaSecretsManagerForKey", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-east-1:444455556666:key/keyIdentifier", "Effect": "Allow", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secretIdentifier" } } } ] }
nota
Esta política hace referencia a dos opciones diferentes Cuenta de AWS IDs para respaldar un escenario de gestión de secretos entre cuentas:
- 111122223333: esta es la cuenta que posee y almacena el secreto. La primera declaración otorga permiso para recuperar el valor secreto de esta cuenta.
- 444455556666: es la cuenta propietaria de la AWS KMS clave utilizada para cifrar el secreto. La segunda declaración otorga permiso para descifrar el secreto con la AWS KMS clave de esta cuenta.
Esta configuración es común en entornos empresariales en los que:
- Los secretos se administran de forma centralizada en una cuenta (cuenta 1)
- Las claves de cifrado se administran mediante una cuenta de seguridad o de servicios compartidos independiente (cuenta 2)
- La política de AWS KMS claves de la cuenta 2 también debe permitir que el servicio de la cuenta 1 utilice la clave para encryption/decryption las operaciones
Esta kms:EncryptionContext:SecretARN condición garantiza que la AWS KMS clave solo se pueda usar para descifrar este secreto específico, lo que proporciona un nivel de seguridad adicional para el acceso entre cuentas.
Política de permisos para los secretos cifrados con un Clave administrada de AWS
JSON
{ "Version": "2012-10-17", "Statement": [ { "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secretIdentifier", "Effect": "Allow" } ] }
Reemplace cada placeholder por su propia información.
Siga el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola) para crear el rol.

Cree un rol de servicio para leer el código de un bucket de S3 (rol de plantilla de PySpark análisis)

AWS Clean Rooms usa un rol de servicio para leer el código del bucket de S3 especificado por un miembro de la colaboración cuando usa una plantilla de PySpark análisis.

Para crear un rol de servicio para leer el código de un bucket de S3

Cree un rol mediante políticas de confianza personalizadas. Para obtener más información, consulte el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola) en la Guía del AWS Identity and Access Management usuario.
Utilice la siguiente política de confianza personalizada de acuerdo con el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola).
JSON
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ForAnyValue:ArnEquals": { "aws:SourceArn": [ "arn:aws:cleanrooms:us-east-1:111122223333:membership/jobRunnerMembershipId", "arn:aws:cleanrooms:us-east-1:444455556666:membership/analysisTemplateOwnerMembershipId" ] } } } ] }
nota
Esta política de confianza hace referencia a dos tipos diferentes Cuenta de AWS IDs para respaldar un escenario de AWS Clean Rooms colaboración entre múltiples partes:
- 111122223333: esta es la cuenta que contiene a los miembros responsables de ejecutar las consultas (los «encargados de ejecutar tareas»). Esta membresía ejecuta los trabajos de análisis y debe asumir esta función para acceder a los recursos necesarios.
- 444455556666: es la cuenta propietaria de la plantilla de análisis y de sus miembros asociados (el «propietario de la plantilla de análisis»). Esta membresía define qué consultas se pueden ejecutar y también debe asumir esta función para administrar y ejecutar el análisis.
Esta configuración es típica de AWS Clean Rooms las colaboraciones en las que varias partes participan en la misma colaboración, cada una con su propia Cuenta de AWS membresía. Tanto el ejecutor de la consulta como el propietario de la plantilla de análisis necesitan acceder a los recursos compartidos. Esta aws:SourceArn condición garantiza que solo AWS Clean Rooms las operaciones que se originen a partir de estas dos membresías específicas puedan asumir esa función, lo que proporciona un control de acceso preciso para la colaboración entre múltiples partes.

Utilice la siguiente política de permisos de acuerdo con el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola).

nota

El siguiente ejemplo de política admite los permisos necesarios para leer el código de Amazon S3. No obstante, quizás tenga que modificar esta política en función de cómo haya configurado los datos de S3.

Sus recursos de Amazon S3 deben estar en los Región de AWS mismos que los de la AWS Clean Rooms colaboración.

Sustituya cada uno placeholder por su propia información:
- s3Path— La ubicación del código en el depósito S3.
- s3BucketOwnerAccountId— El Cuenta de AWS ID del propietario del bucket de S3.
- region: nombre del Región de AWS. Por ejemplo, us-east-1.
- jobRunnerAccountId— El Cuenta de AWS ID del miembro que puede ejecutar consultas y trabajos.
- jobRunnerMembershipId— El ID de membresía del miembro que puede consultar y ejecutar trabajos. Puede encontrar el ID de pertenencia en la pestaña Detalles de la colaboración. Esto garantiza AWS Clean Rooms que solo asuma el rol cuando este miembro ejecute el análisis en esta colaboración.
- analysisTemplateAccountId— El Cuenta de AWS ID de la plantilla de análisis.
- analysisTemplateOwnerMembershipId— El ID de membresía del miembro propietario de la plantilla de análisis. Puede encontrar el ID de pertenencia en la pestaña Detalles de la colaboración.
Siga el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola) para crear el rol.

Cree un rol de servicio para escribir los resultados de un PySpark trabajo

AWS Clean Rooms usa un rol de servicio para escribir los resultados de un PySpark trabajo en un bucket de S3 específico.

Para crear un rol de servicio para escribir los resultados de un PySpark trabajo

Cree un rol mediante políticas de confianza personalizadas. Para obtener más información, consulte el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola) en la Guía del AWS Identity and Access Management usuario.
Utilice la siguiente política de confianza personalizada de acuerdo con el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola).
JSON
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ForAnyValue:ArnEquals": { "aws:SourceArn": [ "arn:aws:cleanrooms:us-east-1:111122223333:membership/jobRunnerMembershipId", "arn:aws:cleanrooms:us-east-1:444455556666:membership/rrMembershipId" ] } } } ] }
nota
Esta política de confianza hace referencia Cuenta de AWS IDs a dos funciones operativas diferentes para respaldar una AWS Clean Rooms colaboración con funciones operativas distintas:
- 111122223333: esta es la cuenta que contiene a los miembros responsables de ejecutar los trabajos de análisis (los «encargados de ejecutar los trabajos»). Esta membresía ejecuta las cargas de trabajo computacionales y debe asumir esta función para acceder a los recursos de procesamiento.
- 444455556666: esta es la cuenta que contiene la membresía con las responsabilidades de receptor de resultados (RR). Esta membresía está autorizada para recibir y acceder a los resultados de los trabajos de análisis, y necesita tener acceso a un rol para escribir los resultados en las ubicaciones designadas.
Esta configuración permite AWS Clean Rooms escenarios en los que una parte ejecuta el análisis computacional mientras que otra parte recibe y administra los resultados. Ambas funciones requieren permisos diferentes pero complementarios a través de la misma función de ejecución. La aws:SourceArn condición garantiza que solo AWS Clean Rooms las operaciones que se originen a partir de estas dos membresías específicas puedan asumir esa función, manteniendo la seguridad y, al mismo tiempo, apoyando el flujo de trabajo distribuido de ejecución de tareas y gestión de resultados.

Utilice la siguiente política de permisos de acuerdo con el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola).

nota

El siguiente ejemplo de política admite los permisos necesarios para escribir en Amazon S3. Sin embargo, es posible que deba modificar esta política en función de cómo haya configurado S3.

Sus recursos de Amazon S3 deben estar en los Región de AWS mismos que los de la AWS Clean Rooms colaboración.

Sustituya cada uno placeholder por su propia información:
- region: nombre del Región de AWS. Por ejemplo, us-east-1.
- jobRunnerAccountId— El Cuenta de AWS ID en el que se encuentra el depósito S3.
- jobRunnerMembershipId— El ID de membresía del miembro que puede consultar y ejecutar trabajos. Puede encontrar el ID de pertenencia en la pestaña Detalles de la colaboración. Esto garantiza AWS Clean Rooms que solo asuma el rol cuando este miembro ejecute el análisis en esta colaboración.
- rrAccountId— El Cuenta de AWS ID en el que se encuentra el depósito de S3.
- rrMembershipId— El ID de membresía del miembro que puede recibir los resultados. Puede encontrar el ID de pertenencia en la pestaña Detalles de la colaboración. Esto garantiza AWS Clean Rooms que solo asuma el rol cuando este miembro ejecute el análisis en esta colaboración.
- bucket— El nombre y la ubicación del depósito de S3.
- optionalPrefix— Un prefijo opcional si desea guardar los resultados con un prefijo S3 específico.
- s3BucketOwnerAccountId— El Cuenta de AWS ID del propietario del bucket de S3.
Siga el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola) para crear el rol.

Creación de un rol de servicio para recibir resultados

nota

Si es el único miembro que solo puede recibir resultados (en la consola, sus destrezas como miembro solo son Recibir resultados), siga este procedimiento.

Si es un miembro que puede realizar consultas y recibir resultados (en la consola, Sus destrezas como miembro son Consultar y Recibir resultados), puede omitir este procedimiento.

Para los miembros de la colaboración que solo pueden recibir resultados, AWS Clean Rooms utiliza un rol de servicio para escribir los resultados de los datos consultados en la colaboración en el bucket de S3 especificado.

Hay dos formas de crear este rol de servicio:

Si tiene los permisos de IAM necesarios para crear un rol de servicio, utilice la AWS Clean Rooms consola para crear un rol de servicio.
Si no tiene iam:CreateRole iam:AttachRolePolicy permisos o desea crear iam:CreatePolicy los roles de IAM manualmente, realice una de las siguientes acciones:
- Utilice el siguiente procedimiento para crear un rol de servicio mediante políticas de confianza personalizadas.
- Pídale al administrador que cree el rol de servicio mediante el siguiente procedimiento.

nota

Usted o su administrador de IAM deben seguir este procedimiento únicamente si no tienen los permisos necesarios para crear un rol de servicio mediante la AWS Clean Rooms consola.

Para crear un rol de servicio para recibir resultados mediante políticas de confianza personalizadas

Cree un rol mediante políticas de confianza personalizadas. Para obtener más información, consulte el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola) en la Guía del AWS Identity and Access Management usuario.

Utilice la siguiente política de confianza personalizada de acuerdo con el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola).

Utilice la siguiente política de permisos de acuerdo con el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola).

nota

La siguiente política de ejemplo admite los permisos necesarios para leer los metadatos de AWS Glue y los datos de Amazon S3 correspondientes. No obstante, quizás tenga que modificar esta política en función de cómo haya configurado los datos de S3.

Sus AWS Glue recursos y los recursos subyacentes de Amazon S3 deben estar en la Región de AWS misma posición que los de la AWS Clean Rooms colaboración.

Sustituya cada uno placeholder por su propia información:
- region: nombre del Región de AWS. Por ejemplo, us-east-1.
- a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa— El ID de membresía del miembro que puede realizar la consulta. Puede encontrar el ID de pertenencia en la pestaña Detalles de la colaboración. Esto garantiza AWS Clean Rooms que solo asuma el rol cuando este miembro ejecute el análisis en esta colaboración.
- arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa— El ARN de membresía único del miembro que puede realizar la consulta. Puede encontrar el ARN de la pertenencia en la pestaña Detalles de la colaboración. Esto garantiza AWS Clean Rooms que solo asuma el rol cuando este miembro ejecute el análisis en esta colaboración.
- bucket_name— El nombre de recurso de Amazon (ARN) del bucket de S3. Puede encontrar el Nombre de recurso de Amazon (ARN) en la pestaña Propiedades del bucket en Amazon S3.
- accountId— El Cuenta de AWS ID en el que se encuentra el bucket de S3.
  
  bucket_name/optional_key_prefix— El nombre del recurso de Amazon (ARN) del destino de los resultados en Amazon S3. Puede encontrar el Nombre de recurso de Amazon (ARN) en la pestaña Propiedades del bucket en Amazon S3.
Siga el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola) para crear el rol.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Inscríbase en AWS

Configurar funciones de servicio para AWS Clean Rooms ML