View a markdown version of this page

Comportements IAM pour les modèles personnalisés Clean Rooms ML - AWS Clean Rooms
Cross-account emploisCross-account accèsAccès à l'adhésion et à la collaboration

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comportements IAM pour les modèles personnalisés Clean Rooms ML

Cross-account emplois

Clean Rooms ML permet à une autre personne d'accéder en toute sécurité à certaines ressources associées Compte AWS à une collaboration créée par une personne depuis son compte Compte AWS. Un client de Compte AWS A ayant la capacité d'exécuter des requêtes peut appeler CreateTrainedModelCreateMLInputChannel, ou StartTrainedModelInferenceJob sur une ConfiguredModelAlgorithmAssociation ressource appartenant à un autre membre de la collaboration, à condition que cela ConfiguredModelAlgorithmAssociation soit autorisé par la règle d'analyse personnalisée créée avecCreateConfiguredTableAnalysisRule.

En outre, tout membre actif d'une collaboration peut supprimer les données associées à un modèle entraîné ou à un canal d'entrée ML via les DeleteMLInputChannelData API DeleteTrainedModelOutput and.

Cross-account accès

Clean Rooms ML permet aux utilisateurs de récupérer des métadonnées sur les ressources créées par d'autres comptes via les ListCollaboration API GetCollaboration and. Clean Rooms ML ne révèle pas les ARN clés KMS, les balises, les variables d'environnement ou les hyperparamètres (pour l'TrainedModelaction) aux autres comptes.

Accès à l'adhésion et à la collaboration

Lors de l'accès aux ressources d'adhésion et de collaboration dans le contexte des modèles personnalisés de Clean Rooms ML, la politique d'identité d'un utilisateur nécessite des autorisations pour les actions cleanrooms:PassMembershipcleanrooms:PassCollaboration, ou les deux. Toutes les API qui acceptent membershipId ont besoin de l'cleanrooms:PassMembershipautorisation, et toutes les API qui acceptent collaborationId ont besoin de l'cleanrooms:PassCollaborationautorisation. Un exemple de politique d'identité pour un rôle pouvant être appelé createTrainedModel dans le contexte d'un identifiant de membre pouvant appeler GetCollaborationTrainedModel dans le contexte d'un identifiant de collaboration est fourni.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCleanroomsMLActions",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:PassCollaboration",
                "cleanrooms:PassMembership"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowMembershipAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetMembership"
            ],
            "Resource": [
                "arn:aws:cleanrooms:us-east-1:111122223333:membership/memberId"
            ]
        },
        {
            "Sid": "AllowCollaborationAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaboration"
            ],
            "Resource": [
                "arn:aws:cleanrooms:us-east-1:111122223333:collaboration/collaborationId"
            ]
        }
    ]
}