Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Con AWS Clean Rooms figuration
Les rubriques suivantes expliquent comment procéder à la configuration AWS Clean Rooms.
**Topics**
+ [Inscrivez-vous pour AWS](setting-up-aws-sign-up.md)
+ [Configurer les rôles de service pour AWS Clean Rooms](setting-up-roles.md)
+ [Configuration des rôles de service pour AWS Clean Rooms ML](ml-roles.md)
# Inscrivez-vous pour AWS
Avant de pouvoir utiliser AWS Clean Rooms, ou tout autre Service AWS, vous devez vous inscrire AWS avec un Compte AWS.
Si vous n'en avez pas Compte AWS, procédez comme suit pour en créer un.
**Pour vous inscrire à un Compte AWS**
1. Ouvrez l'[https://portal.aws.amazon.com/billing/inscription.](https://portal.aws.amazon.com/billing/signup)
1. Suivez les instructions en ligne.
Au cours de la procédure d'inscription, vous recevrez un appel téléphonique contenant un code de vérification que vous saisirez sur le clavier du téléphone.
1. Lorsque vous vous inscrivez à un Compte AWS, un *utilisateur Compte AWS root* est créé. Par défaut, seul l‘utilisateur racine a accès à l‘ensemble des Services AWS et des ressources de ce compte. La meilleure pratique de sécurité consiste à [attribuer un accès administratif à un utilisateur administratif](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html), et à utiliser uniquement l‘utilisateur racine pour effectuer les [tâches nécessitant un accès utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html#aws_tasks-that-require-root).
# Configurer les rôles de service pour AWS Clean Rooms
Les sections suivantes décrivent les rôles nécessaires à l'exécution de chaque tâche.
**Topics**
+ [Création d'un utilisateur administrateur](#setting-up-create-iam-user)
+ [Création d'un rôle IAM pour un membre de la collaboration](#create-role-DP)
+ [Créez un rôle de service pour lire les données d'Amazon S3](#create-service-role-procedure)
+ [Création d'un rôle de service pour lire les données d'Amazon Athena](#create-service-role-athena)
+ [Créez un rôle de service pour lire les données de Snowflake](#create-service-role-third-party)
+ [Création d'un rôle de service pour lire le code d'un compartiment S3 (rôle de modèle d'PySpark analyse)](#create-role-pyspark-analysis-template)
+ [Création d'un rôle de service pour écrire les résultats d'une PySpark tâche](#create-role-pyspark-job)
+ [Créez un rôle de service pour recevoir des résultats](#create-role-write-results)
## Création d'un utilisateur administrateur
Pour l'utiliser AWS Clean Rooms, vous devez créer un utilisateur administrateur pour vous-même et l'ajouter à un groupe d'administrateurs.
Afin de créer un utilisateur administrateur, choisissez l'une des options suivantes :
****
| Choisissez un moyen de gérer votre administrateur | À | En | Vous pouvez également |
| --- | --- | --- | --- |
| Dans IAM Identity Center (Recommandé) | Utiliser des informations d’identification à court terme pour accéder à AWS.C’est conforme aux bonnes pratiques en matière de sécurité. Pour plus d’informations sur les bonnes pratiques, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *Guide de l’utilisateur IAM*. | Suivant les instructions fournies dans [Mise en route](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html) dans le Guide de l’utilisateur AWS IAM Identity Center . | Configurez l'accès par programmation en [configurant le AWS CLI à utiliser AWS IAM Identity Center](https://docs.aws.amazon.com//cli/latest/userguide/cli-configure-sso.html) dans le guide de l'AWS Command Line Interface utilisateur. |
| Dans IAM (Non recommandé) | Utiliser les informations d’identification à long terme pour accéder à AWS. | Suivant les instructions fournies dans [Création d’un utilisateur IAM pour l’accès d’urgence](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started-emergency-iam-user.html) dans le Guide de l’utilisateur IAM. | Configurer l’accès par programmation en suivant les instructions fournies dans [Gestion des clés d’accès pour les utilisateurs IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_access-keys.html) dans le Guide de l’utilisateur IAM. |
## Création d'un rôle IAM pour un membre de la collaboration
Un membre est un AWS client participant à une collaboration.
**Pour créer un rôle IAM pour un membre de la collaboration**
1. Suivez la procédure [Création d'un rôle pour déléguer des autorisations à un utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l'Gestion des identités et des accès AWS utilisateur*.
1. Pour l'étape **Créer une politique**, sélectionnez l'onglet **JSON** dans l'**éditeur de politiques**, puis ajoutez des politiques en fonction des capacités accordées au membre de la collaboration.
AWS Clean Rooms propose les politiques gérées suivantes basées sur des cas d'utilisation courants.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/clean-rooms/latest/userguide/setting-up-roles.html)
Pour plus d'informations sur les différentes politiques gérées proposées par AWS Clean Rooms[AWS politiques gérées pour AWS Clean Rooms](security-iam-awsmanpol.md), voir
## Créez un rôle de service pour lire les données d'Amazon S3
AWS Clean Rooms utilise un rôle de service pour lire les données d'Amazon S3.
Il existe deux manières de créer ce rôle de service.
+ Si vous disposez des autorisations IAM nécessaires pour créer un rôle de service, utilisez la AWS Clean Rooms console pour créer un rôle de service.
+ Si vous ne disposez `iam:CreateRole` pas `iam:CreatePolicy` d'`iam:AttachRolePolicy`autorisations ou si vous souhaitez créer les rôles IAM manuellement, effectuez l'une des opérations suivantes :
+ Utilisez la procédure suivante pour créer un rôle de service à l'aide de politiques de confiance personnalisées.
+ Demandez à votre administrateur de créer le rôle de service en suivant la procédure suivante.
**Note**
Vous ou votre administrateur IAM devez suivre cette procédure uniquement si vous ne disposez pas des autorisations nécessaires pour créer un rôle de service à l'aide de la AWS Clean Rooms console.
**Pour créer un rôle de service permettant de lire les données d'Amazon S3 à l'aide de politiques de confiance personnalisées**
1. Créez un rôle à l'aide de politiques de confiance personnalisées. Pour plus d'informations, consultez la procédure de [création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) dans le *guide de Gestion des identités et des accès AWS l'utilisateur*.
1. Utilisez la politique de confiance personnalisée suivante conformément à la procédure de [création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html).
**Note**
Si vous souhaitez garantir que le rôle n'est utilisé que dans le contexte d'une certaine adhésion à une collaboration, vous pouvez affiner davantage la politique de confiance. Pour de plus amples informations, veuillez consulter [Prévention du problème de l’adjoint confus entre services](cross-service-confused-deputy-prevention.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RoleTrustPolicyForCleanRoomsService",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Utilisez la politique d'autorisation suivante conformément à la procédure de [création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html).
**Note**
L'exemple de politique suivant prend en charge les autorisations nécessaires pour lire AWS Glue les métadonnées et les données Amazon S3 correspondantes. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données Amazon S3. Par exemple, si vous avez configuré une clé KMS personnalisée pour vos données Amazon S3, vous devrez peut-être modifier cette politique avec des autorisations supplémentaires AWS Key Management Service (AWS KMS).
Vos AWS Glue ressources et les ressources Amazon S3 sous-jacentes doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "NecessaryGluePermissions",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:database/databaseName",
"arn:aws:glue:us-east-1:111122223333:table/databaseName/tableName",
"arn:aws:glue:us-east-1:111122223333:catalog"
]
},
{
"Effect": "Allow",
"Action": [
"glue:GetSchema",
"glue:GetSchemaVersion"
],
"Resource": [
"*"
]
},
{
"Sid": "NecessaryS3BucketPermissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"444455556666"
]
}
}
},
{
"Sid": "NecessaryS3ObjectPermissions",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucket/prefix/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"444455556666"
]
}
}
}
]
}
```
------
**Note**
Cette politique fait référence à deux règles différentes Compte AWS IDs pour soutenir une AWS Clean Rooms collaboration dans laquelle les métadonnées du catalogue de données et le stockage réel des données sont gérés par différentes parties :
**111122223333** - Il s'agit du compte propriétaire des ressources du catalogue de AWS Glue données (bases de données, tables et catalogue). La première instruction accorde des autorisations pour accéder aux schémas de table, aux informations de partition et aux métadonnées du AWS Glue catalogue de ce compte.
**444455556666** - Il s'agit du compte propriétaire du compartiment Amazon S3 contenant les fichiers de données réels. Les autorisations Amazon S3 (instructions 3 et 4) sont limitées aux compartiments appartenant à ce compte en vertu de cette `s3:ResourceAccount` condition.
Cette configuration prend en charge les architectures de données d'entreprise courantes dans lesquelles une équipe gère le catalogue de données et les définitions de schéma tandis qu'une autre équipe possède l'infrastructure de stockage de données sous-jacente. Cette `s3:ResourceAccount` condition fournit une couche de sécurité supplémentaire en garantissant que les opérations Amazon S3 ne fonctionnent que sur les buckets appartenant au compte désigné.
1. Remplacez chaque *placeholder* par vos propres informations.
1. Continuez à suivre la procédure de [création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) pour créer le rôle.
## Création d'un rôle de service pour lire les données d'Amazon Athena
AWS Clean Rooms utilise un rôle de service pour lire les données d'Amazon Athena.
**Pour créer un rôle de service permettant de lire les données d'Athena à l'aide de politiques de confiance personnalisées**
1. Créez un rôle à l'aide de politiques de confiance personnalisées. Pour plus d'informations, consultez la procédure de [création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) dans le *guide de Gestion des identités et des accès AWS l'utilisateur*.
1. Utilisez la politique de confiance personnalisée suivante conformément à la procédure de [création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html).
**Note**
Si vous souhaitez garantir que le rôle n'est utilisé que dans le contexte d'une certaine adhésion à une collaboration, vous pouvez affiner davantage la politique de confiance. Pour de plus amples informations, veuillez consulter [Prévention du problème de l’adjoint confus entre services](cross-service-confused-deputy-prevention.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RoleTrustPolicyForCleanRoomsService",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Utilisez la politique d'autorisation suivante conformément à la procédure de [création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html).
**Note**
L'exemple de politique suivant prend en charge les autorisations nécessaires pour lire AWS Glue les métadonnées et les données Athena correspondantes. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données Amazon S3. Par exemple, si vous avez déjà configuré une clé KMS personnalisée pour vos données Amazon S3, vous devrez peut-être modifier cette politique avec des AWS KMS autorisations supplémentaires.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:GetWorkGroup",
"athena:GetTableMetadata",
"athena:GetDataCatalog",
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults"
],
"Resource": [
"arn:aws:athena:region:accountId:workgroup/workgroup",
"arn:aws:athena:region:accountId:datacatalog/federatedCatalogName"
]
},
{
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetTable",
"glue:GetCatalog"
],
"Resource": [
"arn:aws:glue:region:accountId:catalog",
"arn:aws:glue:region:accountId:catalog/federatedCatalogName",
"arn:aws:glue:region:accountId:database/federatedCatalogName/databaseName",
"arn:aws:glue:region:accountId:table/federatedCatalogName/databaseName/tableName"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload",
"s3:ListBucket",
"s3:PutObject",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::athenaResultsBucket",
"arn:aws:s3:::athenaResultsBucket/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "accountId"
}
}
},
{
"Effect": "Allow",
"Action": "lakeformation:GetDataAccess",
"Resource": "*"
}
]
}
```
1. Remplacez chaque *placeholder* par vos propres informations.
1. Continuez à suivre la procédure de [création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) pour créer le rôle.
### Configurer les autorisations de Lake Formation
Si vous interrogez des ressources protégées par des autorisations Lake Formation, le rôle de service doit disposer des autorisations d'accès **Select** and **Describe** table/view/catalog et **Describe** sur la AWS Glue base de données.
Pour en savoir plus, consultez :
+ [Utilisez Athena pour interroger les données enregistrées AWS Lake Formation dans le guide de](https://docs.aws.amazon.com/athena/latest/ug/security-athena-lake-formation.html) l'utilisateur d'*Amazon Athena*
+ [Intégration aux autorisations de Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/onboarding-lf-permissions.html) dans le guide du *AWS Lake Formation développeur*
## Créez un rôle de service pour lire les données de Snowflake
AWS Clean Rooms utilise un rôle de service pour récupérer vos informations d'identification afin que Snowflake puisse lire vos données à partir de cette source.
Il existe deux manières de créer ce rôle de service :
+ Si vous disposez des autorisations IAM nécessaires pour créer un rôle de service, utilisez la AWS Clean Rooms console pour créer un rôle de service.
+ Si vous ne disposez `iam:CreateRole` pas `iam:CreatePolicy` d'`iam:AttachRolePolicy`autorisations ou si vous souhaitez créer les rôles IAM manuellement, effectuez l'une des opérations suivantes :
+ Utilisez la procédure suivante pour créer un rôle de service à l'aide de politiques de confiance personnalisées.
+ Demandez à votre administrateur de créer le rôle de service en suivant la procédure suivante.
**Note**
Vous ou votre administrateur IAM devez suivre cette procédure uniquement si vous ne disposez pas des autorisations nécessaires pour créer un rôle de service à l'aide de la AWS Clean Rooms console.
**Pour créer un rôle de service permettant de lire les données de Snowflake à l'aide de politiques de confiance personnalisées**
1. Créez un rôle à l'aide de politiques de confiance personnalisées. Pour plus d'informations, consultez la procédure de [création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) dans le *guide de Gestion des identités et des accès AWS l'utilisateur*.
1. Utilisez la politique de confiance personnalisée suivante conformément à la procédure de [création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html).
**Note**
Si vous souhaitez garantir que le rôle n'est utilisé que dans le contexte d'une certaine adhésion à une collaboration, vous pouvez affiner davantage la politique de confiance. Pour de plus amples informations, veuillez consulter [Prévention du problème de l’adjoint confus entre services](cross-service-confused-deputy-prevention.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowIfSourceArnMatches",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ForAnyValue:ArnEquals": {
"aws:SourceArn": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/membershipId",
"arn:aws:cleanrooms:us-east-1:444455556666:membership/queryRunnerMembershipId"
]
}
}
}
]
}
```
------
**Note**
Cette politique de confiance fait référence Compte AWS IDs à deux règles différentes pour soutenir une AWS Clean Rooms collaboration dans laquelle les responsabilités d'exécution des requêtes sont réparties entre plusieurs parties :
**111122223333** - Il s'agit du compte qui contient un membre participant à la collaboration. Cette adhésion peut posséder des tables de données, des règles d'analyse ou d'autres ressources de collaboration nécessitant un accès aux rôles.
**444455556666** - Il s'agit du compte qui contient le membre responsable de l'exécution des requêtes (le « lanceur de requêtes »). Cette adhésion exécute des requêtes protégées et doit assumer ce rôle pour accéder aux ressources de calcul et de données nécessaires.
Cette configuration permet des scénarios dans lesquels une partie fournit des données ou des modèles d'analyse tandis qu'une autre partie exécute les requêtes réelles. Les deux rôles nécessitent des autorisations différentes mais complémentaires via le même rôle d'exécution. Cette `aws:SourceArn` condition garantit que seules les AWS Clean Rooms opérations issues de ces deux adhésions spécifiques peuvent assumer le rôle, préservant ainsi la sécurité tout en soutenant l'exécution distribuée des tâches et le flux de travail de gestion des résultats.
1. Utilisez l'une des politiques d'autorisation suivantes conformément à la procédure [Création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html).
**Politique d'autorisation pour les secrets chiffrés à l'aide d'une clé KMS appartenant au client**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secretIdentifier",
"Effect": "Allow"
},
{
"Sid": "AllowDecryptViaSecretsManagerForKey",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-east-1:444455556666:key/keyIdentifier",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-east-1.amazonaws.com",
"kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secretIdentifier"
}
}
}
]
}
```
------
**Note**
Cette politique fait référence à deux règles différentes Compte AWS IDs pour prendre en charge un scénario de gestion des secrets entre comptes :
**111122223333** - Il s'agit du compte qui possède et stocke le secret. La première instruction autorise la récupération de la valeur secrète de ce compte.
**444455556666** - Il s'agit du compte qui possède la AWS KMS clé utilisée pour chiffrer le secret. La deuxième instruction autorise le déchiffrement du secret à l'aide de la AWS KMS clé de ce compte.
Cette configuration est courante dans les environnements d'entreprise où :
Les secrets sont gérés de manière centralisée dans un seul compte (compte 1)
Les clés de chiffrement sont gérées par un compte de sécurité ou de services partagés distinct (compte 2)
La politique AWS KMS clé du compte 2 doit également autoriser le service du compte 1 à utiliser la clé pour les encryption/decryption opérations
Cette `kms:EncryptionContext:SecretARN` condition garantit que la AWS KMS clé ne peut être utilisée que pour déchiffrer ce secret spécifique, fournissant ainsi une couche de sécurité supplémentaire pour l'accès entre comptes.
**Politique d'autorisation pour les secrets chiffrés avec un Clé gérée par AWS**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secretIdentifier",
"Effect": "Allow"
}
]
}
```
------
1. Remplacez chaque *placeholder* par vos propres informations.
1. Continuez à suivre la procédure de [création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) pour créer le rôle.
## Création d'un rôle de service pour lire le code d'un compartiment S3 (rôle de modèle d'PySpark analyse)
AWS Clean Rooms utilise un rôle de service pour lire le code du compartiment S3 spécifié par un membre de la collaboration lors de l'utilisation d'un modèle d' PySpark analyse.
**Pour créer un rôle de service permettant de lire le code d'un compartiment S3**
1. Créez un rôle à l'aide de politiques de confiance personnalisées. Pour plus d'informations, consultez la procédure de [création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) dans le *guide de Gestion des identités et des accès AWS l'utilisateur*.
1. Utilisez la politique de confiance personnalisée suivante conformément à la procédure de [création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ForAnyValue:ArnEquals": {
"aws:SourceArn": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/jobRunnerMembershipId",
"arn:aws:cleanrooms:us-east-1:444455556666:membership/analysisTemplateOwnerMembershipId"
]
}
}
}
]
}
```
------
**Note**
Cette politique de confiance fait référence à deux options différentes Compte AWS IDs pour soutenir un scénario de AWS Clean Rooms collaboration multipartite :
**111122223333** - Il s'agit du compte qui contient le membre responsable de l'exécution des requêtes (le « job runner »). Cette adhésion exécute les tâches d'analyse et doit assumer ce rôle pour accéder aux ressources nécessaires.
**444455556666** - Il s'agit du compte propriétaire du modèle d'analyse et de ses membres associés (le « propriétaire du modèle d'analyse »). Cette appartenance définit les requêtes qui peuvent être exécutées et doit également assumer ce rôle pour gérer et exécuter l'analyse.
Cette configuration est typique des AWS Clean Rooms collaborations où plusieurs parties participent à la même collaboration, chacune ayant ses propres Compte AWS membres. L'exécuteur de requêtes et le propriétaire du modèle d'analyse doivent tous deux accéder à des ressources partagées. Cette `aws:SourceArn` condition garantit que seules les AWS Clean Rooms opérations provenant de ces deux adhésions spécifiques peuvent assumer le rôle, fournissant ainsi un contrôle d'accès précis pour la collaboration multipartite.
1. Utilisez la politique d'autorisation suivante conformément à la procédure de [création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html).
**Note**
L'exemple de politique suivant prend en charge les autorisations nécessaires pour lire votre code depuis Amazon S3. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données S3.
Vos ressources Amazon S3 doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": ["arn:aws:s3:::s3Path"],
"Condition":{
"StringEquals":{
"s3:ResourceAccount":[
"s3BucketOwnerAccountId"
]
}
}
}
]
}
```
------
1. Remplacez chacune *placeholder* par vos propres informations :
+ *s3Path*— L'emplacement de votre code dans le compartiment S3.
+ *s3BucketOwnerAccountId*— L' Compte AWS ID du propriétaire du compartiment S3.
+ *region* : Le nom de Région AWS. Par exemple, **us-east-1**.
+ *jobRunnerAccountId*— L' Compte AWS ID du membre autorisé à exécuter des requêtes et à exécuter des tâches.
+ *jobRunnerMembershipId*— L'**ID** de membre du membre qui peut interroger et exécuter des tâches. L'**identifiant de membre** se trouve dans l'onglet **Détails** de la collaboration. Cela garantit qu'il AWS Clean Rooms n'assume le rôle que lorsque ce membre exécute l'analyse dans le cadre de cette collaboration.
+ *analysisTemplateAccountId*— L' Compte AWS ID du modèle d'analyse.
+ *analysisTemplateOwnerMembershipId*— L'**ID** de membre du membre propriétaire du modèle d'analyse. L'**identifiant de membre** se trouve dans l'onglet **Détails** de la collaboration.
1. Continuez à suivre la procédure de [création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) pour créer le rôle.
## Création d'un rôle de service pour écrire les résultats d'une PySpark tâche
AWS Clean Rooms utilise un rôle de service pour écrire les résultats d'une PySpark tâche dans un compartiment S3 spécifié.
**Pour créer un rôle de service afin d'écrire les résultats d'une PySpark tâche**
1. Créez un rôle à l'aide de politiques de confiance personnalisées. Pour plus d'informations, consultez la procédure de [création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) dans le *guide de Gestion des identités et des accès AWS l'utilisateur*.
1. Utilisez la politique de confiance personnalisée suivante conformément à la procédure de [création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ForAnyValue:ArnEquals": {
"aws:SourceArn": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/jobRunnerMembershipId",
"arn:aws:cleanrooms:us-east-1:444455556666:membership/rrMembershipId"
]
}
}
}
]
}
```
------
**Note**
Cette politique de confiance fait référence Compte AWS IDs à deux règles différentes pour soutenir une AWS Clean Rooms collaboration avec des rôles opérationnels distincts :
**111122223333** - Il s'agit du compte qui contient l'adhésion responsable de l'exécution des tâches d'analyse (le « job runner »). Cette adhésion exécute les charges de travail de calcul et doit assumer ce rôle pour accéder aux ressources de traitement.
**444455556666** - Il s'agit du compte qui contient l'adhésion avec les responsabilités du destinataire des résultats (RR). Cet abonnement est autorisé à recevoir et à accéder aux résultats des tâches d'analyse, et a besoin d'un accès aux rôles pour écrire les résultats dans des emplacements désignés.
Cette configuration permet AWS Clean Rooms des scénarios dans lesquels une partie exécute l'analyse informatique tandis qu'une autre partie reçoit et gère les résultats. Les deux rôles nécessitent des autorisations différentes mais complémentaires via le même rôle d'exécution. Cette `aws:SourceArn` condition garantit que seules les AWS Clean Rooms opérations issues de ces deux adhésions spécifiques peuvent assumer le rôle, préservant ainsi la sécurité tout en soutenant l'exécution distribuée des tâches et le flux de travail de gestion des résultats.
1. Utilisez la politique d'autorisation suivante conformément à la procédure de [création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html).
**Note**
L'exemple de politique suivant prend en charge les autorisations nécessaires pour écrire sur Amazon S3. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré S3.
Vos ressources Amazon S3 doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::bucket/optionalPrefix/*",
"Condition":{
"StringEquals":{
"s3:ResourceAccount":[
"s3BucketOwnerAccountId"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::bucket",
"Condition":{
"StringEquals":{
"s3:ResourceAccount":[
"s3BucketOwnerAccountId"
]
}
}
}
]
}
```
------
1. Remplacez chacune *placeholder* par vos propres informations :
+ *region* : Le nom de Région AWS. Par exemple, **us-east-1**.
+ *jobRunnerAccountId*— L' Compte AWS ID dans lequel se trouve le compartiment S3.
+ *jobRunnerMembershipId*— L'**ID** de membre du membre qui peut interroger et exécuter des tâches. L'**identifiant de membre** se trouve dans l'onglet **Détails** de la collaboration. Cela garantit qu'il AWS Clean Rooms n'assume le rôle que lorsque ce membre exécute l'analyse dans le cadre de cette collaboration.
+ *rrAccountId*— L' Compte AWS ID dans lequel se trouve le compartiment S3.
+ *rrMembershipId*— Le **numéro** de membre du membre qui peut recevoir les résultats. L'**identifiant de membre** se trouve dans l'onglet **Détails** de la collaboration. Cela garantit qu'il AWS Clean Rooms n'assume le rôle que lorsque ce membre exécute l'analyse dans le cadre de cette collaboration.
+ *bucket*— Le nom et l'emplacement du compartiment S3.
+ *optionalPrefix*— Un préfixe facultatif si vous souhaitez enregistrer vos résultats sous un préfixe S3 spécifique.
+ *s3BucketOwnerAccountId*— L' Compte AWS ID du propriétaire du compartiment S3.
1. Continuez à suivre la procédure de [création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) pour créer le rôle.
## Créez un rôle de service pour recevoir des résultats
**Note**
Si vous êtes le membre qui ne peut recevoir que des résultats (dans la console, les **capacités de votre membre** sont uniquement de **recevoir des résultats**), suivez cette procédure.
Si vous êtes un membre capable à la fois d'interroger et de recevoir des résultats (dans la console, **vos capacités de membre** sont à la fois **Query** et **Receive des résultats**), vous pouvez ignorer cette procédure.
Pour les membres de la collaboration qui ne peuvent recevoir que des résultats, AWS Clean Rooms utilise un rôle de service pour écrire les résultats des données demandées dans la collaboration dans le compartiment S3 spécifié.
Il existe deux manières de créer ce rôle de service :
+ Si vous disposez des autorisations IAM nécessaires pour créer un rôle de service, utilisez la AWS Clean Rooms console pour créer un rôle de service.
+ Si vous ne disposez `iam:CreateRole` pas `iam:CreatePolicy` d'`iam:AttachRolePolicy`autorisations ou si vous souhaitez créer les rôles IAM manuellement, effectuez l'une des opérations suivantes :
+ Utilisez la procédure suivante pour créer un rôle de service à l'aide de politiques de confiance personnalisées.
+ Demandez à votre administrateur de créer le rôle de service en suivant la procédure suivante.
**Note**
Vous ou votre administrateur IAM devez suivre cette procédure uniquement si vous ne disposez pas des autorisations nécessaires pour créer un rôle de service à l'aide de la AWS Clean Rooms console.
**Pour créer un rôle de service afin de recevoir des résultats à l'aide de politiques de confiance personnalisées**
1. Créez un rôle à l'aide de politiques de confiance personnalisées. Pour plus d'informations, consultez la procédure de [création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) dans le *guide de Gestion des identités et des accès AWS l'utilisateur*.
1. Utilisez la politique de confiance personnalisée suivante conformément à la procédure de [création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowIfExternalIdMatches",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"sts:ExternalId": "arn:aws:*:region:*:dbuser:*/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa*"
}
}
},
{
"Sid": "AllowIfSourceArnMatches",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ForAnyValue:ArnEquals": {
"aws:SourceArn": [
"arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa"
]
}
}
}
]
}
```
------
1. Utilisez la politique d'autorisation suivante conformément à la procédure de [création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html).
**Note**
L'exemple de politique suivant prend en charge les autorisations nécessaires pour lire AWS Glue les métadonnées et les données Amazon S3 correspondantes. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données S3.
Vos AWS Glue ressources et les ressources Amazon S3 sous-jacentes doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket_name"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount":"accountId"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket_name/optional_key_prefix/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount":"accountId"
}
}
}
]
}
```
------
1. Remplacez chacune *placeholder* par vos propres informations :
+ *region* : Le nom de Région AWS. Par exemple, **us-east-1**.
+ *a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa*— L'**ID** de membre du membre qui peut effectuer la demande. L'**identifiant de membre** se trouve dans l'onglet **Détails** de la collaboration. Cela garantit qu'il AWS Clean Rooms n'assume le rôle que lorsque ce membre exécute l'analyse dans le cadre de cette collaboration.
+ *arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa*— L'**ARN de membre** unique du membre qui peut effectuer une requête. L'**ARN d'adhésion** se trouve dans l'onglet **Détails** de la collaboration. Cela garantit qu' AWS Clean Rooms il n'assume le rôle que lorsque ce membre exécute l'analyse dans le cadre de cette collaboration.
+ *bucket\$1name*— Le **nom de ressource Amazon (ARN)** du compartiment S3. Le **nom de ressource Amazon (ARN)** se trouve dans l'onglet **Propriétés** du compartiment dans Amazon S3.
+ *accountId*— L' Compte AWS ID dans lequel se trouve le compartiment S3.
*bucket\$1name/optional\$1key\$1prefix*— Le **nom de ressource Amazon (ARN)** de la destination des résultats dans Amazon S3. Le **nom de ressource Amazon (ARN)** se trouve dans l'onglet **Propriétés** du compartiment dans Amazon S3.
1. Continuez à suivre la procédure de [création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) pour créer le rôle.
# Configuration des rôles de service pour AWS Clean Rooms ML
Les rôles nécessaires pour effectuer une modélisation similaire sont différents de ceux nécessaires pour utiliser un modèle personnalisé. Les sections suivantes décrivent les rôles nécessaires à l'exécution de chaque tâche.
**Topics**
+ [Configuration des rôles de service pour la modélisation des ressemblances](#aws-model-roles)
+ [Configuration des rôles de service pour une modélisation personnalisée](#custom-model-roles)
## Configuration des rôles de service pour la modélisation des ressemblances
**Topics**
+ [Création d'un rôle de service pour lire les données d'entraînement](#ml-create-role-training)
+ [Créez un rôle de service pour écrire un segment similaire](#ml-create-role-write-segment)
+ [Création d'un rôle de service pour lire les données de départ](#ml-create-role-read-seed)
### Création d'un rôle de service pour lire les données d'entraînement
AWS Clean Rooms utilise un rôle de service pour lire les données d'entraînement. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des autorisations IAM nécessaires. Si vous n'êtes pas `CreateRole` autorisé, demandez à votre administrateur de créer le rôle de service.
**Pour créer un rôle de service afin d'entraîner un ensemble de données**
1. Connectez-vous à la console IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) avec votre compte d'administrateur.
1. Sous **Access Management (Gestion des accès)**, choisissez **Policies (politiques)**.
1. Choisissez **Create Policy** (Créer une politique).
1. Dans l'**éditeur de stratégie**, sélectionnez l'onglet **JSON**, puis copiez et collez la politique suivante.
**Note**
L'exemple de politique suivant prend en charge les autorisations nécessaires pour lire AWS Glue les métadonnées et les données Amazon S3 correspondantes. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données S3. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.
Vos AWS Glue ressources et les ressources Amazon S3 sous-jacentes doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartitions",
"glue:GetPartition",
"glue:BatchGetPartition",
"glue:GetUserDefinedFunctions"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:database/databases",
"arn:aws:glue:us-east-1:111122223333:table/databases/tables",
"arn:aws:glue:us-east-1:111122223333:catalog",
"arn:aws:glue:us-east-1:111122223333:database/default"
]
},
{
"Effect": "Allow",
"Action": [
"glue:CreateDatabase"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:database/default"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::bucket"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"111122223333"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucketFolders/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"111122223333"
]
}
}
}
]
}
```
------
Si vous devez utiliser une clé KMS pour déchiffrer des données, ajoutez cette AWS KMS instruction au modèle précédent :
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
],
"Resource": [
"arn:aws:kms:region:accountId:key/keyId"
],
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
}
}
}
]
}
```
1. Remplacez chacune *placeholder* par vos propres informations :
+ *region* : Le nom de Région AWS. Par exemple, **us-east-1**.
+ *accountId*— L' Compte AWS ID dans lequel se trouve le compartiment S3.
+ *database/databases*, *table/databases/tables**catalog*, et *database/default* — L'emplacement des données d'entraînement auxquelles il est AWS Clean Rooms nécessaire d'accéder.
+ *bucket*— Le **nom de ressource Amazon (ARN)** du compartiment S3. Le **nom de ressource Amazon (ARN)** se trouve dans l'onglet **Propriétés** du compartiment dans Amazon S3.
+ *bucketFolders*— Le nom des dossiers spécifiques du compartiment S3 auxquels il est AWS Clean Rooms nécessaire d'accéder.
1. Choisissez **Suivant**.
1. Pour **Révision et création**, entrez le **nom et la **description** de la politique**, puis consultez le **résumé**.
1. Choisissez **Create Policy** (Créer une politique).
Vous avez créé une politique pour AWS Clean Rooms.
1. Sous **Access Management** (Gestion des accès), choisissez **Roles** (Rôles).
Avec **les rôles**, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner **Utilisateurs** pour créer des informations d'identification à long terme.
1. Choisissez **Créer un rôle**.
1. Dans l'assistant de **création de rôle**, pour **Type d'entité fiable**, choisissez **Politique de confiance personnalisée**.
1. Copiez et collez la politique de confiance personnalisée suivante dans l'éditeur JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEqualsIfExists": {
"aws:SourceAccount": ["111122223333"]
},
"ArnLikeIfExists": {
"aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:training-dataset/*"
}
}
}
]
}
```
------
`SourceAccount`C'est toujours le vôtre Compte AWS. Ils `SourceArn` peuvent être limités à un ensemble de données d'entraînement spécifique, mais uniquement après la création de cet ensemble de données. Comme vous ne connaissez pas encore l'ARN du jeu de données d'entraînement, le caractère générique est spécifié ici.
*accountId*est l'ID Compte AWS qui contient les données d'entraînement.
1. Choisissez **Suivant** et sous **Ajouter des autorisations**, entrez le nom de la politique que vous venez de créer. (Vous devrez peut-être recharger la page.)
1. Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez **Next**.
1. Dans **Nom, révision et création**, entrez le **nom et la **description** du rôle**.
**Note**
Le **nom du rôle** doit correspondre au modèle des `passRole` autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.
1. Passez en revue **Sélectionnez les entités fiables** et modifiez-les si nécessaire.
1. Passez en revue les autorisations dans **Ajouter des autorisations** et modifiez-les si nécessaire.
1. Passez en revue les **balises** et ajoutez-en si nécessaire.
1. Choisissez **Créer un rôle**.
Vous avez créé le rôle de service pour AWS Clean Rooms.
### Créez un rôle de service pour écrire un segment similaire
AWS Clean Rooms utilise un rôle de service pour écrire des segments similaires dans un compartiment. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des autorisations IAM nécessaires. Si vous n'êtes pas `CreateRole` autorisé, demandez à votre administrateur de créer le rôle de service.
**Pour créer un rôle de service, pour écrire un segment similaire**
1. Connectez-vous à la console IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) avec votre compte d'administrateur.
1. Sous **Access Management (Gestion des accès)**, choisissez **Policies (politiques)**.
1. Choisissez **Create Policy** (Créer une politique).
1. Dans l'**éditeur de stratégie**, sélectionnez l'onglet **JSON**, puis copiez et collez la politique suivante.
**Note**
L'exemple de politique suivant prend en charge les autorisations nécessaires pour lire AWS Glue les métadonnées et les données Amazon S3 correspondantes. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données Amazon S3. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.
Vos AWS Glue ressources et les ressources Amazon S3 sous-jacentes doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::buckets"
],
"Condition":{
"StringEquals":{
"s3:ResourceAccount":[
"accountId"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucketFolders/*"
],
"Condition":{
"StringEquals":{
"s3:ResourceAccount":[
"accountId"
]
}
}
}
]
}
```
------
Si vous devez utiliser une clé KMS pour chiffrer des données, ajoutez cette AWS KMS instruction au modèle :
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:ReEncrypt*",
],
"Resource": [
"arn:aws:kms:region:accountId:key/keyId"
],
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
}
}
}
]
}
```
1. Remplacez chacune *placeholder* par vos propres informations :
+ *buckets*— Le **nom de ressource Amazon (ARN)** du compartiment S3. Le **nom de ressource Amazon (ARN)** se trouve dans l'onglet **Propriétés** du compartiment dans Amazon S3.
+ *accountId*— L' Compte AWS ID dans lequel se trouve le compartiment S3.
+ *bucketFolders*— Le nom des dossiers spécifiques du compartiment S3 auxquels il est AWS Clean Rooms nécessaire d'accéder.
+ *region* : Le nom de Région AWS. Par exemple, **us-east-1**.
+ *keyId*— La clé KMS nécessaire pour chiffrer vos données.
1. Choisissez **Suivant**.
1. Pour **Révision et création**, entrez le **nom et la **description** de la politique**, puis consultez le **résumé**.
1. Choisissez **Create Policy** (Créer une politique).
Vous avez créé une politique pour AWS Clean Rooms.
1. Sous **Access Management** (Gestion des accès), choisissez **Roles** (Rôles).
Avec **les rôles**, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner **Utilisateurs** pour créer des informations d'identification à long terme.
1. Choisissez **Créer un rôle**.
1. Dans l'assistant de **création de rôle**, pour **Type d'entité fiable**, choisissez **Politique de confiance personnalisée**.
1. Copiez et collez la politique de confiance personnalisée suivante dans l'éditeur JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEqualsIfExists": {
"aws:SourceAccount": ["111122223333"]
},
"ArnLikeIfExists": {
"aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:configured-audience-model/*"
}
}
}
]
}
```
------
`SourceAccount`C'est toujours le vôtre Compte AWS. Ils `SourceArn` peuvent être limités à un ensemble de données d'entraînement spécifique, mais uniquement après la création de cet ensemble de données. Comme vous ne connaissez pas encore l'ARN du jeu de données d'entraînement, le caractère générique est spécifié ici.
1. Choisissez **Suivant**.
1. Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez **Next**.
1. Dans **Nom, révision et création**, entrez le **nom et la **description** du rôle**.
**Note**
Le **nom du rôle** doit correspondre au modèle des `passRole` autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.
1. Passez en revue **Sélectionnez les entités fiables** et modifiez-les si nécessaire.
1. Passez en revue les autorisations dans **Ajouter des autorisations** et modifiez-les si nécessaire.
1. Passez en revue les **balises** et ajoutez-en si nécessaire.
1. Choisissez **Créer un rôle**.
Vous avez créé le rôle de service pour AWS Clean Rooms.
### Création d'un rôle de service pour lire les données de départ
AWS Clean Rooms utilise un rôle de service pour lire les données de départ. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des autorisations IAM nécessaires. Si vous n'êtes pas `CreateRole` autorisé, demandez à votre administrateur de créer le rôle de service.
**Créer un rôle de service pour lire les données de départ stockées dans un compartiment S3.**
1. Connectez-vous à la console IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) avec votre compte d'administrateur.
1. Sous **Access Management (Gestion des accès)**, choisissez **Policies (politiques)**.
1. Choisissez **Create Policy** (Créer une politique).
1. Dans l'**éditeur de politiques**, sélectionnez l'onglet **JSON**, puis copiez-collez l'une des politiques suivantes.
**Note**
L'exemple de politique suivant prend en charge les autorisations nécessaires pour lire AWS Glue les métadonnées et les données Amazon S3 correspondantes. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données Amazon S3. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.
Vos AWS Glue ressources et les ressources Amazon S3 sous-jacentes doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::buckets"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"accountId"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucketFolders/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"accountId"
]
}
}
}
]
}
```
------
**Note**
L'exemple de politique suivant prend en charge les autorisations nécessaires pour lire les résultats d'une requête SQL et les utiliser comme données d'entrée. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la structure de votre requête. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCleanRoomsStartQuery",
"Effect": "Allow",
"Action": [
"cleanrooms:GetCollaborationAnalysisTemplate",
"cleanrooms:GetSchema",
"cleanrooms:StartProtectedQuery"
],
"Resource": "*"
},
{
"Sid": "AllowCleanRoomsGetAndUpdateQuery",
"Effect": "Allow",
"Action": [
"cleanrooms:GetProtectedQuery",
"cleanrooms:UpdateProtectedQuery"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/queryRunnerMembershipId"
]
}
]
}
```
------
Si vous devez utiliser une clé KMS pour déchiffrer des données, ajoutez cette AWS KMS instruction au modèle :
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:region:accountId:key/keyId"
],
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
}
}
}
]
}
```
1. Remplacez chacune *placeholder* par vos propres informations :
+ *buckets*— Le **nom de ressource Amazon (ARN)** du compartiment S3. Le **nom de ressource Amazon (ARN)** se trouve dans l'onglet **Propriétés** du compartiment dans Amazon S3.
+ *accountId*— L' Compte AWS ID dans lequel se trouve le compartiment S3.
+ *bucketFolders*— Le nom des dossiers spécifiques du compartiment S3 auxquels il est AWS Clean Rooms nécessaire d'accéder.
+ *region* : Le nom de Région AWS. Par exemple, **us-east-1**.
+ *queryRunnerAccountId*— L' Compte AWS ID du compte qui exécutera les requêtes.
+ *queryRunnerMembershipId*— L'**ID** de membre du membre qui peut effectuer la demande. L'**identifiant de membre** se trouve dans l'onglet **Détails** de la collaboration. Cela garantit qu'il AWS Clean Rooms n'assume le rôle que lorsque ce membre exécute l'analyse dans le cadre de cette collaboration.
+ *keyId*— La clé KMS nécessaire pour chiffrer vos données.
1. Choisissez **Suivant**.
1. Pour **Révision et création**, entrez le **nom et la **description** de la politique**, puis consultez le **résumé**.
1. Choisissez **Create Policy** (Créer une politique).
Vous avez créé une politique pour AWS Clean Rooms.
1. Sous **Access Management** (Gestion des accès), choisissez **Roles** (Rôles).
Avec **les rôles**, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner **Utilisateurs** pour créer des informations d'identification à long terme.
1. Choisissez **Créer un rôle**.
1. Dans l'assistant de **création de rôle**, pour **Type d'entité fiable**, choisissez **Politique de confiance personnalisée**.
1. Copiez et collez la politique de confiance personnalisée suivante dans l'éditeur JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEqualsIfExists": {
"aws:SourceAccount": ["111122223333"]
},
"ArnLikeIfExists": {
"aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:audience-generation-job/*"
}
}
}
]
}
```
------
`SourceAccount`C'est toujours le vôtre Compte AWS. Ils `SourceArn` peuvent être limités à un ensemble de données d'entraînement spécifique, mais uniquement après la création de cet ensemble de données. Comme vous ne connaissez pas encore l'ARN du jeu de données d'entraînement, le caractère générique est spécifié ici.
1. Choisissez **Suivant**.
1. Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez **Next**.
1. Dans **Nom, révision et création**, entrez le **nom et la **description** du rôle**.
**Note**
Le **nom du rôle** doit correspondre au modèle des `passRole` autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.
1. Passez en revue **Sélectionnez les entités fiables** et modifiez-les si nécessaire.
1. Passez en revue les autorisations dans **Ajouter des autorisations** et modifiez-les si nécessaire.
1. Passez en revue les **balises** et ajoutez-en si nécessaire.
1. Choisissez **Créer un rôle**.
Vous avez créé le rôle de service pour AWS Clean Rooms.
## Configuration des rôles de service pour une modélisation personnalisée
**Topics**
+ [Création d'un rôle de service pour la modélisation ML personnalisée - Configuration ML](#ml-roles-custom-configure)
+ [Créez un rôle de service pour fournir un modèle de machine learning personnalisé](#ml-roles-custom-model-provider)
+ [Création d'un rôle de service pour interroger un ensemble de données](#ml-roles-custom-query-dataset)
+ [Créez un rôle de service pour créer une association de tables configurée](#ml-roles-custom-configure-table)
### Création d'un rôle de service pour la modélisation ML personnalisée - Configuration ML
AWS Clean Rooms utilise un rôle de service pour contrôler qui peut créer une configuration ML personnalisée. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des autorisations IAM nécessaires. Si vous n'êtes pas `CreateRole` autorisé, demandez à votre administrateur de créer le rôle de service.
Ce rôle vous permet d'utiliser l'MLConfigurationaction [Put](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_PutMLConfiguration.html).
**Pour créer un rôle de service afin de permettre la création d'une configuration ML personnalisée**
1. Connectez-vous à la console IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) avec votre compte d'administrateur.
1. Sous **Access Management (Gestion des accès)**, choisissez **Policies (politiques)**.
1. Choisissez **Create Policy** (Créer une politique).
1. Dans l'**éditeur de stratégie**, sélectionnez l'onglet **JSON**, puis copiez et collez la politique suivante.
**Note**
L'exemple de politique suivant prend en charge les autorisations nécessaires pour accéder et écrire des données dans un compartiment S3 et pour publier CloudWatch des métriques. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données Amazon S3. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.
Vos ressources Amazon S3 doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowS3ObjectWriteForExport",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"111122223333"
]
}
}
},
{
"Sid": "AllowS3KMSEncryptForExport",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/keyId"
],
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket*"
}
}
},
{
"Sid": "AllowCloudWatchMetricsPublishingForTrainingJobs",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringLike": {
"cloudwatch:namespace": "/aws/cleanroomsml/*"
}
}
},
{
"Sid": "AllowCloudWatchLogsPublishingForTrainingOrInferenceJobs",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:/aws/cleanroomsml/*"
]
}
]
}
```
------
1. Remplacez chacune *placeholder* par vos propres informations :
+ *bucket*— Le **nom de ressource Amazon (ARN)** du compartiment S3. Le **nom de ressource Amazon (ARN)** se trouve dans l'onglet **Propriétés** du compartiment dans Amazon S3.
+ *region* : Le nom de Région AWS. Par exemple, **us-east-1**.
+ *accountId*— L' Compte AWS ID dans lequel se trouve le compartiment S3.
+ *keyId*— La clé KMS nécessaire pour chiffrer vos données.
1. Choisissez **Suivant**.
1. Pour **Révision et création**, entrez le **nom et la **description** de la politique**, puis consultez le **résumé**.
1. Choisissez **Create Policy** (Créer une politique).
Vous avez créé une politique pour AWS Clean Rooms.
1. Sous **Access Management** (Gestion des accès), choisissez **Roles** (Rôles).
Avec **les rôles**, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner **Utilisateurs** pour créer des informations d'identification à long terme.
1. Choisissez **Créer un rôle**.
1. Dans l'assistant de **création de rôle**, pour **Type d'entité fiable**, choisissez **Politique de confiance personnalisée**.
1. Copiez et collez la politique de confiance personnalisée suivante dans l'éditeur JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:cleanrooms:us-east-1:111122223333:membership/membershipID"
}
}
}
]
}
```
------
`SourceAccount`C'est toujours le vôtre Compte AWS. Ils `SourceArn` peuvent être limités à un ensemble de données d'entraînement spécifique, mais uniquement après la création de cet ensemble de données. Comme vous ne connaissez pas encore l'ARN du jeu de données d'entraînement, le caractère générique est spécifié ici.
1. Choisissez **Suivant**.
1. Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez **Next**.
1. Dans **Nom, révision et création**, entrez le **nom et la **description** du rôle**.
**Note**
Le **nom du rôle** doit correspondre au modèle des `passRole` autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.
1. Passez en revue **Sélectionnez les entités fiables** et modifiez-les si nécessaire.
1. Passez en revue les autorisations dans **Ajouter des autorisations** et modifiez-les si nécessaire.
1. Passez en revue les **balises** et ajoutez-en si nécessaire.
1. Choisissez **Créer un rôle**.
Vous avez créé le rôle de service pour AWS Clean Rooms.
### Créez un rôle de service pour fournir un modèle de machine learning personnalisé
AWS Clean Rooms utilise un rôle de service pour contrôler qui peut créer un algorithme de modèle ML personnalisé. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des autorisations IAM nécessaires. Si vous n'êtes pas `CreateRole` autorisé, demandez à votre administrateur de créer le rôle de service.
Ce rôle vous permet d'utiliser l'[CreateConfiguredModelAlgorithm](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_CreateConfiguredModelAlgorithm.html)action.
**Pour créer un rôle de service permettant à un membre de fournir un modèle de machine learning personnalisé**
1. Connectez-vous à la console IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) avec votre compte d'administrateur.
1. Sous **Access Management (Gestion des accès)**, choisissez **Policies (politiques)**.
1. Choisissez **Create Policy** (Créer une politique).
1. Dans l'**éditeur de stratégie**, sélectionnez l'onglet **JSON**, puis copiez et collez la politique suivante.
**Note**
L'exemple de politique suivant prend en charge les autorisations nécessaires pour récupérer l'image docker contenant l'algorithme du modèle. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données Amazon S3. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.
Vos ressources Amazon S3 doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowECRImageDownloadForTrainingAndInferenceJobs",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/repoName"
}
]
}
```
------
1. Remplacez chacune *placeholder* par vos propres informations :
+ *region* : Le nom de Région AWS. Par exemple, **us-east-1**.
+ *accountId*— L' Compte AWS ID dans lequel se trouve le compartiment S3.
+ *repoName*— Le nom du référentiel qui contient vos données.
1. Choisissez **Suivant**.
1. Pour **Révision et création**, entrez le **nom et la **description** de la politique**, puis consultez le **résumé**.
1. Choisissez **Create Policy** (Créer une politique).
Vous avez créé une politique pour AWS Clean Rooms.
1. Sous **Access Management** (Gestion des accès), choisissez **Roles** (Rôles).
Avec **les rôles**, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner **Utilisateurs** pour créer des informations d'identification à long terme.
1. Choisissez **Créer un rôle**.
1. Dans l'assistant de **création de rôle**, pour **Type d'entité fiable**, choisissez **Politique de confiance personnalisée**.
1. Copiez et collez la politique de confiance personnalisée suivante dans l'éditeur JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
`SourceAccount`C'est toujours votre. `SourceArn` Vous pouvez Compte AWS le limiter à un ensemble de données d'entraînement spécifique, mais uniquement après la création de cet ensemble de données. Comme vous ne connaissez pas encore l'ARN du jeu de données d'entraînement, le caractère générique est spécifié ici.
1. Choisissez **Suivant**.
1. Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez **Next**.
1. Dans **Nom, révision et création**, entrez le **nom et la **description** du rôle**.
**Note**
Le **nom du rôle** doit correspondre au modèle des `passRole` autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.
1. Passez en revue **Sélectionnez les entités fiables** et modifiez-les si nécessaire.
1. Passez en revue les autorisations dans **Ajouter des autorisations** et modifiez-les si nécessaire.
1. Passez en revue les **balises** et ajoutez-en si nécessaire.
1. Choisissez **Créer un rôle**.
Vous avez créé le rôle de service pour AWS Clean Rooms.
### Création d'un rôle de service pour interroger un ensemble de données
AWS Clean Rooms utilise un rôle de service pour contrôler qui peut interroger un ensemble de données qui sera utilisé pour la modélisation ML personnalisée. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des autorisations IAM nécessaires. Si vous n'êtes pas `CreateRole` autorisé, demandez à votre administrateur de créer le rôle de service.
Ce rôle vous permet d'utiliser l'action [Créer un MLInput canal](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_CreateMLInputChannel.html).
**Pour créer un rôle de service permettant à un membre d'interroger un ensemble de données**
1. Connectez-vous à la console IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) avec votre compte d'administrateur.
1. Sous **Access Management (Gestion des accès)**, choisissez **Policies (politiques)**.
1. Choisissez **Create Policy** (Créer une politique).
1. Dans l'**éditeur de stratégie**, sélectionnez l'onglet **JSON**, puis copiez et collez la politique suivante.
**Note**
L'exemple de politique suivant prend en charge les autorisations nécessaires pour interroger un ensemble de données qui sera utilisé pour la modélisation ML personnalisée. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données Amazon S3. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.
Vos ressources Amazon S3 doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCleanRoomsStartQueryForMLInputChannel",
"Effect": "Allow",
"Action": "cleanrooms:StartProtectedQuery",
"Resource": "*"
},
{
"Sid": "AllowCleanroomsGetSchemaAndGetAnalysisTemplateForMLInputChannel",
"Effect": "Allow",
"Action": [
"cleanrooms:GetSchema",
"cleanrooms:GetCollaborationAnalysisTemplate"
],
"Resource": "*"
},
{
"Sid": "AllowCleanRoomsGetAndUpdateQueryForMLInputChannel",
"Effect": "Allow",
"Action": [
"cleanrooms:GetProtectedQuery",
"cleanrooms:UpdateProtectedQuery"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/queryRunnerMembershipId"
]
}
]
}
```
------
1. Remplacez chacune *placeholder* par vos propres informations :
+ *region* : Le nom de Région AWS. Par exemple, **us-east-1**.
+ *queryRunnerAccountId*— L' Compte AWS ID du compte qui exécutera les requêtes.
+ *queryRunnerMembershipId*— L'**ID** de membre du membre qui peut effectuer la demande. L'**identifiant de membre** se trouve dans l'onglet **Détails** de la collaboration. Cela garantit qu'il AWS Clean Rooms n'assume le rôle que lorsque ce membre exécute l'analyse dans le cadre de cette collaboration.
1. Choisissez **Suivant**.
1. Pour **Révision et création**, entrez le **nom et la **description** de la politique**, puis consultez le **résumé**.
1. Choisissez **Create Policy** (Créer une politique).
Vous avez créé une politique pour AWS Clean Rooms.
1. Sous **Access Management** (Gestion des accès), choisissez **Roles** (Rôles).
Avec **les rôles**, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner **Utilisateurs** pour créer des informations d'identification à long terme.
1. Choisissez **Créer un rôle**.
1. Dans l'assistant de **création de rôle**, pour **Type d'entité fiable**, choisissez **Politique de confiance personnalisée**.
1. Copiez et collez la politique de confiance personnalisée suivante dans l'éditeur JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
`SourceAccount`C'est toujours votre. `SourceArn` Vous pouvez Compte AWS le limiter à un ensemble de données d'entraînement spécifique, mais uniquement après la création de cet ensemble de données. Comme vous ne connaissez pas encore l'ARN du jeu de données d'entraînement, le caractère générique est spécifié ici.
1. Choisissez **Suivant**.
1. Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez **Next**.
1. Dans **Nom, révision et création**, entrez le **nom et la **description** du rôle**.
**Note**
Le **nom du rôle** doit correspondre au modèle des `passRole` autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.
1. Passez en revue **Sélectionnez les entités fiables** et modifiez-les si nécessaire.
1. Passez en revue les autorisations dans **Ajouter des autorisations** et modifiez-les si nécessaire.
1. Passez en revue les **balises** et ajoutez-en si nécessaire.
1. Choisissez **Créer un rôle**.
Vous avez créé le rôle de service pour AWS Clean Rooms.
### Créez un rôle de service pour créer une association de tables configurée
AWS Clean Rooms utilise un rôle de service pour contrôler qui peut créer une association de tables configurée. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des autorisations IAM nécessaires. Si vous n'êtes pas `CreateRole` autorisé, demandez à votre administrateur de créer le rôle de service.
Ce rôle vous permet d'utiliser l' CreateConfiguredTableAssociation action.
**Pour créer un rôle de service afin de permettre la création d'une association de tables configurée**
1. Connectez-vous à la console IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) avec votre compte d'administrateur.
1. Sous **Access Management (Gestion des accès)**, choisissez **Policies (politiques)**.
1. Choisissez **Create Policy** (Créer une politique).
1. Dans l'**éditeur de stratégie**, sélectionnez l'onglet **JSON**, puis copiez et collez la politique suivante.
**Note**
L'exemple de politique suivant prend en charge la création d'une association de tables configurée. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données Amazon S3. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.
Vos ressources Amazon S3 doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/KMS-key-ID",
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::bucket-name",
"Effect": "Allow"
},
{
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::bucket-name/*",
"Effect": "Allow"
},
{
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartitions",
"glue:GetPartition",
"glue:BatchGetPartition"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:catalog",
"arn:aws:glue:us-east-1:111122223333:database/Glue database name",
"arn:aws:glue:us-east-1:111122223333:table/Glue database name/Glue table name"
],
"Effect": "Allow"
},
{
"Action": [
"glue:GetSchema",
"glue:GetSchemaVersion"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
**Remplacer la ressource fictive ARNs**
Lorsque vous utilisez cette politique, vous devez remplacer les identifiants de ressource réservés par les identifiants réels ARNs de vos ressources :
**AWS KMS Ressource clé** : *KMS-key-ID* remplacez-la par l'identifiant de AWS KMS clé réel qui chiffre vos données Amazon S3. La clé doit se trouver dans le même compte (111122223333) qui possède les ressources du catalogue. AWS Glue
**Ressources du compartiment Amazon S3** : remplacez *bucket-name* par le nom réel du compartiment Amazon S3 qui contient les données de votre AWS Glue table. Notez que le compartiment Amazon S3 ARNs n'inclut pas de compte IDs car les noms de compartiment sont uniques au niveau mondial.
**AWS Glue Ressources** : remplacez les espaces réservés suivants par les noms réels de vos ressources :
*Glue database name*- Le nom de votre AWS Glue base de données
*Glue table name*- Le nom de votre AWS Glue table
Toutes les AWS Glue ressources (catalogue, base de données et table) doivent être identiques Compte AWS (111122223333) pour garantir des autorisations d'accès cohérentes. Ce compte doit être le même que celui qui possède la AWS KMS clé utilisée pour le chiffrement des données, afin de créer une limite de sécurité unifiée pour vos ressources de AWS Clean Rooms données.
1. Remplacez chacune *placeholder* par vos propres informations :
+ *KMS key used to encrypt the Amazon S3 data*— La clé KMS utilisée pour chiffrer les données Amazon S3. Pour déchiffrer les données, vous devez fournir la même clé KMS que celle utilisée pour chiffrer les données.
+ *Amazon S3 bucket of AWS Glue table*— Le nom du compartiment Amazon S3 qui contient la AWS Glue table contenant vos données.
+ *region* : Le nom de Région AWS. Par exemple, **us-east-1**.
+ *accountId*— L' Compte AWS identifiant du compte propriétaire des données.
+ *AWS Glue database name*— Le nom de la AWS Glue base de données qui contient vos données.
+ *AWS Glue table name*— Nom de la AWS Glue table contenant vos données.
1. Choisissez **Suivant**.
1. Pour **Révision et création**, entrez le **nom et la **description** de la politique**, puis consultez le **résumé**.
1. Choisissez **Create Policy** (Créer une politique).
Vous avez créé une politique pour AWS Clean Rooms.
1. Sous **Access Management** (Gestion des accès), choisissez **Roles** (Rôles).
Avec **les rôles**, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner **Utilisateurs** pour créer des informations d'identification à long terme.
1. Choisissez **Créer un rôle**.
1. Dans l'assistant de **création de rôle**, pour **Type d'entité fiable**, choisissez **Politique de confiance personnalisée**.
1. Copiez et collez la politique de confiance personnalisée suivante dans l'éditeur JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
`SourceAccount`C'est toujours votre. `SourceArn` Vous pouvez Compte AWS le limiter à un ensemble de données d'entraînement spécifique, mais uniquement après la création de cet ensemble de données. Comme vous ne connaissez pas encore l'ARN du jeu de données d'entraînement, le caractère générique est spécifié ici.
1. Choisissez **Suivant**.
1. Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez **Next**.
1. Dans **Nom, révision et création**, entrez le **nom et la **description** du rôle**.
**Note**
Le **nom du rôle** doit correspondre au modèle des `passRole` autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.
1. Passez en revue **Sélectionnez les entités fiables** et modifiez-les si nécessaire.
1. Passez en revue les autorisations dans **Ajouter des autorisations** et modifiez-les si nécessaire.
1. Passez en revue les **balises** et ajoutez-en si nécessaire.
1. Choisissez **Créer un rôle**.
Vous avez créé le rôle de service pour AWS Clean Rooms.