Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengatur peran layanan untuk AWS Clean Rooms ML
Peran yang diperlukan untuk melakukan pemodelan mirip berbeda dari yang dibutuhkan untuk menggunakan model khusus. Bagian berikut menjelaskan peran yang diperlukan untuk melakukan setiap tugas.
**Topics**
+ [
## Siapkan peran layanan untuk pemodelan mirip
](#aws-model-roles)
+ [
## Siapkan peran layanan untuk pemodelan khusus
](#custom-model-roles)
## Siapkan peran layanan untuk pemodelan mirip
**Topics**
+ [
### Membuat peran layanan untuk membaca data pelatihan
](#ml-create-role-training)
+ [
### Buat peran layanan untuk menulis segmen yang mirip
](#ml-create-role-write-segment)
+ [
### Buat peran layanan untuk membaca data benih
](#ml-create-role-read-seed)
### Membuat peran layanan untuk membaca data pelatihan
AWS Clean Rooms menggunakan peran layanan untuk membaca data pelatihan. Anda dapat membuat peran ini menggunakan konsol jika Anda memiliki izin IAM yang diperlukan. Jika Anda tidak memiliki `CreateRole` izin, minta administrator Anda untuk membuat peran layanan.
**Untuk membuat peran layanan untuk melatih kumpulan data**
1. Masuk ke konsol IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) dengan akun administrator Anda.
1. Di bagian **Manajemen akses**, pilih **Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Di **editor Kebijakan**, pilih tab **JSON**, lalu salin dan tempel kebijakan berikut.
**catatan**
Kebijakan contoh berikut mendukung izin yang diperlukan untuk membaca AWS Glue metadata dan data Amazon S3 yang sesuai. Namun, Anda mungkin perlu mengubah kebijakan ini tergantung pada cara Anda menyiapkan data S3. Kebijakan ini tidak menyertakan kunci KMS untuk mendekripsi data.
AWS Glue Sumber daya Anda dan sumber daya Amazon S3 yang mendasarinya harus Wilayah AWS sama dengan kolaborasi. AWS Clean Rooms
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartitions",
"glue:GetPartition",
"glue:BatchGetPartition",
"glue:GetUserDefinedFunctions"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:database/databases",
"arn:aws:glue:us-east-1:111122223333:table/databases/tables",
"arn:aws:glue:us-east-1:111122223333:catalog",
"arn:aws:glue:us-east-1:111122223333:database/default"
]
},
{
"Effect": "Allow",
"Action": [
"glue:CreateDatabase"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:database/default"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::bucket"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"111122223333"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucketFolders/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"111122223333"
]
}
}
}
]
}
```
------
Jika Anda perlu menggunakan kunci KMS untuk mendekripsi data, tambahkan AWS KMS pernyataan ini ke template sebelumnya:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
],
"Resource": [
"arn:aws:kms:region:accountId:key/keyId"
],
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
}
}
}
]
}
```
1. Ganti masing-masing *placeholder* dengan informasi Anda sendiri:
+ *region*- Nama Wilayah AWS. Misalnya, **us-east-1**.
+ *accountId*— Akun AWS ID tempat bucket S3 berada.
+ *database/databases*, *table/databases/tables**catalog*,, dan *database/default* — Lokasi data pelatihan yang AWS Clean Rooms perlu diakses.
+ *bucket*— **Nama Sumber Daya Amazon (ARN) dari ember** S3. **Nama Sumber Daya Amazon (ARN)** dapat ditemukan di tab **Properties** bucket di Amazon S3.
+ *bucketFolders*— Nama folder tertentu di bucket S3 yang AWS Clean Rooms perlu diakses.
1. Pilih **Berikutnya**.
1. Untuk **meninjau dan membuat**, masukkan **nama Kebijakan** dan **Deskripsi**, dan tinjau **Ringkasan**.
1. Pilih **Buat kebijakan**.
Anda telah membuat kebijakan untuk AWS Clean Rooms.
1. Di bawah **Manajemen akses**, pilih **Peran**.
Dengan **Peran**, Anda dapat membuat kredensi jangka pendek, yang direkomendasikan untuk meningkatkan keamanan. Anda juga dapat memilih **Pengguna** untuk membuat kredensi jangka panjang.
1. Pilih **Buat peran**.
1. Di wizard **Buat peran**, untuk **jenis entitas Tepercaya**, pilih **Kebijakan kepercayaan khusus**.
1. Salin dan tempel kebijakan kepercayaan khusus berikut ke editor JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEqualsIfExists": {
"aws:SourceAccount": ["111122223333"]
},
"ArnLikeIfExists": {
"aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:training-dataset/*"
}
}
}
]
}
```
------
`SourceAccount`Itu selalu milikmu Akun AWS. Ini `SourceArn` dapat dibatasi pada kumpulan data pelatihan tertentu, tetapi hanya setelah kumpulan data itu dibuat. Karena Anda belum mengetahui kumpulan data pelatihan ARN, wildcard ditentukan di sini.
*accountId*adalah ID Akun AWS yang berisi data pelatihan.
1. Pilih **Berikutnya** dan di bawah **Tambahkan izin**, masukkan nama kebijakan yang baru saja Anda buat. (Anda mungkin perlu memuat ulang halaman.)
1. Pilih kotak centang di samping nama kebijakan yang Anda buat, lalu pilih **Berikutnya**.
1. Untuk **Nama, tinjau, dan buat**, masukkan **nama Peran** dan **Deskripsi**.
**catatan**
**Nama Peran** harus cocok dengan pola dalam `passRole` izin yang diberikan kepada anggota yang dapat melakukan kueri dan menerima hasil dan peran anggota.
1. Tinjau **Pilih entitas tepercaya**, dan edit jika perlu.
1. Tinjau izin di **Tambahkan izin**, dan edit jika perlu.
1. Tinjau **Tag**, dan tambahkan tag jika perlu.
1. Pilih **Buat peran**.
Anda telah membuat peran layanan untuk AWS Clean Rooms.
### Buat peran layanan untuk menulis segmen yang mirip
AWS Clean Rooms menggunakan peran layanan untuk menulis segmen yang mirip ke ember. Anda dapat membuat peran ini menggunakan konsol jika Anda memiliki izin IAM yang diperlukan. Jika Anda tidak memiliki `CreateRole` izin, minta administrator Anda untuk membuat peran layanan.
**Untuk membuat peran layanan untuk menulis segmen mirip**
1. Masuk ke konsol IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) dengan akun administrator Anda.
1. Di bagian **Manajemen akses**, pilih **Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Di **editor Kebijakan**, pilih tab **JSON**, lalu salin dan tempel kebijakan berikut.
**catatan**
Kebijakan contoh berikut mendukung izin yang diperlukan untuk membaca AWS Glue metadata dan data Amazon S3 yang sesuai. Namun, Anda mungkin perlu mengubah kebijakan ini tergantung pada cara Anda mengatur data Amazon S3 Anda. Kebijakan ini tidak menyertakan kunci KMS untuk mendekripsi data.
AWS Glue Sumber daya Anda dan sumber daya Amazon S3 yang mendasarinya harus Wilayah AWS sama dengan kolaborasi. AWS Clean Rooms
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::buckets"
],
"Condition":{
"StringEquals":{
"s3:ResourceAccount":[
"accountId"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucketFolders/*"
],
"Condition":{
"StringEquals":{
"s3:ResourceAccount":[
"accountId"
]
}
}
}
]
}
```
------
Jika Anda perlu menggunakan kunci KMS untuk mengenkripsi data, tambahkan AWS KMS pernyataan ini ke template:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:ReEncrypt*",
],
"Resource": [
"arn:aws:kms:region:accountId:key/keyId"
],
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
}
}
}
]
}
```
1. Ganti masing-masing *placeholder* dengan informasi Anda sendiri:
+ *buckets*— **Nama Sumber Daya Amazon (ARN) dari ember** S3. **Nama Sumber Daya Amazon (ARN)** dapat ditemukan di tab **Properties** bucket di Amazon S3.
+ *accountId*— Akun AWS ID tempat bucket S3 berada.
+ *bucketFolders*— Nama folder tertentu di bucket S3 yang AWS Clean Rooms perlu diakses.
+ *region*- Nama Wilayah AWS. Misalnya, **us-east-1**.
+ *keyId*— Kunci KMS diperlukan untuk mengenkripsi data Anda.
1. Pilih **Berikutnya**.
1. Untuk **meninjau dan membuat**, masukkan **nama Kebijakan** dan **Deskripsi**, dan tinjau **Ringkasan**.
1. Pilih **Buat kebijakan**.
Anda telah membuat kebijakan untuk AWS Clean Rooms.
1. Di bawah **Manajemen akses**, pilih **Peran**.
Dengan **Peran**, Anda dapat membuat kredensi jangka pendek, yang direkomendasikan untuk meningkatkan keamanan. Anda juga dapat memilih **Pengguna** untuk membuat kredensi jangka panjang.
1. Pilih **Buat peran**.
1. Di wizard **Buat peran**, untuk **jenis entitas Tepercaya**, pilih **Kebijakan kepercayaan khusus**.
1. Salin dan tempel kebijakan kepercayaan khusus berikut ke editor JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEqualsIfExists": {
"aws:SourceAccount": ["111122223333"]
},
"ArnLikeIfExists": {
"aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:configured-audience-model/*"
}
}
}
]
}
```
------
`SourceAccount`Itu selalu milikmu Akun AWS. Ini `SourceArn` dapat dibatasi pada kumpulan data pelatihan tertentu, tetapi hanya setelah kumpulan data itu dibuat. Karena Anda belum mengetahui kumpulan data pelatihan ARN, wildcard ditentukan di sini.
1. Pilih **Berikutnya**.
1. Pilih kotak centang di samping nama kebijakan yang Anda buat, lalu pilih **Berikutnya**.
1. Untuk **Nama, tinjau, dan buat**, masukkan **nama Peran** dan **Deskripsi**.
**catatan**
**Nama Peran** harus cocok dengan pola dalam `passRole` izin yang diberikan kepada anggota yang dapat melakukan kueri dan menerima hasil dan peran anggota.
1. Tinjau **Pilih entitas tepercaya**, dan edit jika perlu.
1. Tinjau izin di **Tambahkan izin**, dan edit jika perlu.
1. Tinjau **Tag**, dan tambahkan tag jika perlu.
1. Pilih **Buat peran**.
Anda telah membuat peran layanan untuk AWS Clean Rooms.
### Buat peran layanan untuk membaca data benih
AWS Clean Rooms menggunakan peran layanan untuk membaca data benih. Anda dapat membuat peran ini menggunakan konsol jika Anda memiliki izin IAM yang diperlukan. Jika Anda tidak memiliki `CreateRole` izin, minta administrator Anda untuk membuat peran layanan.
**Untuk membuat peran layanan untuk membaca data benih yang disimpan dalam bucket S3.**
1. Masuk ke konsol IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) dengan akun administrator Anda.
1. Di bagian **Manajemen akses**, pilih **Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Di **editor Kebijakan**, pilih tab **JSON**, lalu salin dan tempel salah satu kebijakan berikut.
**catatan**
Kebijakan contoh berikut mendukung izin yang diperlukan untuk membaca AWS Glue metadata dan data Amazon S3 yang sesuai. Namun, Anda mungkin perlu mengubah kebijakan ini tergantung pada cara Anda mengatur data Amazon S3 Anda. Kebijakan ini tidak menyertakan kunci KMS untuk mendekripsi data.
AWS Glue Sumber daya Anda dan sumber daya Amazon S3 yang mendasarinya harus Wilayah AWS sama dengan kolaborasi. AWS Clean Rooms
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::buckets"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"accountId"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucketFolders/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"accountId"
]
}
}
}
]
}
```
------
**catatan**
Contoh kebijakan berikut mendukung izin yang diperlukan untuk membaca hasil query SQL dan menggunakannya sebagai data input. Namun, Anda mungkin perlu mengubah kebijakan ini tergantung pada bagaimana kueri Anda terstruktur. Kebijakan ini tidak menyertakan kunci KMS untuk mendekripsi data.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCleanRoomsStartQuery",
"Effect": "Allow",
"Action": [
"cleanrooms:GetCollaborationAnalysisTemplate",
"cleanrooms:GetSchema",
"cleanrooms:StartProtectedQuery"
],
"Resource": "*"
},
{
"Sid": "AllowCleanRoomsGetAndUpdateQuery",
"Effect": "Allow",
"Action": [
"cleanrooms:GetProtectedQuery",
"cleanrooms:UpdateProtectedQuery"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/queryRunnerMembershipId"
]
}
]
}
```
------
Jika Anda perlu menggunakan kunci KMS untuk mendekripsi data, tambahkan AWS KMS pernyataan ini ke template:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:region:accountId:key/keyId"
],
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
}
}
}
]
}
```
1. Ganti masing-masing *placeholder* dengan informasi Anda sendiri:
+ *buckets*— **Nama Sumber Daya Amazon (ARN) dari ember** S3. **Nama Sumber Daya Amazon (ARN)** dapat ditemukan di tab **Properties** bucket di Amazon S3.
+ *accountId*— Akun AWS ID tempat bucket S3 berada.
+ *bucketFolders*— Nama folder tertentu di bucket S3 yang AWS Clean Rooms perlu diakses.
+ *region*- Nama Wilayah AWS. Misalnya, **us-east-1**.
+ *queryRunnerAccountId*— Akun AWS ID akun yang akan menjalankan kueri.
+ *queryRunnerMembershipId*— **ID Keanggotaan** anggota yang dapat melakukan query. **ID Keanggotaan** dapat ditemukan di tab **Detail** kolaborasi. Ini memastikan bahwa AWS Clean Rooms mengasumsikan peran hanya ketika anggota ini menjalankan analisis dalam kolaborasi ini.
+ *keyId*— Kunci KMS diperlukan untuk mengenkripsi data Anda.
1. Pilih **Berikutnya**.
1. Untuk **meninjau dan membuat**, masukkan **nama Kebijakan** dan **Deskripsi**, dan tinjau **Ringkasan**.
1. Pilih **Buat kebijakan**.
Anda telah membuat kebijakan untuk AWS Clean Rooms.
1. Di bawah **Manajemen akses**, pilih **Peran**.
Dengan **Peran**, Anda dapat membuat kredensi jangka pendek, yang direkomendasikan untuk meningkatkan keamanan. Anda juga dapat memilih **Pengguna** untuk membuat kredensi jangka panjang.
1. Pilih **Buat peran**.
1. Di wizard **Buat peran**, untuk **jenis entitas Tepercaya**, pilih **Kebijakan kepercayaan khusus**.
1. Salin dan tempel kebijakan kepercayaan khusus berikut ke editor JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEqualsIfExists": {
"aws:SourceAccount": ["111122223333"]
},
"ArnLikeIfExists": {
"aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:audience-generation-job/*"
}
}
}
]
}
```
------
`SourceAccount`Itu selalu milikmu Akun AWS. Ini `SourceArn` dapat dibatasi pada kumpulan data pelatihan tertentu, tetapi hanya setelah kumpulan data itu dibuat. Karena Anda belum mengetahui kumpulan data pelatihan ARN, wildcard ditentukan di sini.
1. Pilih **Berikutnya**.
1. Pilih kotak centang di samping nama kebijakan yang Anda buat, lalu pilih **Berikutnya**.
1. Untuk **Nama, tinjau, dan buat**, masukkan **nama Peran** dan **Deskripsi**.
**catatan**
**Nama Peran** harus cocok dengan pola dalam `passRole` izin yang diberikan kepada anggota yang dapat melakukan kueri dan menerima hasil dan peran anggota.
1. Tinjau **Pilih entitas tepercaya**, dan edit jika perlu.
1. Tinjau izin di **Tambahkan izin**, dan edit jika perlu.
1. Tinjau **Tag**, dan tambahkan tag jika perlu.
1. Pilih **Buat peran**.
Anda telah membuat peran layanan untuk AWS Clean Rooms.
## Siapkan peran layanan untuk pemodelan khusus
**Topics**
+ [
### Buat peran layanan untuk pemodelan ML kustom - Konfigurasi ML
](#ml-roles-custom-configure)
+ [
### Buat peran layanan untuk menyediakan model ML kustom
](#ml-roles-custom-model-provider)
+ [
### Membuat peran layanan untuk menanyakan kumpulan data
](#ml-roles-custom-query-dataset)
+ [
### Membuat peran layanan untuk membuat asosiasi tabel yang dikonfigurasi
](#ml-roles-custom-configure-table)
### Buat peran layanan untuk pemodelan ML kustom - Konfigurasi ML
AWS Clean Rooms menggunakan peran layanan untuk mengontrol siapa yang dapat membuat konfigurasi HTML kustom. Anda dapat membuat peran ini menggunakan konsol jika Anda memiliki izin IAM yang diperlukan. Jika Anda tidak memiliki `CreateRole` izin, minta administrator Anda untuk membuat peran layanan.
Peran ini memungkinkan Anda untuk menggunakan MLConfiguration tindakan [Put](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_PutMLConfiguration.html).
**Untuk membuat peran layanan untuk memungkinkan pembuatan konfigurasi HTML kustom**
1. Masuk ke konsol IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) dengan akun administrator Anda.
1. Di bagian **Manajemen akses**, pilih **Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Di **editor Kebijakan**, pilih tab **JSON**, lalu salin dan tempel kebijakan berikut.
**catatan**
Contoh kebijakan berikut mendukung izin yang diperlukan untuk mengakses dan menulis data ke bucket S3 dan untuk mempublikasikan CloudWatch metrik. Namun, Anda mungkin perlu mengubah kebijakan ini tergantung pada cara Anda mengatur data Amazon S3 Anda. Kebijakan ini tidak menyertakan kunci KMS untuk mendekripsi data.
Sumber daya Amazon S3 Anda harus Wilayah AWS sama dengan kolaborasi. AWS Clean Rooms
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowS3ObjectWriteForExport",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"111122223333"
]
}
}
},
{
"Sid": "AllowS3KMSEncryptForExport",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/keyId"
],
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket*"
}
}
},
{
"Sid": "AllowCloudWatchMetricsPublishingForTrainingJobs",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringLike": {
"cloudwatch:namespace": "/aws/cleanroomsml/*"
}
}
},
{
"Sid": "AllowCloudWatchLogsPublishingForTrainingOrInferenceJobs",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:/aws/cleanroomsml/*"
]
}
]
}
```
------
1. Ganti masing-masing *placeholder* dengan informasi Anda sendiri:
+ *bucket*— **Nama Sumber Daya Amazon (ARN) dari ember** S3. **Nama Sumber Daya Amazon (ARN)** dapat ditemukan di tab **Properties** bucket di Amazon S3.
+ *region*- Nama Wilayah AWS. Misalnya, **us-east-1**.
+ *accountId*— Akun AWS ID tempat bucket S3 berada.
+ *keyId*— Kunci KMS diperlukan untuk mengenkripsi data Anda.
1. Pilih **Berikutnya**.
1. Untuk **meninjau dan membuat**, masukkan **nama Kebijakan** dan **Deskripsi**, dan tinjau **Ringkasan**.
1. Pilih **Buat kebijakan**.
Anda telah membuat kebijakan untuk AWS Clean Rooms.
1. Di bawah **Manajemen akses**, pilih **Peran**.
Dengan **Peran**, Anda dapat membuat kredensi jangka pendek, yang direkomendasikan untuk meningkatkan keamanan. Anda juga dapat memilih **Pengguna** untuk membuat kredensi jangka panjang.
1. Pilih **Buat peran**.
1. Di wizard **Buat peran**, untuk **jenis entitas Tepercaya**, pilih **Kebijakan kepercayaan khusus**.
1. Salin dan tempel kebijakan kepercayaan khusus berikut ke editor JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:cleanrooms:us-east-1:111122223333:membership/membershipID"
}
}
}
]
}
```
------
`SourceAccount`Itu selalu milikmu Akun AWS. Ini `SourceArn` dapat dibatasi pada kumpulan data pelatihan tertentu, tetapi hanya setelah kumpulan data itu dibuat. Karena Anda belum mengetahui kumpulan data pelatihan ARN, wildcard ditentukan di sini.
1. Pilih **Berikutnya**.
1. Pilih kotak centang di samping nama kebijakan yang Anda buat, lalu pilih **Berikutnya**.
1. Untuk **Nama, tinjau, dan buat**, masukkan **nama Peran** dan **Deskripsi**.
**catatan**
**Nama Peran** harus cocok dengan pola dalam `passRole` izin yang diberikan kepada anggota yang dapat melakukan kueri dan menerima hasil dan peran anggota.
1. Tinjau **Pilih entitas tepercaya**, dan edit jika perlu.
1. Tinjau izin di **Tambahkan izin**, dan edit jika perlu.
1. Tinjau **Tag**, dan tambahkan tag jika perlu.
1. Pilih **Buat peran**.
Anda telah membuat peran layanan untuk AWS Clean Rooms.
### Buat peran layanan untuk menyediakan model ML kustom
AWS Clean Rooms menggunakan peran layanan untuk mengontrol siapa yang dapat membuat algoritma model HTML kustom. Anda dapat membuat peran ini menggunakan konsol jika Anda memiliki izin IAM yang diperlukan. Jika Anda tidak memiliki `CreateRole` izin, minta administrator Anda untuk membuat peran layanan.
Peran ini memungkinkan Anda untuk menggunakan [CreateConfiguredModelAlgorithm](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_CreateConfiguredModelAlgorithm.html)tindakan.
**Untuk membuat peran layanan agar anggota dapat menyediakan model ML kustom**
1. Masuk ke konsol IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) dengan akun administrator Anda.
1. Di bagian **Manajemen akses**, pilih **Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Di **editor Kebijakan**, pilih tab **JSON**, lalu salin dan tempel kebijakan berikut.
**catatan**
Contoh kebijakan berikut mendukung izin yang diperlukan untuk mengambil image docker yang berisi algoritma model. Namun, Anda mungkin perlu mengubah kebijakan ini tergantung pada cara Anda mengatur data Amazon S3 Anda. Kebijakan ini tidak menyertakan kunci KMS untuk mendekripsi data.
Sumber daya Amazon S3 Anda harus Wilayah AWS sama dengan kolaborasi. AWS Clean Rooms
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowECRImageDownloadForTrainingAndInferenceJobs",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/repoName"
}
]
}
```
------
1. Ganti masing-masing *placeholder* dengan informasi Anda sendiri:
+ *region*- Nama Wilayah AWS. Misalnya, **us-east-1**.
+ *accountId*— Akun AWS ID tempat bucket S3 berada.
+ *repoName*— Nama repositori yang berisi data Anda.
1. Pilih **Berikutnya**.
1. Untuk **meninjau dan membuat**, masukkan **nama Kebijakan** dan **Deskripsi**, dan tinjau **Ringkasan**.
1. Pilih **Buat kebijakan**.
Anda telah membuat kebijakan untuk AWS Clean Rooms.
1. Di bawah **Manajemen akses**, pilih **Peran**.
Dengan **Peran**, Anda dapat membuat kredensi jangka pendek, yang direkomendasikan untuk meningkatkan keamanan. Anda juga dapat memilih **Pengguna** untuk membuat kredensi jangka panjang.
1. Pilih **Buat peran**.
1. Di wizard **Buat peran**, untuk **jenis entitas Tepercaya**, pilih **Kebijakan kepercayaan khusus**.
1. Salin dan tempel kebijakan kepercayaan khusus berikut ke editor JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
`SourceAccount`Itu selalu milik Anda Akun AWS . `SourceArn` Dapat dibatasi pada kumpulan data pelatihan tertentu, tetapi hanya setelah kumpulan data itu dibuat. Karena Anda belum mengetahui kumpulan data pelatihan ARN, wildcard ditentukan di sini.
1. Pilih **Berikutnya**.
1. Pilih kotak centang di samping nama kebijakan yang Anda buat, lalu pilih **Berikutnya**.
1. Untuk **Nama, tinjau, dan buat**, masukkan **nama Peran** dan **Deskripsi**.
**catatan**
**Nama Peran** harus cocok dengan pola dalam `passRole` izin yang diberikan kepada anggota yang dapat melakukan kueri dan menerima hasil dan peran anggota.
1. Tinjau **Pilih entitas tepercaya**, dan edit jika perlu.
1. Tinjau izin di **Tambahkan izin**, dan edit jika perlu.
1. Tinjau **Tag**, dan tambahkan tag jika perlu.
1. Pilih **Buat peran**.
Anda telah membuat peran layanan untuk AWS Clean Rooms.
### Membuat peran layanan untuk menanyakan kumpulan data
AWS Clean Rooms menggunakan peran layanan untuk mengontrol siapa yang dapat menanyakan kumpulan data yang akan digunakan untuk pemodelan HTML kustom. Anda dapat membuat peran ini menggunakan konsol jika Anda memiliki izin IAM yang diperlukan. Jika Anda tidak memiliki `CreateRole` izin, minta administrator Anda untuk membuat peran layanan.
Peran ini memungkinkan Anda untuk menggunakan tindakan [Buat MLInput Saluran](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_CreateMLInputChannel.html).
**Untuk membuat peran layanan untuk memungkinkan anggota melakukan kueri kumpulan data**
1. Masuk ke konsol IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) dengan akun administrator Anda.
1. Di bagian **Manajemen akses**, pilih **Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Di **editor Kebijakan**, pilih tab **JSON**, lalu salin dan tempel kebijakan berikut.
**catatan**
Contoh kebijakan berikut mendukung izin yang diperlukan untuk menanyakan kumpulan data yang akan digunakan untuk pemodelan HTML kustom. Namun, Anda mungkin perlu mengubah kebijakan ini tergantung pada cara Anda mengatur data Amazon S3 Anda. Kebijakan ini tidak menyertakan kunci KMS untuk mendekripsi data.
Sumber daya Amazon S3 Anda harus Wilayah AWS sama dengan kolaborasi. AWS Clean Rooms
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCleanRoomsStartQueryForMLInputChannel",
"Effect": "Allow",
"Action": "cleanrooms:StartProtectedQuery",
"Resource": "*"
},
{
"Sid": "AllowCleanroomsGetSchemaAndGetAnalysisTemplateForMLInputChannel",
"Effect": "Allow",
"Action": [
"cleanrooms:GetSchema",
"cleanrooms:GetCollaborationAnalysisTemplate"
],
"Resource": "*"
},
{
"Sid": "AllowCleanRoomsGetAndUpdateQueryForMLInputChannel",
"Effect": "Allow",
"Action": [
"cleanrooms:GetProtectedQuery",
"cleanrooms:UpdateProtectedQuery"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/queryRunnerMembershipId"
]
}
]
}
```
------
1. Ganti masing-masing *placeholder* dengan informasi Anda sendiri:
+ *region*- Nama Wilayah AWS. Misalnya, **us-east-1**.
+ *queryRunnerAccountId*— Akun AWS ID akun yang akan menjalankan kueri.
+ *queryRunnerMembershipId*— **ID Keanggotaan** anggota yang dapat melakukan query. **ID Keanggotaan** dapat ditemukan di tab **Detail** kolaborasi. Ini memastikan bahwa AWS Clean Rooms mengasumsikan peran hanya ketika anggota ini menjalankan analisis dalam kolaborasi ini.
1. Pilih **Berikutnya**.
1. Untuk **meninjau dan membuat**, masukkan **nama Kebijakan** dan **Deskripsi**, dan tinjau **Ringkasan**.
1. Pilih **Buat kebijakan**.
Anda telah membuat kebijakan untuk AWS Clean Rooms.
1. Di bawah **Manajemen akses**, pilih **Peran**.
Dengan **Peran**, Anda dapat membuat kredensi jangka pendek, yang direkomendasikan untuk meningkatkan keamanan. Anda juga dapat memilih **Pengguna** untuk membuat kredensi jangka panjang.
1. Pilih **Buat peran**.
1. Di wizard **Buat peran**, untuk **jenis entitas Tepercaya**, pilih **Kebijakan kepercayaan khusus**.
1. Salin dan tempel kebijakan kepercayaan khusus berikut ke editor JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
`SourceAccount`Itu selalu milik Anda Akun AWS . `SourceArn` Dapat dibatasi pada kumpulan data pelatihan tertentu, tetapi hanya setelah kumpulan data itu dibuat. Karena Anda belum mengetahui kumpulan data pelatihan ARN, wildcard ditentukan di sini.
1. Pilih **Berikutnya**.
1. Pilih kotak centang di samping nama kebijakan yang Anda buat, lalu pilih **Berikutnya**.
1. Untuk **Nama, tinjau, dan buat**, masukkan **nama Peran** dan **Deskripsi**.
**catatan**
**Nama Peran** harus cocok dengan pola dalam `passRole` izin yang diberikan kepada anggota yang dapat melakukan kueri dan menerima hasil dan peran anggota.
1. Tinjau **Pilih entitas tepercaya**, dan edit jika perlu.
1. Tinjau izin di **Tambahkan izin**, dan edit jika perlu.
1. Tinjau **Tag**, dan tambahkan tag jika perlu.
1. Pilih **Buat peran**.
Anda telah membuat peran layanan untuk AWS Clean Rooms.
### Membuat peran layanan untuk membuat asosiasi tabel yang dikonfigurasi
AWS Clean Rooms menggunakan peran layanan untuk mengontrol siapa yang dapat membuat asosiasi tabel yang dikonfigurasi. Anda dapat membuat peran ini menggunakan konsol jika Anda memiliki izin IAM yang diperlukan. Jika Anda tidak memiliki `CreateRole` izin, minta administrator Anda untuk membuat peran layanan.
Peran ini memungkinkan Anda untuk menggunakan CreateConfiguredTableAssociation tindakan.
**Untuk membuat peran layanan untuk memungkinkan pembuatan asosiasi tabel yang dikonfigurasi**
1. Masuk ke konsol IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) dengan akun administrator Anda.
1. Di bagian **Manajemen akses**, pilih **Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Di **editor Kebijakan**, pilih tab **JSON**, lalu salin dan tempel kebijakan berikut.
**catatan**
Contoh kebijakan berikut mendukung pembuatan asosiasi tabel yang dikonfigurasi. Namun, Anda mungkin perlu mengubah kebijakan ini tergantung pada cara Anda mengatur data Amazon S3 Anda. Kebijakan ini tidak menyertakan kunci KMS untuk mendekripsi data.
Sumber daya Amazon S3 Anda harus Wilayah AWS sama dengan kolaborasi. AWS Clean Rooms
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/KMS-key-ID",
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::bucket-name",
"Effect": "Allow"
},
{
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::bucket-name/*",
"Effect": "Allow"
},
{
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartitions",
"glue:GetPartition",
"glue:BatchGetPartition"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:catalog",
"arn:aws:glue:us-east-1:111122223333:database/Glue database name",
"arn:aws:glue:us-east-1:111122223333:table/Glue database name/Glue table name"
],
"Effect": "Allow"
},
{
"Action": [
"glue:GetSchema",
"glue:GetSchemaVersion"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
**Ganti Sumber Daya Placeholder ARNs**
Saat menggunakan kebijakan ini, Anda harus mengganti pengenal sumber daya placeholder dengan sumber daya yang sebenarnya ARNs :
**AWS KMS Sumber Daya Kunci**: Ganti *KMS-key-ID* dengan ID AWS KMS kunci aktual yang mengenkripsi data Amazon S3 Anda. Kuncinya harus berada di akun yang sama (111122223333) yang memiliki sumber daya katalog. AWS Glue
**Sumber Daya Bucket Amazon S3**: Ganti *bucket-name* dengan nama sebenarnya bucket Amazon S3 yang berisi AWS Glue data tabel Anda. Perhatikan bahwa bucket Amazon S3 ARNs tidak menyertakan akun IDs karena nama bucket unik secara global.
**AWS Glue Sumber Daya**: Ganti placeholder berikut dengan nama sumber daya Anda yang sebenarnya:
*Glue database name*- Nama AWS Glue database Anda
*Glue table name*- Nama AWS Glue meja Anda
Semua AWS Glue sumber daya (katalog, database, dan tabel) harus sama Akun AWS (111122223333) untuk memastikan izin akses yang konsisten. Akun ini harus sama dengan yang memiliki AWS KMS kunci yang digunakan untuk enkripsi data, menciptakan batas keamanan terpadu untuk sumber daya data Anda. AWS Clean Rooms
1. Ganti masing-masing *placeholder* dengan informasi Anda sendiri:
+ *KMS key used to encrypt the Amazon S3 data*— Kunci KMS yang digunakan untuk mengenkripsi data Amazon S3. Untuk mendekripsi data, Anda perlu memberikan kunci KMS yang sama yang digunakan untuk mengenkripsi data.
+ *Amazon S3 bucket of AWS Glue table*— Nama bucket Amazon S3 yang berisi AWS Glue tabel yang berisi data Anda.
+ *region*- Nama Wilayah AWS. Misalnya, **us-east-1**.
+ *accountId*— Akun AWS ID akun yang memiliki data.
+ *AWS Glue database name*— Nama AWS Glue database yang berisi data Anda.
+ *AWS Glue table name*— Nama AWS Glue tabel yang berisi data Anda.
1. Pilih **Berikutnya**.
1. Untuk **meninjau dan membuat**, masukkan **nama Kebijakan** dan **Deskripsi**, dan tinjau **Ringkasan**.
1. Pilih **Buat kebijakan**.
Anda telah membuat kebijakan untuk AWS Clean Rooms.
1. Di bawah **Manajemen akses**, pilih **Peran**.
Dengan **Peran**, Anda dapat membuat kredensi jangka pendek, yang direkomendasikan untuk meningkatkan keamanan. Anda juga dapat memilih **Pengguna** untuk membuat kredensi jangka panjang.
1. Pilih **Buat peran**.
1. Di wizard **Buat peran**, untuk **jenis entitas Tepercaya**, pilih **Kebijakan kepercayaan khusus**.
1. Salin dan tempel kebijakan kepercayaan khusus berikut ke editor JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
`SourceAccount`Itu selalu milik Anda Akun AWS . `SourceArn` Dapat dibatasi pada kumpulan data pelatihan tertentu, tetapi hanya setelah kumpulan data itu dibuat. Karena Anda belum mengetahui kumpulan data pelatihan ARN, wildcard ditentukan di sini.
1. Pilih **Berikutnya**.
1. Pilih kotak centang di samping nama kebijakan yang Anda buat, lalu pilih **Berikutnya**.
1. Untuk **Nama, tinjau, dan buat**, masukkan **nama Peran** dan **Deskripsi**.
**catatan**
**Nama Peran** harus cocok dengan pola dalam `passRole` izin yang diberikan kepada anggota yang dapat melakukan kueri dan menerima hasil dan peran anggota.
1. Tinjau **Pilih entitas tepercaya**, dan edit jika perlu.
1. Tinjau izin di **Tambahkan izin**, dan edit jika perlu.
1. Tinjau **Tag**, dan tambahkan tag jika perlu.
1. Pilih **Buat peran**.
Anda telah membuat peran layanan untuk AWS Clean Rooms.