View a markdown version of this page

Comportamenti IAM per i modelli personalizzati Clean Rooms ML - AWS Clean Rooms
Cross-account offerte di lavoroCross-account accessoAccesso all'iscrizione e alla collaborazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Comportamenti IAM per i modelli personalizzati Clean Rooms ML

Cross-account offerte di lavoro

Clean Rooms ML consente l'accesso sicuro a determinate risorse associate Account AWS a una collaborazione creata da un altro Account AWS utente nel proprio account. Un client in Account AWS A con la capacità dei membri di eseguire query può chiamare CreateTrainedModel o StartTrainedModelInferenceJob utilizzare una ConfiguredModelAlgorithmAssociation risorsa di proprietà di un altro membro della collaborazione, a condizione che ciò ConfiguredModelAlgorithmAssociation sia consentito dalla regola di analisi personalizzata creata con. CreateMLInputChannel CreateConfiguredTableAnalysisRule

Inoltre, qualsiasi membro attivo di una collaborazione può eliminare i dati associati a un modello addestrato o a un canale di input ML tramite le DeleteMLInputChannelData API DeleteTrainedModelOutput and.

Cross-account accesso

Clean Rooms ML consente agli utenti di recuperare i metadati sulle risorse create da altri account tramite le API GetCollaboration eListCollaboration. Clean Rooms ML non rivela gli ARN delle chiavi KMS, i tag, le variabili di ambiente o gli iperparametri (relativi all'TrainedModelazione) ad altri account.

Accesso all'iscrizione e alla collaborazione

Quando si accede alle risorse di iscrizione e collaborazione nel contesto dei modelli personalizzati di Clean Rooms ML, la politica di identità di un utente richiede le autorizzazioni cleanrooms:PassMembership per le azioni o entrambe. cleanrooms:PassCollaboration Tutte le API che accettano membershipId richiedono l'cleanrooms:PassMembershipautorizzazione e tutte le API che accettano collaborationId richiedono l'autorizzazione. cleanrooms:PassCollaboration Viene fornito un esempio di policy di identità per un ruolo che può chiamare createTrainedModel nel contesto di un ID di iscrizione che può chiamare GetCollaborationTrainedModel nel contesto di un ID di collaborazione.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCleanroomsMLActions",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:PassCollaboration",
                "cleanrooms:PassMembership"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowMembershipAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetMembership"
            ],
            "Resource": [
                "arn:aws:cleanrooms:us-east-1:111122223333:membership/memberId"
            ]
        },
        {
            "Sid": "AllowCollaborationAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaboration"
            ],
            "Resource": [
                "arn:aws:cleanrooms:us-east-1:111122223333:collaboration/collaborationId"
            ]
        }
    ]
}