AWSの 管理ポリシーAWS Clean Rooms - AWS Clean Rooms
AWSCleanRoomsReadOnlyAccessAWSCleanRoomsFullAccessAWSCleanRoomsFullAccessNoQueryingAWSCleanRoomsMLReadOnlyAccessAWSCleanRoomsMLFullAccessポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSの 管理ポリシーAWS Clean Rooms

AWS管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーですAWS。 AWS管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を提供するように設計されています。

AWS管理ポリシーは、すべてのAWSお客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。

AWS管理ポリシーで定義されているアクセス許可は変更できません。がAWS マネージドポリシーで定義されたアクセス許可AWSを更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWSは、新しい が起動されるか、新しい API オペレーションAWS のサービスが既存のサービスで使用できるようになったときに、 AWSマネージドポリシーを更新する可能性が高くなります。

詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS管理ポリシー: AWSCleanRoomsReadOnlyAccess

AWSCleanRoomsReadOnlyAccess をIAM プリンシパルにアタッチできます。

このポリシーは、AWSCleanRoomsReadOnlyAccess コラボレーションのリソースとメタデータへの読み取り専用のアクセス許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • CleanRoomsRead - プリンシパルにサービスへの読み取り専用アクセスを許可します。

  • ConsoleDisplayTables – プリンシパルに、基盤となるAWS Glueテーブルに関するデータをコンソールに表示するために必要なAWS Glueメタデータへの読み取り専用アクセスを許可します。

  • ConsoleLogSummaryQueryLogs - プリンシパルにクエリログの閲覧を許可します。

  • ConsoleLogSummaryObtainLogs - プリンシパルにログ結果の取得を許可します。

ポリシーの詳細の JSON リストについては、AWS「 マネージドポリシーリファレンスガイド」のAWSCleanRoomsReadOnlyAccess」を参照してください。

AWS管理ポリシー: AWSCleanRoomsFullAccess

AWSCleanRoomsFullAccess をIAM プリンシパルにアタッチできます。

このポリシーは、 AWS Clean Roomsコラボレーション内のリソースとメタデータへのフルアクセス (読み取り、書き込み、更新) を許可する管理アクセス許可を付与します。このポリシーには、クエリを実行するためのアクセス許可が含まれています。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • CleanRoomsAccess – すべてのリソースに対するすべてのアクションへのフルアクセスを許可しますAWS Clean Rooms。

  • PassServiceRole - 名前に「cleanrooms」が含まれるサービスのみにサービスロールを渡すためのアクセス許可 (PassedToService 条件) を付与します。

  • ListRolesToPickServiceRole – プリンシパルが使用時にサービスロールを選択できるように、すべてのロールを一覧表示できるようにしますAWS Clean Rooms。

  • GetRoleAndListRolePoliciesToInspectServiceRole - IAM のサービスロールと対応するポリシーを表示することをプリンシパルに許可します。

  • ListPoliciesToInspectServiceRolePolicy - IAM のサービスロールと対応するポリシーを表示することをプリンシパルに許可します。

  • GetPolicyToInspectServiceRolePolicy - IAM のサービスロールと対応するポリシーを表示することをプリンシパルに許可します。

  • ConsoleDisplayTables – プリンシパルに、基盤となるAWS Glueテーブルに関するデータをコンソールに表示するために必要なAWS Glueメタデータへの読み取り専用アクセスを許可します。

  • ConsolePickQueryResultsBucketListAll - 使用可能なすべての Amazon S3 バケットのリストから、クエリ結果を書き込む S3 バケットを選択することをプリンシパルに許可します。

  • SetQueryResultsBucket – クエリ結果を書き込む S3 バケットを選択することをプリンシパルに許可します。

  • ConsoleDisplayQueryResults – S3 バケットから読み取ったクエリ結果を顧客に示すことをプリンシパルに許可します。

  • WriteQueryResults – クエリ結果を顧客所有の S3 バケットに書き込むことをプリンシパルに許可します。

  • EstablishLogDeliveries – 顧客の Amazon CloudWatch Logs ロググループにクエリログを提供することをプリンシパルに許可します。

  • SetupLogGroupsDescribe – Amazon CloudWatch Logs ロググループの作成プロセスを使用することをプリンシパルに許可します。

  • SetupLogGroupsCreate – プリンシパルに Amazon CloudWatch Logs ロググループの作成を許可します。

  • SetupLogGroupsResourcePolicy – Amazon CloudWatch Logs ロググループにリソースポリシーを設定することをプリンシパルに許可します。

  • ConsoleLogSummaryQueryLogs - プリンシパルにクエリログの閲覧を許可します。

  • ConsoleLogSummaryObtainLogs - プリンシパルにログ結果の取得を許可します。

ポリシーの詳細の JSON リストについては、AWS「 マネージドポリシーリファレンスガイド」のAWSCleanRoomsFullAccess」を参照してください。

AWSマネージドポリシー: AWSCleanRoomsFullAccessNoQuerying

IAM principals に AWSCleanRoomsFullAccessNoQuerying をアタッチできます。

このポリシーは、 AWS Clean Roomsコラボレーション内のリソースとメタデータへのフルアクセス (読み取り、書き込み、更新) を許可する管理アクセス許可を付与します。このポリシーでは、クエリを実行するためのアクセス許可は除外されます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • CleanRoomsAccess – コラボレーションでのクエリを除くAWS Clean Rooms、 のすべてのリソースに対するすべてのアクションへのフルアクセスを許可します。

  • CleanRoomsNoQueryingStartProtectedQueryUpdateProtectedQuery を明示的に拒否し、クエリを禁止します。

  • PassServiceRole - 名前に「cleanrooms」が含まれるサービスのみにサービスロールを渡すためのアクセス許可 (PassedToService 条件) を付与します。

  • ListRolesToPickServiceRole – プリンシパルが使用時にサービスロールを選択できるように、すべてのロールを一覧表示できるようにしますAWS Clean Rooms。

  • GetRoleAndListRolePoliciesToInspectServiceRole - IAM のサービスロールと対応するポリシーを表示することをプリンシパルに許可します。

  • ListPoliciesToInspectServiceRolePolicy - IAM のサービスロールと対応するポリシーを表示することをプリンシパルに許可します。

  • GetPolicyToInspectServiceRolePolicy - IAM のサービスロールと対応するポリシーを表示することをプリンシパルに許可します。

  • ConsoleDisplayTables – プリンシパルに、基盤となるAWS Glueテーブルに関するデータをコンソールに表示するために必要なAWS Glueメタデータへの読み取り専用アクセスを許可します。

  • EstablishLogDeliveries – 顧客の Amazon CloudWatch Logs ロググループにクエリログを提供することをプリンシパルに許可します。

  • SetupLogGroupsDescribe – Amazon CloudWatch Logs ロググループの作成プロセスを使用することをプリンシパルに許可します。

  • SetupLogGroupsCreate – プリンシパルに Amazon CloudWatch Logs ロググループの作成を許可します。

  • SetupLogGroupsResourcePolicy – Amazon CloudWatch Logs ロググループにリソースポリシーを設定することをプリンシパルに許可します。

  • ConsoleLogSummaryQueryLogs - プリンシパルにクエリログの閲覧を許可します。

  • ConsoleLogSummaryObtainLogs - プリンシパルにログ結果の取得を許可します。

  • cleanrooms – AWS Clean Rooms サービス内のコラボレーション、分析テンプレート、設定済みテーブル、メンバーシップ、および関連リソースを管理します。これらのリソースに関する情報の作成、更新、削除、一覧表示、取得など、さまざまな操作を実行します。

  • iamcleanrooms「」を含む名前のサービスロールをAWS Clean Roomsサービスに渡します。ロール、ポリシーを一覧表示し、サービスに関連するAWS Clean Roomsサービスロールとポリシーを検査します。

  • glue – データベース、テーブル、パーティション、スキーマに関する情報を から取得しますAWS Glue。これは、AWS Clean Roomsサービスが基盤となるデータソースを表示して操作するために必要です。

  • logs – CloudWatch Logs のログ配信、ロググループ、およびリソースポリシーを管理します。AWS Clean Roomsサービスに関連するログをクエリして取得します。これらのアクセス許可は、サービス内のモニタリング、監査、およびトラブルシューティングの目的で必要になります。

また、ポリシーは、cleanrooms:StartProtectedQuery および cleanrooms:UpdateProtectedQuery アクションを明示的に拒否し、ユーザーが保護されたクエリを直接実行または更新できないようにします。これは、AWS Clean Rooms により制御されたメカニズムを介して実行する必要があります。

ポリシーの詳細の JSON リストについては、AWS「 マネージドポリシーリファレンスガイド」のAWSCleanRoomsFullAccessNoQuerying」を参照してください。

AWS管理ポリシー: AWSCleanRoomsMLReadOnlyAccess

AWSCleanRoomsMLReadOnlyAccess をIAM プリンシパルにアタッチできます。

このポリシーは、AWSCleanRoomsMLReadOnlyAccess コラボレーションのリソースとメタデータへの読み取り専用のアクセス許可を付与します。

このポリシーには、以下のアクセス許可が含まれています。

  • CleanRoomsConsoleNavigation – AWS Clean Roomsコンソールの画面を表示するアクセス許可を付与します。

  • CleanRoomsMLRead – プリンシパルに Clean Rooms ML サービスへの読み取り専用アクセスを許可します。

  • PassCleanRoomsResources – 指定されたAWS Clean Roomsリソースを渡すためのアクセス許可を付与します。

ポリシーの詳細の JSON リストについては、AWS「 マネージドポリシーリファレンスガイド」のAWSCleanRoomsMLReadOnlyAccess」を参照してください。

AWS管理ポリシー: AWSCleanRoomsMLFullAccess

AWSCleanRoomsMLFullAcces をIAM プリンシパルにアタッチできます。このポリシーは、Clean Rooms ML が必要とするリソースとメタデータへの完全なアクセス (読み取り、書き込み、および更新) を可能にする管理アクセス許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • CleanRoomsMLFullAccess – すべての Clean Rooms ML アクションへのアクセスを許可します。

  • PassServiceRole - 名前に「cleanrooms-ml」が含まれるサービスのみにサービスロールを渡すためのアクセス許可 (PassedToService 条件) を付与します。

  • CleanRoomsConsoleNavigation – AWS Clean Roomsコンソールの画面を表示するアクセス許可を付与します。

  • CollaborationMembershipCheck – コラボレーション内でオーディエンス生成 (類似セグメント) ジョブを開始すると、Clean Rooms ML サービスは ListMembers を呼び出して、コラボレーションが有効であること、発信者がアクティブなメンバーであること、設定されたオーディエンスモデル所有者がアクティブなメンバーであることを確認します。このアクセス許可は常に必要です。コンソールナビゲーション SID はコンソールユーザーにのみ必要です。

  • PassCleanRoomsResources – 指定されたAWS Clean Roomsリソースを渡すためのアクセス許可を付与します。

  • AssociateModels – Clean Rooms ML モデルをコラボレーションに関連付けることをプリンシパルに許可します。

  • TagAssociations – 類似モデルとコラボレーションの関連付けにタグを追加することをプリンシパルに許可します。

  • ListRolesToPickServiceRole – プリンシパルが使用時にサービスロールを選択できるように、すべてのロールを一覧表示できるようにしますAWS Clean Rooms。

  • GetRoleAndListRolePoliciesToInspectServiceRole - IAM のサービスロールと対応するポリシーを表示することをプリンシパルに許可します。

  • ListPoliciesToInspectServiceRolePolicy - IAM のサービスロールと対応するポリシーを表示することをプリンシパルに許可します。

  • GetPolicyToInspectServiceRolePolicy - IAM のサービスロールと対応するポリシーを表示することをプリンシパルに許可します。

  • ConsoleDisplayTables – プリンシパルに、基盤となるAWS Glueテーブルに関するデータをコンソールに表示するために必要なAWS Glueメタデータへの読み取り専用アクセスを許可します。

  • ConsolePickOutputBucket – 設定済みのオーディエンスモデル出力用の Amazon S3 バケットを選択することをプリンシパルに許可します。

  • ConsolePickS3Location – 設定済みのオーディエンスモデル出力のバケット内の場所を選択することをプリンシパルに許可します。

  • ConsoleDescribeECRRepositories – プリンシパルが Amazon ECR リポジトリとイメージを記述できるようにします。

ポリシーの詳細の JSON リストについては、AWS「 マネージドポリシーリファレンスガイド」のAWSCleanRoomsMLFullAccess」を参照してください。

AWS Clean RoomsAWS管理ポリシーの更新

このサービスがこれらの変更の追跡を開始AWS Clean Roomsしてからの の AWS管理ポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、AWS Clean Roomsドキュメント履歴ページの RSS フィードにサブスクライブしてください。

変更 説明 日付
AWSCleanRoomsFullAccessNoQuerying– 既存のポリシーの更新

クリーンルーム:UpdateConfiguredTableAllowedColumns とクリーンルーム:UpdateConfiguredTableReference を に追加しましたCleanRoomsAccess。

 2025 年 7 月 29 日

AWSCleanRoomsMLReadOnlyAccess – 既存のポリシーの更新

PassCleanRoomsResources が AWSCleanRoomsMLReadOnlyAccess に追加されました。PassCleanRoomsResources および ConsoleDescribeECRRepositories が AWSCleanRoomsMLFullAccess に追加されました。

 2025 年 1 月 10 日
AWSCleanRoomsFullAccessNoQuerying – 既存のポリシーの更新 cleanrooms:BatchGetSchemaAnalysisRule が CleanRoomsAccess に追加されました。 2024 年 5 月 13 日
AWSCleanRoomsFullAccess – 既存のポリシーの更新 このポリシーの AWSCleanRoomsFullAccess のステートメント ID を ConsolePickQueryResultsBucket から SetQueryResultsBucket に更新し、アクセス許可をより適切に表現しました。これは、コンソールの有無にかかわらず、クエリ結果バケットの設定にはアクセス許可が必要であるためです。 2024 年 3 月 21 日

AWSCleanRoomsMLReadOnlyAccess - 新しいポリシー

AWSCleanRoomsMLFullAccess - 新しいポリシー

AWS Clean Rooms ML AWSCleanRoomsMLFullAccessをサポートするために AWSCleanRoomsMLReadOnlyAccessと を追加しました。

 2023 年 11 月 29 日
AWSCleanRoomsFullAccessNoQuerying – 既存のポリシーの更新 cleanrooms:CreateAnalysisTemplate、cleanrooms:GetAnalysisTemplate、cleanrooms:UpdateAnalysisTemplate、 cleanrooms:DeleteAnalysisTemplate、cleanrooms:ListAnalysisTemplates、cleanrooms:GetCollaborationAnalysisTemplate、cleanrooms:BatchGetCollaborationAnalysisTemplate、および cleanrooms:ListCollaborationAnalysisTemplates が CleanRoomsAccess に追加され、新しい分析テンプレート機能が有効になりました。 2023 年 7 月 31 日
AWSCleanRoomsFullAccessNoQuerying – 既存のポリシーの更新 cleanrooms:ListTagsForResource、cleanrooms:UntagResource、および cleanrooms:TagResource が CleanRoomsAccess に追加され、リソースのタグ付けが可能になりました。 2023 年 3 月 21 日

AWS Clean Roomsが変更の追跡を開始しました

AWS Clean Roomsは、 AWS管理ポリシーの変更の追跡を開始しました。

 2023 年 1 月 12 日