のサービスロールを設定する AWS Clean Rooms - AWS Clean Rooms
管理者ユーザーの作成コラボレーションメンバー用の IAM ロールの作成Amazon S3 からデータを読み取るサービスロールを作成するAmazon Athena からデータを読み取るサービスロールを作成するSnowflake からデータを読み取るサービスロールを作成するS3 バケットからコードを読み取るサービスロールを作成する (PySpark 分析テンプレートロール)PySpark ジョブの結果を書き込むサービスロールを作成する結果を受け取るサービスロールを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のサービスロールを設定する AWS Clean Rooms

以下のセクションでは、各タスクの実行に必要なロールについて説明します。

管理者ユーザーの作成

を使用するには AWS Clean Rooms、管理者ユーザーを作成し、管理者ユーザーを管理者グループに追加する必要があります。

管理者ユーザーを作成するには、以下のいずれかのオプションを選択します。

管理者を管理する方法を 1 つ選択します 目的 方法 以下の操作も可能
IAM Identity Center 内

(推奨)

 短期の認証情報を使用して AWSにアクセスします。

これはセキュリティのベストプラクティスと一致しています。ベストプラクティスの詳細については、IAM ユーザーガイドの「IAM でのセキュリティのベストプラクティス」を参照してください。

 AWS IAM Identity Center ユーザーガイドの「開始方法」の手順に従います。 AWS Command Line Interface ユーザーガイドを使用する AWS CLI ように を設定 AWS IAM Identity Centerして、プログラムによるアクセスを設定します。
IAM 内

(非推奨)

 長期認証情報を使用して AWSにアクセスする。 IAM ユーザーガイドの「緊急アクセス用の IAM ユーザーを作成する」の手順に従います。 IAM ユーザーガイドの「IAM ユーザーのアクセスキーを管理する」の手順に従って、プログラムによるアクセスを設定します。

コラボレーションメンバー用の IAM ロールの作成

メンバーは、コラボレーションに参加している AWS 顧客です。

コラボレーションメンバー用の IAM ロールを作成するには

  1. AWS Identity and Access Management IAM ユーザーガイド」の「IAM ユーザーにアクセス許可を委任するロールの作成」を参照してください。

  2. [ポリシーを作成] ステップで、[ポリシーエディタ][JSON] タブを選択し、コラボレーションメンバーに付与された機能に応じてポリシーを追加します。

    AWS Clean Rooms では、一般的なユースケースに基づいて以下の管理ポリシーを提供しています。

    目的 使用
    リソースとメタデータを表示する AWS 管理ポリシー: AWSCleanRoomsReadOnlyAccess
    クエリ AWS 管理ポリシー: AWSCleanRoomsFullAccess
    ジョブのクエリと実行 AWS 管理ポリシー: AWSCleanRoomsFullAccess
    クエリを実行して結果を受け取る AWS 管理ポリシー: AWSCleanRoomsFullAccess
    コラボレーションリソースを管理するが、クエリは実行しない AWS 管理ポリシー: AWSCleanRoomsFullAccessNoQuerying

    が提供するさまざまな管理ポリシーの詳細については AWS Clean Rooms、「」、「」を参照してくださいAWS の 管理ポリシー AWS Clean Rooms

Amazon S3 からデータを読み取るサービスロールを作成する

AWS Clean Rooms はサービスロールを使用して Amazon S3 からデータを読み込みます。

このサービスロールを作成する方法は 2 つあります。

  • サービスロールを作成するために必要な IAM アクセス許可がある場合は、 AWS Clean Rooms コンソールを使用してサービスロールを作成します。

  • および アクセスiam:CreatePolicyiam:AttachRolePolicy許可がない場合iam:CreateRole、または IAM ロールを手動で作成する場合は、次のいずれかを実行します。

    • カスタム信頼ポリシーを使用してサービスロールを作成するには、次の手順に従います。

    • 次の手順を使用してサービスロールを作成するよう、管理者に依頼します。

注記

ユーザーまたは IAM 管理者は、 コンソールを使用して AWS Clean Rooms サービスロールを作成するために必要なアクセス許可がない場合にのみ、この手順に従う必要があります。

カスタム信頼ポリシーを使用して Amazon S3 からデータを読み取るサービスロールを作成するには

  1. カスタム信頼ポリシーを使用してロールを作成します。詳細については、AWS Identity and Access Management 「 ユーザーガイド」の「カスタム信頼ポリシーを使用したロールの作成 (コンソール)」の手順を参照してください。

  2. カスタム信頼ポリシーを使用したロールの作成 (コンソール)」の手順に従って、次のカスタム信頼ポリシーを使用します。

    注記

    ロールが特定のコラボレーションメンバーシップのコンテキストでのみ使用されるようにしたい場合は、信頼ポリシーをさらに絞り込むことができます。詳細については、「サービス間の混乱した代理の防止」を参照してください。

    JSON
    { 

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyForCleanRoomsService",
            "Effect": "Allow",
            "Principal": {
                "Service": ".amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
     ]
}

  3. カスタム信頼ポリシーを使用したロールの作成 (コンソール)」の手順に従って、次のアクセス許可ポリシーを使用します。

    注記

    以下のポリシー例は、 AWS Glue メタデータとそれに対応する Amazon S3 データを読み取るのに必要なアクセス許可をサポートしています。ただし、Amazon S3 データの設定方法によっては、このポリシーを変更する必要がある場合があります。例えば、Amazon S3 データのカスタム KMS キーを設定している場合は、追加の AWS Key Management Service (AWS KMS) アクセス許可でこのポリシーを修正する必要がある場合があります。

    AWS Glue リソースと基盤となる Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。

    JSON
    { 

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "NecessaryGluePermissions",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:aws-region:accountId:database/databaseName",
                "arn:aws:glue:aws-region:accountId:table/databaseName/tableName",
                "arn:aws:glue:aws-region:accountId:catalog"
            ]
        },
 	{
            "Effect": "Allow",
            "Action": [
                "glue:GetSchema",
                "glue:GetSchemaVersion"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "NecessaryS3BucketPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation", 
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "s3BucketOwnerAccountId"
                    ]
                }
            }
        },
        {
            "Sid": "NecessaryS3ObjectPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket/prefix/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "s3BucketOwnerAccountId"
                    ]
                }
            }
        }
    ]
}

  4. プレースホルダーを自分の情報に置き換えます。

  5. 引き続き、「カスタム信頼ポリシーを使用したロールの作成 (コンソール)」の手順に従ってロールを作成します。

Amazon Athena からデータを読み取るサービスロールを作成する

AWS Clean Rooms はサービスロールを使用して Amazon Athena からデータを読み込みます。

カスタム信頼ポリシーを使用して Athena からデータを読み取るサービスロールを作成するには

  1. カスタム信頼ポリシーを使用してロールを作成します。詳細については、AWS Identity and Access Management 「 ユーザーガイド」の「カスタム信頼ポリシーを使用したロールの作成 (コンソール)」の手順を参照してください。

  2. カスタム信頼ポリシーを使用したロールの作成 (コンソール)」の手順に従って、次のカスタム信頼ポリシーを使用します。

    注記

    ロールが特定のコラボレーションメンバーシップのコンテキストでのみ使用されるようにしたい場合は、信頼ポリシーをさらに絞り込むことができます。詳細については、「サービス間の混乱した代理の防止」を参照してください。

    JSON
    { 

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyForCleanRoomsService",
            "Effect": "Allow",
            "Principal": {
                "Service": ".amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
     ]
}

  3. カスタム信頼ポリシーを使用したロールの作成 (コンソール)」の手順に従って、次のアクセス許可ポリシーを使用します。

    注記

    次のポリシー例では、 AWS Glue メタデータとその対応する Athena データを読み取るために必要なアクセス許可をサポートしています。ただし、Amazon S3 データの設定方法によっては、このポリシーを変更する必要がある場合があります。例えば、Amazon S3 データのカスタム KMS キーをすでに設定している場合は、追加の AWS KMS アクセス許可でこのポリシーを修正する必要がある場合があります。

    AWS Glue リソースと基盤となる Athena リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:GetDataCatalog",
                "athena:GetWorkGroup",
                "athena:GetTableMetadata",
                "athena:GetQueryExecution",
                "athena:GetQueryResults",
                "athena:StartQueryExecution"
            ],
            "Resource": [
                "arn:aws:athena:region:accountId:workgroup/workgroup",
                "arn:aws:athena:region:accountId:datacatalog/AwsDataCatalog"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetTable",
                "glue:GetPartitions"
            ],
            "Resource": [
                "arn:aws:glue:region:accountId:catalog",
                "arn:aws:glue:region:accountId:database/database name",
                "arn:aws:glue:region:accountId:table/database name/table name"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetBucketLocation",
                "s3:AbortMultipartUpload",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "lakeformation:GetDataAccess",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:region:accountId:key/*"
        }
    ]
}

  4. プレースホルダーを自分の情報に置き換えます。

  5. 引き続き、「カスタム信頼ポリシーを使用したロールの作成 (コンソール)」の手順に従ってロールを作成します。

Lake Formation アクセス許可をセットアップする

Lake Formation アクセス許可で保護されたリソースをクエリする場合、サービスロールには、テーブル/ビューに対する Select および Describe アクセス許可と、ビューが保存されている AWS Glue データベースに対する Describe アクセス許可が必要です。

詳細については、以下を参照してください。

Snowflake からデータを読み取るサービスロールを作成する

AWS Clean Rooms はサービスロールを使用して、Snowflake がこのソースからデータを読み取るための認証情報を取得します。

このサービスロールを作成するには、次の 2 つの方法があります。

  • サービスロールを作成するために必要な IAM アクセス許可がある場合は、 AWS Clean Rooms コンソールを使用してサービスロールを作成します。

  • および アクセスiam:CreatePolicyiam:AttachRolePolicy許可がない場合iam:CreateRole、または IAM ロールを手動で作成する場合は、次のいずれかを実行します。

    • カスタム信頼ポリシーを使用してサービスロールを作成するには、次の手順に従います。

    • 次の手順を使用してサービスロールを作成するよう、管理者に依頼します。

注記

ユーザーまたは IAM 管理者は、 コンソールを使用して AWS Clean Rooms サービスロールを作成するために必要なアクセス許可がない場合にのみ、この手順に従う必要があります。

カスタム信頼ポリシーを使用して Snowflake からデータを読み取るサービスロールを作成するには

  1. カスタム信頼ポリシーを使用してロールを作成します。詳細については、AWS Identity and Access Management 「 ユーザーガイド」の「カスタム信頼ポリシー (コンソール) を使用したロールの作成」の手順を参照してください。

  2. カスタム信頼ポリシーを使用したロールの作成 (コンソール)」の手順に従って、次のカスタム信頼ポリシーを使用します。

    注記

    ロールが特定のコラボレーションメンバーシップのコンテキストでのみ使用されるようにしたい場合は、信頼ポリシーをさらに絞り込むことができます。詳細については、「サービス間の混乱した代理の防止」を参照してください。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIfSourceArnMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ForAnyValue:ArnEquals": {
                    "aws:SourceArn": [
                        "arn:aws:cleanrooms:region:accountId:membership/membershipId",
                        "arn:aws:cleanrooms:region:queryRunnerAccountId:membership/queryRunnerMembershipId"
                    ]
                }
            }
        }
    ]
}

  3. カスタム信頼ポリシー (コンソール) を使用してロールを作成する手順に従って、次のいずれかのアクセス許可ポリシーを使用します。

    顧客所有の KMS キーで暗号化されたシークレットのアクセス許可ポリシー

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:region:secretAccountId:secret:secretIdentifier",
            "Effect": "Allow"
        },
        {
            "Sid": "AllowDecryptViaSecretsManagerForKey",
            "Action": "kms:Decrypt",
            "Resource": "arn:aws:kms:region:keyOwnerAccountId:key/keyIdentifier",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.region.amazonaws.com",
                    "kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:region:secretAccountId:secret:secretIdentifier"
                }
            }
        }
    ]
}

    で暗号化されたシークレットのアクセス許可ポリシー AWS マネージドキー

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:region:accountId:secret:secretIdentifier",
            "Effect": "Allow"
        }
    ]
}

  4. プレースホルダーを自分の情報に置き換えます。

  5. 引き続き、「カスタム信頼ポリシーを使用したロールの作成 (コンソール)」の手順に従ってロールを作成します。

S3 バケットからコードを読み取るサービスロールを作成する (PySpark 分析テンプレートロール)

AWS Clean Rooms は、PySpark 分析テンプレートを使用するときに、サービスロールを使用してコラボレーションメンバーの指定された S3 バケットからコードを読み込みます。

S3 バケットからコードを読み取るサービスロールを作成するには

  1. カスタム信頼ポリシーを使用してロールを作成します。詳細については、AWS Identity and Access Management 「 ユーザーガイド」の「カスタム信頼ポリシー (コンソール) を使用したロールの作成」の手順を参照してください。

  2. カスタム信頼ポリシーを使用したロールの作成 (コンソール)」の手順に従って、次のカスタム信頼ポリシーを使用します。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ForAnyValue:ArnEquals": {
                    "aws:SourceArn": [
                        "arn:aws:cleanrooms:region:jobRunnerAccountId:membership/jobRunnerMembershipId",
                        "arn:aws:cleanrooms:region:analysisTemplateAccountId:membership/analysisTemplateOwnerMembershipId"
                    ]
                }
            }
        }
    ]
}

  3. カスタム信頼ポリシーを使用したロールの作成 (コンソール)」の手順に従って、次のアクセス許可ポリシーを使用します。

    注記

    次のポリシー例では、Amazon S3 からコードを読み取るために必要なアクセス許可をサポートしています。ただし、S3 データの設定方法によっては、このポリシーを変更する必要が生じる場合があります。

    Amazon S3 リソースは、コラボレーション AWS リージョン と同じ AWS Clean Rooms にある必要があります。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": ["arn:aws:s3:::s3Path"],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "s3BucketOwnerAccountId"
                    ]
                }
            }
        }
    ]
}

  4. プレースホルダーはお客様の情報に置き換えてください。

    • s3Path – コードの S3 バケットの場所。

    • s3BucketOwnerAccountId – S3 バケット所有者の AWS アカウント ID。

    • region – AWS リージョンの名前。例えば、us-east-1

    • jobRunnerAccountId – クエリとジョブを実行できるメンバーの AWS アカウント ID。

    • jobRunnerMembershipId – ジョブをクエリして実行できるメンバーのメンバーシップ ID[メンバーシップ ID] はコラボレーションの [詳細] タブにあります。これにより、このメンバーがこのコラボレーションで分析を実行する場合にのみ、 AWS Clean Rooms がロールを引き受けるようになります。

    • analysisTemplateAccountId – 分析テンプレートの AWS アカウント ID。

    • analysisTemplateOwnerMembershipId – 分析テンプレートを所有するメンバーのメンバーシップ ID[メンバーシップ ID] はコラボレーションの [詳細] タブにあります。

  5. 引き続き、「カスタム信頼ポリシーを使用したロールの作成 (コンソール)」の手順に従ってロールを作成します。

PySpark ジョブの結果を書き込むサービスロールを作成する

AWS Clean Rooms はサービスロールを使用して、PySpark ジョブの結果を指定された S3 バケットに書き込みます。

PySpark ジョブの結果を書き込むサービスロールを作成するには

  1. カスタム信頼ポリシーを使用してロールを作成します。詳細については、AWS Identity and Access Management 「 ユーザーガイド」の「カスタム信頼ポリシー (コンソール) を使用したロールの作成」の手順を参照してください。

  2. カスタム信頼ポリシーを使用したロールの作成 (コンソール)」の手順に従って、次のカスタム信頼ポリシーを使用します。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ForAnyValue:ArnEquals": {
                    "aws:SourceArn": [
                        "arn:aws:cleanrooms:region:jobRunnerAccountId:membership/jobRunnerMembershipId",
                        "arn:aws:cleanrooms:region:rrAccountId:membership/rrMembershipId"
                    ]
                }
            }
        }
    ]
}

  3. カスタム信頼ポリシーを使用したロールの作成 (コンソール)」の手順に従って、次のアクセス許可ポリシーを使用します。

    注記

    次のポリシー例では、Amazon S3 への書き込みに必要なアクセス許可をサポートしています。ただし、S3 の設定方法によっては、このポリシーを変更する必要がある場合があります。

    Amazon S3 リソースは、コラボレーション AWS リージョン と同じ AWS Clean Rooms にある必要があります。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::bucket/optionalPrefix/*",
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "s3BucketOwnerAccountId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::bucket",
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "s3BucketOwnerAccountId"
                    ]
                }
            }
        }
    ]
}

  4. プレースホルダーを自分の情報に置き換えます。

    • region – AWS リージョンの名前。例えば、us-east-1

    • jobRunnerAccountId – S3 バケットが配置されている AWS アカウント ID。

    • jobRunnerMembershipId – ジョブをクエリして実行できるメンバーのメンバーシップ ID[メンバーシップ ID] はコラボレーションの [詳細] タブにあります。これにより、このメンバーがこのコラボレーションで分析を実行する場合にのみ、 AWS Clean Rooms がロールを引き受けるようになります。

    • rrAccountId – AWS アカウント S3 バケットがある ID。

    • rrMembershipId – 結果を受け取ることができるメンバーのメンバーシップ ID[メンバーシップ ID] はコラボレーションの [詳細] タブにあります。これにより、このメンバーがこのコラボレーションで分析を実行する場合にのみ、 AWS Clean Rooms がロールを引き受けるようになります。

    • bucket – S3 バケットの名前と場所。

    • optionalPrefix – 結果を特定の S3 プレフィックスに保存する場合のオプションプレフィックス。

    • s3BucketOwnerAccountId – S3 バケット所有者の AWS アカウント ID。

  5. 引き続き、「カスタム信頼ポリシーを使用したロールの作成 (コンソール)」の手順に従ってロールを作成します。

結果を受け取るサービスロールを作成する

注記

結果を受け取るだけのメンバーである (コンソールの [自身のメンバー能力][結果を受け取る] だけになっている) 場合は、以下の手順に従ってください。

クエリの実行と結果の受け取りの両方が可能なメンバーである (コンソールの [自身のメンバー能力][クエリ][結果を受け取る] の両方になっている) 場合、この手順は省略できます。

結果のみを受信できるコラボレーションメンバーの場合、 はサービスロール AWS Clean Rooms を使用して、コラボレーション内のクエリされたデータの結果を指定された S3 バケットに書き込みます。

このサービスロールを作成するには、次の 2 つの方法があります。

  • サービスロールを作成するために必要な IAM アクセス許可がある場合は、 AWS Clean Rooms コンソールを使用してサービスロールを作成します。

  • および アクセスiam:CreatePolicyiam:AttachRolePolicy許可がない場合iam:CreateRole、または IAM ロールを手動で作成する場合は、次のいずれかを実行します。

    • カスタム信頼ポリシーを使用してサービスロールを作成するには、次の手順に従います。

    • 次の手順を使用してサービスロールを作成するよう、管理者に依頼します。

注記

ユーザーまたは IAM 管理者は、 コンソールを使用して AWS Clean Rooms サービスロールを作成するために必要なアクセス許可がない場合にのみ、この手順に従う必要があります。

カスタム信頼ポリシーを使用して結果を受信するサービスロールを作成するには

  1. カスタム信頼ポリシーを使用してロールを作成します。詳細については、AWS Identity and Access Management 「 ユーザーガイド」の「カスタム信頼ポリシー (コンソール) を使用したロールの作成」の手順を参照してください。

  2. カスタム信頼ポリシーを使用したロールの作成 (コンソール)」の手順に従って、次のカスタム信頼ポリシーを使用します。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIfExternalIdMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {
                    "sts:ExternalId": "arn:aws:*:region:*:dbuser:*/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa*"
                }
            }
        },
        {
            "Sid": "AllowIfSourceArnMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ForAnyValue:ArnEquals": {
                    "aws:SourceArn": [
                        "arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa"
                    ]
                
                }
            }
        }
    ]
}

  3. カスタム信頼ポリシーを使用したロールの作成 (コンソール)」の手順に従って、次のアクセス許可ポリシーを使用します。

    注記

    以下のポリシー例は、 AWS Glue メタデータとそれに対応する Amazon S3 データを読み取るのに必要なアクセス許可をサポートしています。ただし、S3 データの設定方法によっては、このポリシーを変更する必要が生じる場合があります。

    AWS Glue リソースと基盤となる Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。

    JSON
    {

    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation", 
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount":"accountId"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name/optional_key_prefix/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount":"accountId"
                }
            }
        }
    ]
}

  4. プレースホルダーを自分の情報に置き換えます。

    • region – AWS リージョンの名前。例えば、us-east-1

    • a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa – クエリが行えるメンバーのメンバーシップ ID[メンバーシップ ID] はコラボレーションの [詳細] タブにあります。これにより、このメンバーがこのコラボレーションで分析を実行する場合にのみ、 AWS Clean Rooms がロールを引き受けるようになります。

    • arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa – クエリを実行できるメンバーの単一のメンバーシップ ARN[メンバーシップ ARN] はコラボレーションの [詳細] タブにあります。これにより、 AWS Clean Rooms は、このメンバーがこのコラボレーションで分析を実行する場合にのみロールを引き受けます。

    • bucket_name – S3 バケットの Amazon リソースネーム (ARN)[Amazon リソースネーム (ARN)] は Amazon S3 のバケットの [プロパティ] タブにあります。

    • accountId – S3 バケットが配置されている AWS アカウント ID。

      bucket_name/optional_key_prefixAmazon S3 の結果送信先の Amazon リソースネーム (ARN)。 Amazon S3 [Amazon リソースネーム (ARN)] は Amazon S3 のバケットの [プロパティ] タブにあります。

  5. 引き続き、「カスタム信頼ポリシーを使用したロールの作成 (コンソール)」の手順に従ってロールを作成します。