AWS Clean Rooms ML에 대한 서비스 역할 설정 - AWS Clean Rooms
유사 모델링을 위한 서비스 역할 설정사용자 지정 모델링을 위한 서비스 역할 설정

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Clean Rooms ML에 대한 서비스 역할 설정

유사 모델링을 수행하는 데 필요한 역할은 사용자 지정 모델을 사용하는 데 필요한 역할과 다릅니다. 다음 섹션에서는 각 작업을 수행하는 데 필요한 역할을 설명합니다.

유사 모델링을 위한 서비스 역할 설정

서비스 역할 생성하여 훈련 데이터 읽기

AWS Clean Rooms 는 서비스 역할을 사용하여 훈련 데이터를 읽습니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. CreateRole 권한이 없는 경우 관리자에게 서비스 역할을 생성해 달라고 요청하세요.

서비스 역할을 생성하여 데이터 세트를 훈련하려면

  1. 관리자 계정으로 https://console.aws.amazon.com/iam/의 IAM 콘솔에 로그인합니다.

  2. 액세스 관리(Access management)에서 정책(Policies)을 선택합니다.

  3. 정책 생성을 선택합니다.

  4. 정책 편집기에서 JSON 탭을 선택한 다음 다음 정책을 복사하여 붙여넣습니다.

    참고

    다음 예제 정책은 AWS Glue 메타데이터와 해당 Amazon S3 데이터를 읽는 데 필요한 권한을 지원합니다. 하지만 S3 데이터를 설정한 방법에 따라 이 정책을 수정해야 할 수도 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.

    AWS Glue 리소스와 기본 Amazon S3 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일한에 있어야 합니다.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartitions",
                "glue:GetPartition",
                "glue:BatchGetPartition", 
                "glue:GetUserDefinedFunctions"
            ],
            "Resource": [
                "arn:aws:glue:region:accountId:database/databases",
                "arn:aws:glue:region:accountId:table/databases/tables",
                "arn:aws:glue:region:accountId:catalog",
                "arn:aws:glue:region:accountId:database/default"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase"
            ],
            "Resource": [
                "arn:aws:glue:region:accountId:database/default"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::bucket"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        }
    ]
}

    KMS 키를 사용하여 데이터를 복호화해야 하는 경우 이전 템플릿에 이 AWS KMS 문을 추가하세요.

    {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
    ]
}

  5. 자리 표시자를 자신의 정보로 바꿉니다.

    • 리전 – AWS 리전의 이름. 예를 들어 us-east-1입니다.

    • accountId - S3 버킷이 위치한 AWS 계정 ID입니다.

    • 데이터베이스/데이터베이스, table/databases/tables블, 카탈로그데이터베이스/기본값 -에서 액세스 AWS Clean Rooms 해야 하는 훈련 데이터의 위치입니다.

    • 버킷 - S3 버킷의 Amazon 리소스 이름(ARN)입니다. Amazon 리소스 이름(ARN)은 Amazon S3에 있는 버킷의 속성 탭에서 찾을 수 있습니다.

    • bucketFolders -가 액세스 AWS Clean Rooms 해야 하는 S3 버킷의 특정 폴더 이름입니다.

  6. 다음을 선택합니다.

  7. 검토 및 생성에서 정책 이름설명을 입력하고 요약을 검토합니다.

  8. 정책 생성을 선택합니다.

    에 대한 정책을 생성했습니다 AWS Clean Rooms.

  9. 액세스 관리에서 역할을 선택합니다.

    역할을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. 사용자를 선택하여 장기 보안 인증을 생성할 수도 있습니다.

  10. 역할 생성을 선택합니다.

  11. 역할 생성 마법사의 신뢰할 수 있는 엔터티 유형에서 사용자 지정 신뢰 정책을 선택합니다.

  12. 다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": { 
                    "aws:SourceAccount": ["accountId"]
                },
                "StringLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:region:accountId:training-dataset/*"
                }
            }
        }
    ]
}

    는 항상 사용자의 SourceAccount입니다 AWS 계정. 특정 훈련 데이터 세트로 SourceArn을 제한할 수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 아직 모르기 때문에 와일드카드가 여기에 지정됩니다.

    accountId는 훈련 데이터가 AWS 계정 포함된의 ID입니다.

  13. 다음을 선택하고 권한 추가에서 방금 생성한 정책의 이름을 입력합니다. (페이지를 새로 고쳐야 할 수 있습니다.)

  14. 생성한 정책 이름 옆에 있는 확인란을 선택하고 다음을 선택합니다.

  15. 이름 지정, 생성의 경우 역할의 이름설명을 입력합니다.

    참고

    역할 이름은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된 passRole 권한의 패턴과 일치해야 합니다.

    1. 검토: 신뢰할 수 있는 엔티티를 선택하고 필요한 경우 편집합니다.

    2. 권한 추가에서 권한을 검토하고 필요한 경우 편집합니다.

    3. 태그를 검토하고 필요한 경우 태그를 추가합니다.

    4. 역할 생성을 선택합니다.

에 대한 서비스 역할을 생성했습니다 AWS Clean Rooms.

서비스 역할을 생성하여 유사 세그먼트를 작성

AWS Clean Rooms 는 서비스 역할을 사용하여 유사 세그먼트를 버킷에 씁니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. CreateRole 권한이 없는 경우 관리자에게 서비스 역할을 생성해 달라고 요청하세요.

서비스 역할을 생성하여 유사 세그먼트를 작성하려면

  1. 관리자 계정으로 https://console.aws.amazon.com/iam/의 IAM 콘솔에 로그인합니다.

  2. 액세스 관리(Access management)에서 정책(Policies)을 선택합니다.

  3. 정책 생성을 선택합니다.

  4. 정책 편집기에서 JSON 탭을 선택한 다음 다음 정책을 복사하여 붙여넣습니다.

    참고

    다음 예제 정책은 AWS Glue 메타데이터와 해당 Amazon S3 데이터를 읽는 데 필요한 권한을 지원합니다. 그러나 Amazon S3 데이터를 설정한 방법에 따라이 정책을 수정해야 할 수 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.

    AWS Glue 리소스와 기본 Amazon S3 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일한에 있어야 합니다.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
    {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::buckets"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        }
  ]
}

    KMS 키를 사용하여 데이터를 암호화해야 하는 경우 템플릿에 이 AWS KMS 문을 추가하세요.

    {
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey*",
                "kms:ReEncrypt*",
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
  ]
}

  5. 자리 표시자를 사용자의 정보로 바꿉니다.

    • 버킷 - S3 버킷의 Amazon 리소스 이름(ARN)입니다. Amazon 리소스 이름(ARN)은 Amazon S3에 있는 버킷의 속성 탭에서 찾을 수 있습니다.

    • accountId - S3 버킷이 위치한 AWS 계정 ID입니다.

    • bucketFolders -가 액세스 AWS Clean Rooms 해야 하는 S3 버킷의 특정 폴더 이름입니다.

    • 리전 – AWS 리전의 이름. 예를 들어 us-east-1입니다.

    • keyId - 데이터를 암호화하는 데 필요한 KMS 키입니다.

  6. 다음을 선택합니다.

  7. 검토 및 생성에서 정책 이름설명을 입력하고 요약을 검토합니다.

  8. 정책 생성을 선택합니다.

    에 대한 정책을 생성했습니다 AWS Clean Rooms.

  9. 액세스 관리에서 역할을 선택합니다.

    역할을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. 사용자를 선택하여 장기 보안 인증을 생성할 수도 있습니다.

  10. 역할 생성을 선택합니다.

  11. 역할 생성 마법사의 신뢰할 수 있는 엔터티 유형에서 사용자 지정 신뢰 정책을 선택합니다.

  12. 다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": { 
                    "aws:SourceAccount": ["accountId"]

                },
                "StringLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:region:accountId:configured-audience-model/*"
                }
            }
        }
    ]
}

    는 항상 사용자의 SourceAccount입니다 AWS 계정. 특정 훈련 데이터 세트로 SourceArn을 제한할 수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 아직 모르기 때문에 와일드카드가 여기에 지정됩니다.

  13. 다음을 선택합니다.

  14. 생성한 정책 이름 옆에 있는 확인란을 선택하고 다음을 선택합니다.

  15. 이름 지정, 생성의 경우 역할의 이름설명을 입력합니다.

    참고

    역할 이름은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된 passRole 권한의 패턴과 일치해야 합니다.

    1. 검토: 신뢰할 수 있는 엔티티를 선택하고 필요한 경우 편집합니다.

    2. 권한 추가에서 권한을 검토하고 필요한 경우 편집합니다.

    3. 태그를 검토하고 필요한 경우 태그를 추가합니다.

    4. 역할 생성을 선택합니다.

에 대한 서비스 역할을 생성했습니다 AWS Clean Rooms.

서비스 역할 생성하여 시드 데이터 읽기

AWS Clean Rooms 는 서비스 역할을 사용하여 시드 데이터를 읽습니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. CreateRole 권한이 없는 경우 관리자에게 서비스 역할을 생성해 달라고 요청하세요.

서비스 역할을 생성하여 S3 버킷에 저장된 시드 데이터를 읽습니다.

  1. 관리자 계정으로 https://console.aws.amazon.com/iam/의 IAM 콘솔에 로그인합니다.

  2. 액세스 관리(Access management)에서 정책(Policies)을 선택합니다.

  3. 정책 생성을 선택합니다.

  4. 정책 편집기에서 JSON 탭을 선택한 후 다음 정책 중 하나를 복사하여 붙여넣습니다.

    참고

    다음 예제 정책은 AWS Glue 메타데이터와 해당 Amazon S3 데이터를 읽는 데 필요한 권한을 지원합니다. 그러나 Amazon S3 데이터를 설정한 방법에 따라이 정책을 수정해야 할 수 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.

    AWS Glue 리소스와 기본 Amazon S3 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일한에 있어야 합니다.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
    {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
            ],
            "Resource": [
                "arn:aws:s3:::buckets"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        }
  ]
}
    참고

    다음 예제 정책은 SQL 쿼리의 결과를 읽고 이를 입력 데이터로 사용하는 데 필요한 권한을 지원합니다. 그러나 쿼리 구조에 따라 이 정책을 수정해야 할 수 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCleanRoomsStartQuery",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaborationAnalysisTemplate",
                "cleanrooms:GetSchema", 
                "cleanrooms:StartProtectedQuery"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCleanRoomsGetAndUpdateQuery",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetProtectedQuery", 
                "cleanrooms:UpdateProtectedQuery"
            ],
            "Resource": [
                "arn:aws:cleanrooms:region:queryRunnerAccountId:membership/queryRunnerMembershipId"
            ]
        }
    ]
}

    KMS 키를 사용하여 데이터를 복호화해야 하는 경우 템플릿에 이 AWS KMS 문을 추가하세요.

    {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
  ]
}

  5. 자리 표시자를 사용자의 정보로 바꿉니다.

    • 버킷 - S3 버킷의 Amazon 리소스 이름(ARN)입니다. Amazon 리소스 이름(ARN)은 Amazon S3에 있는 버킷의 속성 탭에서 찾을 수 있습니다.

    • accountId - S3 버킷이 위치한 AWS 계정 ID입니다.

    • bucketFolders -가 액세스 AWS Clean Rooms 해야 하는 S3 버킷의 특정 폴더 이름입니다.

    • 리전 – AWS 리전의 이름. 예를 들어 us-east-1입니다.

    • queryRunnerAccountId - 쿼리를 실행할 계정의 AWS 계정 ID입니다.

    • queryRunnerMembershipId - 쿼리할 수 있는 멤버의 멤버십 ID입니다. 멤버십 ID는 공동 작업의 세부 정보 탭에서 찾을 수 있습니다. 이렇게 하면이 구성원 AWS Clean Rooms 이이 공동 작업에서 분석을 실행할 때만가 역할을 수임할 수 있습니다.

    • keyId - 데이터를 암호화하는 데 필요한 KMS 키입니다.

  6. 다음을 선택합니다.

  7. 검토 및 생성에서 정책 이름설명을 입력하고 요약을 검토합니다.

  8. 정책 생성을 선택합니다.

    에 대한 정책을 생성했습니다 AWS Clean Rooms.

  9. 액세스 관리에서 역할을 선택합니다.

    역할을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. 사용자를 선택하여 장기 보안 인증을 생성할 수도 있습니다.

  10. 역할 생성을 선택합니다.

  11. 역할 생성 마법사의 신뢰할 수 있는 엔터티 유형에서 사용자 지정 신뢰 정책을 선택합니다.

  12. 다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": {
                    "aws:SourceAccount": ["accountId"]

                },
                "StringLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:region:accountId:audience-generation-job/*"
                }
            }
        }
    ]
}

    는 항상 사용자의 SourceAccount입니다 AWS 계정. 특정 훈련 데이터 세트로 SourceArn을 제한할 수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 아직 모르기 때문에 와일드카드가 여기에 지정됩니다.

  13. 다음을 선택합니다.

  14. 생성한 정책 이름 옆에 있는 확인란을 선택하고 다음을 선택합니다.

  15. 이름 지정, 생성의 경우 역할의 이름설명을 입력합니다.

    참고

    역할 이름은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된 passRole 권한의 패턴과 일치해야 합니다.

    1. 검토: 신뢰할 수 있는 엔티티를 선택하고 필요한 경우 편집합니다.

    2. 권한 추가에서 권한을 검토하고 필요한 경우 편집합니다.

    3. 태그를 검토하고 필요한 경우 태그를 추가합니다.

    4. 역할 생성을 선택합니다.

에 대한 서비스 역할을 생성했습니다 AWS Clean Rooms.

사용자 지정 모델링을 위한 서비스 역할 설정

사용자 지정 ML 모델링을 위한 서비스 역할 생성 - ML 구성

AWS Clean Rooms 는 서비스 역할을 사용하여 사용자 지정 ML 구성을 생성할 수 있는 사용자를 제어합니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. CreateRole 권한이 없는 경우 관리자에게 서비스 역할을 생성해 달라고 요청하세요.

이 역할을 사용하면 PutMLConfiguration 작업을 사용할 수 있습니다.

사용자 지정 ML 구성 생성을 허용하는 서비스 역할을 생성하려면

  1. 관리자 계정으로 https://console.aws.amazon.com/iam/의 IAM 콘솔에 로그인합니다.

  2. 액세스 관리(Access management)에서 정책(Policies)을 선택합니다.

  3. 정책 생성을 선택합니다.

  4. 정책 편집기에서 JSON 탭을 선택한 다음 다음 정책을 복사하여 붙여넣습니다.

    참고

    다음 예제 정책은 S3 버킷에 액세스하고 데이터를 쓰고 CloudWatch 지표를 게시하는 데 필요한 권한을 지원합니다. 그러나 Amazon S3 데이터를 설정한 방법에 따라이 정책을 수정해야 할 수 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.

    Amazon S3 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일한에 있어야 합니다.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowS3ObjectWriteForExport",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": [
                        "accountId"
                    ]
                }
            }
        },
        {
            "Sid": "AllowS3KMSEncryptForExport",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey*"
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket*"
                },
            }
        },
        {
            "Sid": "AllowCloudWatchMetricsPublishingForTrainingJobs",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringLike": {
                    "cloudwatch:namespace": "/aws/cleanroomsml/*"
                }
            }
        },
        {
            "Sid": "AllowCloudWatchLogsPublishingForTrainingOrInferenceJobs",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:region:account-id:log-group:/aws/cleanroomsml/*"
            ],
        }
    ]
}

  5. 자리 표시자를 사용자의 정보로 바꿉니다.

    • 버킷 - S3 버킷의 Amazon 리소스 이름(ARN)입니다. Amazon 리소스 이름(ARN)은 Amazon S3에 있는 버킷의 속성 탭에서 찾을 수 있습니다.

    • 리전 – AWS 리전의 이름. 예를 들어 us-east-1입니다.

    • accountId — S3 버킷이 위치한 AWS 계정 ID입니다.

    • keyId - 데이터를 암호화하는 데 필요한 KMS 키입니다.

  6. 다음을 선택합니다.

  7. 검토 및 생성에서 정책 이름설명을 입력하고 요약을 검토합니다.

  8. 정책 생성을 선택합니다.

    에 대한 정책을 생성했습니다 AWS Clean Rooms.

  9. 액세스 관리에서 역할을 선택합니다.

    역할을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. 사용자를 선택하여 장기 보안 인증을 생성할 수도 있습니다.

  10. 역할 생성을 선택합니다.

  11. 역할 생성 마법사의 신뢰할 수 있는 엔터티 유형에서 사용자 지정 신뢰 정책을 선택합니다.

  12. 다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": { 
                    "aws:SourceAccount": "accountId"
                },
                "ArnLike": { 
                    "aws:SourceArn": "arn:aws:cleanrooms:region:accountId:membership/membershipID"
                }
            }
        }
    ]
}

    는 항상 사용자의 SourceAccount입니다 AWS 계정. 특정 훈련 데이터 세트로 SourceArn을 제한할 수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 아직 모르기 때문에 와일드카드가 여기에 지정됩니다.

  13. 다음을 선택합니다.

  14. 생성한 정책 이름 옆에 있는 확인란을 선택하고 다음을 선택합니다.

  15. 이름 지정, 생성의 경우 역할의 이름설명을 입력합니다.

    참고

    역할 이름은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된 passRole 권한의 패턴과 일치해야 합니다.

    1. 검토: 신뢰할 수 있는 엔티티를 선택하고 필요한 경우 편집합니다.

    2. 권한 추가에서 권한을 검토하고 필요한 경우 편집합니다.

    3. 태그를 검토하고 필요한 경우 태그를 추가합니다.

    4. 역할 생성을 선택합니다.

에 대한 서비스 역할을 생성했습니다 AWS Clean Rooms.

서비스 역할을 생성하여 사용자 지정 ML 모델 제공

AWS Clean Rooms 는 서비스 역할을 사용하여 사용자 지정 ML 모델 알고리즘을 생성할 수 있는 사용자를 제어합니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. CreateRole 권한이 없는 경우 관리자에게 서비스 역할을 생성해 달라고 요청하세요.

이 역할을 사용하면 CreateConfiguredModelAlgorithm 작업을 사용할 수 있습니다.

멤버가 사용자 지정 ML 모델을 제공하도록 허용하는 서비스 역할을 생성하려면

  1. 관리자 계정으로 https://console.aws.amazon.com/iam/의 IAM 콘솔에 로그인합니다.

  2. 액세스 관리(Access management)에서 정책(Policies)을 선택합니다.

  3. 정책 생성을 선택합니다.

  4. 정책 편집기에서 JSON 탭을 선택한 다음 다음 정책을 복사하여 붙여넣습니다.

    참고

    다음 예제 정책은 모델 알고리즘이 포함된 Docker 이미지를 검색하는 데 필요한 권한을 지원합니다. 그러나 Amazon S3 데이터를 설정한 방법에 따라이 정책을 수정해야 할 수 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.

    Amazon S3 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일한에 있어야 합니다.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowECRImageDownloadForTrainingAndInferenceJobs",
            "Effect": "Allow",
            "Action": [
                "ecr:BatchGetImage",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer"
            ],
            "Resource": "arn:aws:ecr:region:accountID:repository/repoName"
        }
    ]
}

  5. 자리 표시자를 자신의 정보로 바꿉니다.

    • 리전 – AWS 리전의 이름. 예를 들어 us-east-1입니다.

    • accountId — S3 버킷이 위치한 AWS 계정 ID입니다.

    • repoName - 데이터가 포함된 리포지토리의 이름입니다.

  6. 다음을 선택합니다.

  7. 검토 및 생성에서 정책 이름설명을 입력하고 요약을 검토합니다.

  8. 정책 생성을 선택합니다.

    에 대한 정책을 생성했습니다 AWS Clean Rooms.

  9. 액세스 관리에서 역할을 선택합니다.

    역할을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. 사용자를 선택하여 장기 보안 인증을 생성할 수도 있습니다.

  10. 역할 생성을 선택합니다.

  11. 역할 생성 마법사의 신뢰할 수 있는 엔터티 유형에서 사용자 지정 신뢰 정책을 선택합니다.

  12. 다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    SourceAccount는 항상 사용자의 입니다 AWS 계정 .는 특정 훈련 데이터 세트로 제한될 SourceArn 수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 아직 모르기 때문에 와일드카드가 여기에 지정됩니다.

  13. 다음을 선택합니다.

  14. 생성한 정책 이름 옆에 있는 확인란을 선택하고 다음을 선택합니다.

  15. 이름 지정, 생성의 경우 역할의 이름설명을 입력합니다.

    참고

    역할 이름은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된 passRole 권한의 패턴과 일치해야 합니다.

    1. 검토: 신뢰할 수 있는 엔티티를 선택하고 필요한 경우 편집합니다.

    2. 권한 추가에서 권한을 검토하고 필요한 경우 편집합니다.

    3. 태그를 검토하고 필요한 경우 태그를 추가합니다.

    4. 역할 생성을 선택합니다.

에 대한 서비스 역할을 생성했습니다 AWS Clean Rooms.

데이터 세트를 쿼리할 서비스 역할 생성

AWS Clean Rooms 는 서비스 역할을 사용하여 사용자 지정 ML 모델링에 사용할 데이터 세트를 쿼리할 수 있는 사용자를 제어합니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. CreateRole 권한이 없는 경우 관리자에게 서비스 역할을 생성해 달라고 요청하세요.

이 역할을 사용하면 CreateMLInputChannel 작업을 사용할 수 있습니다.

멤버가 데이터 세트를 쿼리할 수 있도록 서비스 역할을 생성하려면

  1. 관리자 계정으로 https://console.aws.amazon.com/iam/의 IAM 콘솔에 로그인합니다.

  2. 액세스 관리(Access management)에서 정책(Policies)을 선택합니다.

  3. 정책 생성을 선택합니다.

  4. 정책 편집기에서 JSON 탭을 선택한 다음 다음 정책을 복사하여 붙여넣습니다.

    참고

    다음 예제 정책은 사용자 지정 ML 모델링에 사용할 데이터 세트를 쿼리하는 데 필요한 권한을 지원합니다. 그러나 Amazon S3 데이터를 설정한 방법에 따라이 정책을 수정해야 할 수 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.

    Amazon S3 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일한에 있어야 합니다.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCleanRoomsStartQueryForMLInputChannel",
            "Effect": "Allow",
            "Action": "cleanrooms:StartProtectedQuery",
            "Resource": "*"
        },
        {
            "Sid": "AllowCleanroomsGetSchemaAndGetAnalysisTemplateForMLInputChannel",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetSchema",
                "cleanrooms:GetCollaborationAnalysisTemplate"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCleanRoomsGetAndUpdateQueryForMLInputChannel",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetProtectedQuery", 
                "cleanrooms:UpdateProtectedQuery"
            ],
            "Resource": [
                "arn:aws:cleanrooms:region:queryRunnerAccountId:membership/queryRunnerMembershipId"
            ]
        }
    ]
}

  5. 자리 표시자를 자신의 정보로 바꿉니다.

    • 리전 – AWS 리전의 이름. 예를 들어 us-east-1입니다.

    • queryRunnerAccountId - 쿼리를 실행할 계정의 AWS 계정 ID입니다.

    • queryRunnerMembershipId - 쿼리할 수 있는 멤버의 멤버십 ID입니다. 멤버십 ID는 공동 작업의 세부 정보 탭에서 찾을 수 있습니다. 이렇게 하면이 구성원 AWS Clean Rooms 이이 공동 작업에서 분석을 실행할 때만가 역할을 수임할 수 있습니다.

  6. 다음을 선택합니다.

  7. 검토 및 생성에서 정책 이름설명을 입력하고 요약을 검토합니다.

  8. 정책 생성을 선택합니다.

    에 대한 정책을 생성했습니다 AWS Clean Rooms.

  9. 액세스 관리에서 역할을 선택합니다.

    역할을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. 사용자를 선택하여 장기 보안 인증을 생성할 수도 있습니다.

  10. 역할 생성을 선택합니다.

  11. 역할 생성 마법사의 신뢰할 수 있는 엔터티 유형에서 사용자 지정 신뢰 정책을 선택합니다.

  12. 다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    SourceAccount는 항상 사용자의 입니다 AWS 계정 .는 특정 훈련 데이터 세트로 제한될 SourceArn 수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 아직 모르기 때문에 와일드카드가 여기에 지정됩니다.

  13. 다음을 선택합니다.

  14. 생성한 정책 이름 옆에 있는 확인란을 선택하고 다음을 선택합니다.

  15. 이름 지정, 생성의 경우 역할의 이름설명을 입력합니다.

    참고

    역할 이름은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된 passRole 권한의 패턴과 일치해야 합니다.

    1. 검토: 신뢰할 수 있는 엔티티를 선택하고 필요한 경우 편집합니다.

    2. 권한 추가에서 권한을 검토하고 필요한 경우 편집합니다.

    3. 태그를 검토하고 필요한 경우 태그를 추가합니다.

    4. 역할 생성을 선택합니다.

에 대한 서비스 역할을 생성했습니다 AWS Clean Rooms.

서비스 역할을 생성하여 구성된 테이블 연결 생성

AWS Clean Rooms 는 서비스 역할을 사용하여 구성된 테이블 연결을 생성할 수 있는 사용자를 제어합니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. CreateRole 권한이 없는 경우 관리자에게 서비스 역할을 생성해 달라고 요청하세요.

이 역할을 사용하면 CreateConfiguredTableAssociation 작업을 사용할 수 있습니다.

구성된 테이블 연결을 생성할 수 있도록 서비스 역할을 생성하려면

  1. 관리자 계정으로 https://console.aws.amazon.com/iam/의 IAM 콘솔에 로그인합니다.

  2. 액세스 관리(Access management)에서 정책(Policies)을 선택합니다.

  3. 정책 생성을 선택합니다.

  4. 정책 편집기에서 JSON 탭을 선택한 다음 다음 정책을 복사하여 붙여넣습니다.

    참고

    다음 예제 정책은 구성된 테이블 연결 생성을 지원합니다. 그러나 Amazon S3 데이터를 설정한 방법에 따라이 정책을 수정해야 할 수 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.

    Amazon S3 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일한에 있어야 합니다.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "KMS key used to encrypt the S3 data",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "S3 bucket of Glue table",
            "Effect": "Allow"
        },
        {
            "Action": "s3:GetObject",
            "Resource": "S3 bucket of Glue table/*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartitions",
                "glue:GetPartition",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:region:accountID:catalog",
                "arn:aws:glue:region:accountID:database/Glue database name",
                "arn:aws:glue:region:accountID:table/Glue database name/Glue table name"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "glue:GetSchema",
                "glue:GetSchemaVersion"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

  5. 자리 표시자를 사용자의 정보로 바꿉니다.

    • Amazon S3 데이터를 암호화하는 데 사용되는 KMS 키 - Amazon S3 데이터를 암호화하는 데 사용된 KMS 키입니다. 데이터를 복호화하려면 데이터를 암호화하는 데 사용된 것과 동일한 KMS 키를 제공해야 합니다.

    • AWS Glue 테이블의 Amazon S3 버킷 - 데이터가 포함된 AWS Glue 테이블이 포함된 Amazon S3 버킷의 이름입니다.

    • 리전 – AWS 리전의 이름. 예를 들어 us-east-1입니다.

    • accountId - 데이터를 소유한 계정의 AWS 계정 ID입니다.

    • AWS Glue 데이터베이스 이름 - 데이터가 포함된 AWS Glue 데이터베이스의 이름입니다.

    • AWS Glue 테이블 이름 - 데이터가 포함된 AWS Glue 테이블의 이름입니다.

  6. 다음을 선택합니다.

  7. 검토 및 생성에서 정책 이름설명을 입력하고 요약을 검토합니다.

  8. 정책 생성을 선택합니다.

    에 대한 정책을 생성했습니다 AWS Clean Rooms.

  9. 액세스 관리에서 역할을 선택합니다.

    역할을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. 사용자를 선택하여 장기 보안 인증을 생성할 수도 있습니다.

  10. 역할 생성을 선택합니다.

  11. 역할 생성 마법사의 신뢰할 수 있는 엔터티 유형에서 사용자 지정 신뢰 정책을 선택합니다.

  12. 다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
        }
    ]
}

    SourceAccount는 항상 사용자의 입니다 AWS 계정 .는 특정 훈련 데이터 세트로 제한될 SourceArn 수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 아직 모르기 때문에 와일드카드가 여기에 지정됩니다.

  13. 다음을 선택합니다.

  14. 생성한 정책 이름 옆에 있는 확인란을 선택하고 다음을 선택합니다.

  15. 이름 지정, 생성의 경우 역할의 이름설명을 입력합니다.

    참고

    역할 이름은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된 passRole 권한의 패턴과 일치해야 합니다.

    1. 검토: 신뢰할 수 있는 엔티티를 선택하고 필요한 경우 편집합니다.

    2. 권한 추가에서 권한을 검토하고 필요한 경우 편집합니다.

    3. 태그를 검토하고 필요한 경우 태그를 추가합니다.

    4. 역할 생성을 선택합니다.

에 대한 서비스 역할을 생성했습니다 AWS Clean Rooms.