View a markdown version of this page

Comportamentos do IAM para modelos personalizados de ML de salas limpas - AWS Clean Rooms
Cross-account empregosCross-account acessoAcesso à associação e colaboração

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Comportamentos do IAM para modelos personalizados de ML de salas limpas

Cross-account empregos

O Clean Rooms ML permite que determinados recursos associados a uma colaboração criada por um Conta da AWS sejam acessados com segurança em sua conta por outro. Conta da AWS Um cliente em A com a capacidade de Conta da AWS um membro executar consultas pode chamar CreateTrainedModel ou StartTrainedModelInferenceJob usar um ConfiguredModelAlgorithmAssociation recurso de propriedade de outro membro da colaboração, desde que ConfiguredModelAlgorithmAssociation seja permitido pela regra de análise personalizada criada comCreateConfiguredTableAnalysisRule. CreateMLInputChannel

Além disso, qualquer membro ativo de uma colaboração pode excluir dados associados a um modelo treinado ou canal de entrada de ML por meio das DeleteMLInputChannelData APIs DeleteTrainedModelOutput e.

Cross-account acesso

O Clean Rooms ML permite que os usuários recuperem metadados sobre recursos criados por outras contas por meio das APIs GetCollaboration e. ListCollaboration O Clean Rooms ML não revela ARNs de chaves KMS, tags, variáveis de ambiente ou hiperparâmetros (para a TrainedModel ação) para outras contas.

Acesso à associação e colaboração

Ao acessar recursos de associação e colaboração no contexto dos modelos personalizados do Clean Rooms ML, a política de identidade do usuário precisa de permissões para as ações cleanrooms:PassMembershipcleanrooms:PassCollaboration, ou ambas. Todas as APIs que aceitam membershipId precisam da cleanrooms:PassMembership permissão, e todas as APIs que aceitam collaborationId precisam da cleanrooms:PassCollaboration permissão. Um exemplo de política de identidade para uma função que pode ser chamada createTrainedModel no contexto de uma ID de associação que pode ser chamada GetCollaborationTrainedModel no contexto de uma ID de colaboração é fornecida.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCleanroomsMLActions",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:PassCollaboration",
                "cleanrooms:PassMembership"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowMembershipAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetMembership"
            ],
            "Resource": [
                "arn:aws:cleanrooms:us-east-1:111122223333:membership/memberId"
            ]
        },
        {
            "Sid": "AllowCollaborationAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaboration"
            ],
            "Resource": [
                "arn:aws:cleanrooms:us-east-1:111122223333:collaboration/collaborationId"
            ]
        }
    ]
}