As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configure funções de serviço para o AWS Clean Rooms ML
As funções necessárias para realizar a modelagem semelhante são diferentes das necessárias para usar um modelo personalizado. As seções a seguir descrevem as funções necessárias para realizar cada tarefa.
**Topics**
+ [Configurar funções de serviço para modelagem semelhante](#aws-model-roles)
+ [Configurar funções de serviço para modelagem personalizada](#custom-model-roles)
## Configurar funções de serviço para modelagem semelhante
**Topics**
+ [Criar um perfil de serviço para ler dados de treinamento](#ml-create-role-training)
+ [Criar um perfil de serviço para escrever um segmento de semelhanças](#ml-create-role-write-segment)
+ [Criar um perfil de serviço para ler dados de seed](#ml-create-role-read-seed)
### Criar um perfil de serviço para ler dados de treinamento
AWS Clean Rooms usa uma função de serviço para ler dados de treinamento. Você pode criar esse perfil usando o console se você tiver as permissões necessárias do IAM. Se você não tiver permissões `CreateRole`, peça ao administrador que crie o perfil de serviço.
**Para criar um perfil de serviço para treinar um conjunto de dados**
1. Faça login no console do IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) com sua conta de administrador.
1. Em **Access management (Gerenciamento de acesso)**, escolha **Policies (Políticas)**.
1. Selecione **Criar política**.
1. No **Editor de políticas**, selecione a guia **JSON** e copie e cole a política a seguir.
**nota**
O exemplo de política a seguir suporta as permissões necessárias para ler AWS Glue metadados e seus dados correspondentes do Amazon S3. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do S3. Essa política não inclui uma chave do KMS para descriptografar dados.
Seus AWS Glue recursos e os recursos subjacentes do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartitions",
"glue:GetPartition",
"glue:BatchGetPartition",
"glue:GetUserDefinedFunctions"
],
"Resource": [
"arn:aws:glue:{{us-east-1}}:{{111122223333}}:database/{{databases}}",
"arn:aws:glue:{{us-east-1}}:{{111122223333}}:table/{{databases}}/{{tables}}",
"arn:aws:glue:{{us-east-1}}:{{111122223333}}:catalog",
"arn:aws:glue:{{us-east-1}}:{{111122223333}}:database/default"
]
},
{
"Effect": "Allow",
"Action": [
"glue:CreateDatabase"
],
"Resource": [
"arn:aws:glue:{{us-east-1}}:{{111122223333}}:database/default"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::{{bucket}}"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"{{111122223333}}"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucketFolders}}/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"{{111122223333}}"
]
}
}
}
]
}
```
------
Se você precisar usar uma chave do KMS para descriptografar dados, adicione esta instrução do AWS KMS ao modelo anterior:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
],
"Resource": [
"arn:aws:kms:{{region}}:{{accountId}}:key/{{keyId}}"
],
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::{{bucketFolders}}*"
}
}
}
]
}
```
1. Substitua cada um {{placeholder}} por suas próprias informações:
+ {{region}} – O nome da Região da AWS. Por exemplo, .**us-east-1**
+ {{accountId}}— O Conta da AWS ID no qual o bucket do S3 está localizado.
+ {{database/databases}},{{table/databases/tables}},{{catalog}}, e {{database/default}} — A localização dos dados de treinamento que AWS Clean Rooms precisam ser acessados.
+ {{bucket}}— O **nome de recurso da Amazon (ARN)** do bucket S3. O **nome do recurso da Amazon (ARN)** pode ser encontrado na guia **Propriedades** do bucket no Amazon S3.
+ {{bucketFolders}}— O nome das pastas específicas no bucket do S3 que AWS Clean Rooms precisam ser acessadas.
1. Escolha **Próximo**.
1. Em **Analisar e criar**, insira um **Nome da política** e uma **Descrição** e analise o **Resumo**.
1. Selecione **Criar política**.
Você criou uma política para AWS Clean Rooms.
1. Em **Gerenciamento de acesso**, escolha **Perfis**.
Com **Perfis**, é possível criar credenciais de curto prazo, o que é recomendado para aumentar a segurança. Você também pode escolher **Usuários** para criar credenciais de longo prazo.
1. Selecione **Criar perfil**.
1. No assistente **Criar perfil**, para **Tipo de entidade confiável**, escolha **Política de confiança personalizada**.
1. Copie e cole a seguinte política de confiança personalizada no editor JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEqualsIfExists": {
"aws:SourceAccount": ["{{111122223333}}"]
},
"ArnLikeIfExists": {
"aws:SourceArn": "arn:aws:cleanrooms-ml:{{us-east-1}}:{{111122223333}}:training-dataset/*"
}
}
}
]
}
```
------
`SourceAccount`É sempre seu Conta da AWS. O `SourceArn` pode ser limitado a um conjunto de dados de treinamento específico, mas somente após a criação desse conjunto de dados. Como você ainda não conhece o ARN do conjunto de dados de treinamento, o caractere curinga é especificado aqui.
{{accountId}}é o ID Conta da AWS que contém os dados de treinamento.
1. Escolha **Próximo** e, em **Adicionar permissões**, insira o nome da política que você acabou de criar. (Você pode precisar recarregar a página.)
1. Marque a caixa de seleção ao lado do nome da política que você criou e escolha **Próximo**.
1. Para **Nome, revisar e criar**, insira um **nome de perfil** e uma **descrição**.
**nota**
O **nome do perfil** deve corresponder ao padrão nas `passRole` permissões concedidas ao membro que pode consultar e receber resultados e funções do membro.
1. Revise **Selecionar entidades confiáveis** e edite, se necessário.
1. Revise as permissões em **Adicionar permissões** e edite, se necessário.
1. Revise as **tags** e adicione tags, se necessário.
1. Selecione **Criar perfil**.
Você criou a função de serviço para AWS Clean Rooms.
### Criar um perfil de serviço para escrever um segmento de semelhanças
AWS Clean Rooms usa uma função de serviço para gravar segmentos semelhantes em um bucket. Você pode criar esse perfil usando o console se você tiver as permissões necessárias do IAM. Se você não tiver permissões `CreateRole`, peça ao administrador que crie o perfil de serviço.
**Para criar um perfil de serviço para escrever um segmento de semelhanças**
1. Faça login no console do IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) com sua conta de administrador.
1. Em **Access management (Gerenciamento de acesso)**, escolha **Policies (Políticas)**.
1. Selecione **Criar política**.
1. No **Editor de políticas**, selecione a guia **JSON** e copie e cole a política a seguir.
**nota**
O exemplo de política a seguir suporta as permissões necessárias para ler AWS Glue metadados e seus dados correspondentes do Amazon S3. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do Amazon S3. Essa política não inclui uma chave do KMS para descriptografar dados.
Seus AWS Glue recursos e os recursos subjacentes do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::{{buckets}}"
],
"Condition":{
"StringEquals":{
"s3:ResourceAccount":[
"{{accountId}}"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::{{bucketFolders}}/*"
],
"Condition":{
"StringEquals":{
"s3:ResourceAccount":[
"{{accountId}}"
]
}
}
}
]
}
```
------
Se você precisar usar uma chave do KMS para criptografar dados, adicione esta declaração do AWS KMS ao modelo:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:ReEncrypt*",
],
"Resource": [
"arn:aws:kms:{{region}}:{{accountId}}:key/{{keyId}}"
],
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::{{bucketFolders}}*"
}
}
}
]
}
```
1. Substitua cada um {{placeholder}} por suas próprias informações:
+ {{buckets}}— O **nome de recurso da Amazon (ARN)** do bucket S3. O **nome do recurso da Amazon (ARN)** pode ser encontrado na guia **Propriedades** do bucket no Amazon S3.
+ {{accountId}}— O Conta da AWS ID no qual o bucket do S3 está localizado.
+ {{bucketFolders}}— O nome das pastas específicas no bucket do S3 que AWS Clean Rooms precisam ser acessadas.
+ {{region}} – O nome da Região da AWS. Por exemplo, .**us-east-1**
+ {{keyId}}— A chave KMS necessária para criptografar seus dados.
1. Escolha **Próximo**.
1. Em **Analisar e criar**, insira um **Nome da política** e uma **Descrição** e analise o **Resumo**.
1. Selecione **Criar política**.
Você criou uma política para AWS Clean Rooms.
1. Em **Gerenciamento de acesso**, escolha **Perfis**.
Com **Perfis**, é possível criar credenciais de curto prazo, o que é recomendado para aumentar a segurança. Você também pode escolher **Usuários** para criar credenciais de longo prazo.
1. Selecione **Criar perfil**.
1. No assistente **Criar perfil**, para **Tipo de entidade confiável**, escolha **Política de confiança personalizada**.
1. Copie e cole a seguinte política de confiança personalizada no editor JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEqualsIfExists": {
"aws:SourceAccount": ["{{111122223333}}"]
},
"ArnLikeIfExists": {
"aws:SourceArn": "arn:aws:cleanrooms-ml:{{us-east-1}}:{{111122223333}}:configured-audience-model/*"
}
}
}
]
}
```
------
`SourceAccount`É sempre seu Conta da AWS. O `SourceArn` pode ser limitado a um conjunto de dados de treinamento específico, mas somente após a criação desse conjunto de dados. Como você ainda não conhece o ARN do conjunto de dados de treinamento, o caractere curinga é especificado aqui.
1. Escolha **Próximo**.
1. Marque a caixa de seleção ao lado do nome da política que você criou e escolha **Próximo**.
1. Para **Nome, revisar e criar**, insira um **nome de perfil** e uma **descrição**.
**nota**
O **nome do perfil** deve corresponder ao padrão nas `passRole` permissões concedidas ao membro que pode consultar e receber resultados e funções do membro.
1. Revise **Selecionar entidades confiáveis** e edite, se necessário.
1. Revise as permissões em **Adicionar permissões** e edite, se necessário.
1. Revise as **tags** e adicione tags, se necessário.
1. Selecione **Criar perfil**.
Você criou a função de serviço para AWS Clean Rooms.
### Criar um perfil de serviço para ler dados de seed
AWS Clean Rooms usa uma função de serviço para ler dados iniciais. Você pode criar esse perfil usando o console se você tiver as permissões necessárias do IAM. Se você não tiver permissões `CreateRole`, peça ao administrador que crie o perfil de serviço.
**Para criar uma função de serviço para ler dados iniciais armazenados em um bucket do S3.**
1. Faça login no console do IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) com sua conta de administrador.
1. Em **Access management (Gerenciamento de acesso)**, escolha **Policies (Políticas)**.
1. Selecione **Criar política**.
1. No **Editor de políticas**, selecione a guia **JSON** e copie e cole uma das políticas a seguir.
**nota**
O exemplo de política a seguir suporta as permissões necessárias para ler AWS Glue metadados e seus dados correspondentes do Amazon S3. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do Amazon S3. Essa política não inclui uma chave do KMS para descriptografar dados.
Seus AWS Glue recursos e os recursos subjacentes do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{buckets}}"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"{{accountId}}"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::{{bucketFolders}}/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"{{accountId}}"
]
}
}
}
]
}
```
------
**nota**
O exemplo de política a seguir aceita as permissões necessárias para ler os resultados de uma consulta SQL e usá-los como dados de entrada. No entanto, talvez seja necessário modificar essa política dependendo de como sua consulta está estruturada. Essa política não inclui uma chave do KMS para descriptografar dados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCleanRoomsStartQuery",
"Effect": "Allow",
"Action": [
"cleanrooms:GetCollaborationAnalysisTemplate",
"cleanrooms:GetSchema",
"cleanrooms:StartProtectedQuery"
],
"Resource": "*"
},
{
"Sid": "AllowCleanRoomsGetAndUpdateQuery",
"Effect": "Allow",
"Action": [
"cleanrooms:GetProtectedQuery",
"cleanrooms:UpdateProtectedQuery"
],
"Resource": [
"arn:aws:cleanrooms:{{us-east-1}}:{{111122223333}}:membership/{{queryRunnerMembershipId}}"
]
}
]
}
```
------
Se você precisar usar uma chave do KMS para descriptografar dados, adicione esta instrução do AWS KMS ao modelo:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:{{region}}:{{accountId}}:key/{{keyId}}"
],
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::{{bucketFolders}}*"
}
}
}
]
}
```
1. Substitua cada um {{placeholder}} por suas próprias informações:
+ {{buckets}}— O **nome de recurso da Amazon (ARN)** do bucket S3. O **nome do recurso da Amazon (ARN)** pode ser encontrado na guia **Propriedades** do bucket no Amazon S3.
+ {{accountId}}— O Conta da AWS ID no qual o bucket do S3 está localizado.
+ {{bucketFolders}}— O nome das pastas específicas no bucket do S3 que AWS Clean Rooms precisam ser acessadas.
+ {{region}} – O nome da Região da AWS. Por exemplo, .**us-east-1**
+ {{queryRunnerAccountId}}— O Conta da AWS ID da conta que executará as consultas.
+ {{queryRunnerMembershipId}}— O **ID** de membro do membro que pode consultar. A **ID de membro** pode ser encontrada na guia **Detalhes** da colaboração. Isso garante que AWS Clean Rooms esteja assumindo a função somente quando esse membro executa a análise nessa colaboração.
+ {{keyId}}— A chave KMS necessária para criptografar seus dados.
1. Escolha **Próximo**.
1. Em **Analisar e criar**, insira um **Nome da política** e uma **Descrição** e analise o **Resumo**.
1. Selecione **Criar política**.
Você criou uma política para AWS Clean Rooms.
1. Em **Gerenciamento de acesso**, escolha **Perfis**.
Com **Perfis**, é possível criar credenciais de curto prazo, o que é recomendado para aumentar a segurança. Você também pode escolher **Usuários** para criar credenciais de longo prazo.
1. Selecione **Criar perfil**.
1. No assistente **Criar perfil**, para **Tipo de entidade confiável**, escolha **Política de confiança personalizada**.
1. Copie e cole a seguinte política de confiança personalizada no editor JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEqualsIfExists": {
"aws:SourceAccount": ["{{111122223333}}"]
},
"ArnLikeIfExists": {
"aws:SourceArn": "arn:aws:cleanrooms-ml:{{us-east-1}}:{{111122223333}}:audience-generation-job/*"
}
}
}
]
}
```
------
`SourceAccount`É sempre seu Conta da AWS. O `SourceArn` pode ser limitado a um conjunto de dados de treinamento específico, mas somente após a criação desse conjunto de dados. Como você ainda não conhece o ARN do conjunto de dados de treinamento, o caractere curinga é especificado aqui.
1. Escolha **Próximo**.
1. Marque a caixa de seleção ao lado do nome da política que você criou e escolha **Próximo**.
1. Para **Nome, revisar e criar**, insira um **nome de perfil** e uma **descrição**.
**nota**
O **nome do perfil** deve corresponder ao padrão nas `passRole` permissões concedidas ao membro que pode consultar e receber resultados e funções do membro.
1. Revise **Selecionar entidades confiáveis** e edite, se necessário.
1. Revise as permissões em **Adicionar permissões** e edite, se necessário.
1. Revise as **tags** e adicione tags, se necessário.
1. Selecione **Criar perfil**.
Você criou a função de serviço para AWS Clean Rooms.
## Configurar funções de serviço para modelagem personalizada
**Topics**
+ [Crie uma função de serviço para modelagem de ML personalizada - Configuração de ML](#ml-roles-custom-configure)
+ [Crie uma função de serviço para fornecer um modelo de ML personalizado](#ml-roles-custom-model-provider)
+ [Crie uma função de serviço para consultar um conjunto de dados](#ml-roles-custom-query-dataset)
+ [Crie uma função de serviço para criar uma associação de tabela configurada](#ml-roles-custom-configure-table)
### Crie uma função de serviço para modelagem de ML personalizada - Configuração de ML
AWS Clean Rooms usa uma função de serviço para controlar quem pode criar uma configuração personalizada de ML. Você pode criar esse perfil usando o console se você tiver as permissões necessárias do IAM. Se você não tiver permissões `CreateRole`, peça ao administrador que crie o perfil de serviço.
Essa função permite que você use a MLConfiguration ação [Put](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_PutMLConfiguration.html).
**Para criar uma função de serviço para permitir a criação de uma configuração de ML personalizada**
1. Faça login no console do IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) com sua conta de administrador.
1. Em **Access management (Gerenciamento de acesso)**, escolha **Policies (Políticas)**.
1. Selecione **Criar política**.
1. No **Editor de políticas**, selecione a guia **JSON** e copie e cole a política a seguir.
**nota**
O exemplo de política a seguir oferece suporte às permissões necessárias para acessar e gravar dados em um bucket do S3 e publicar CloudWatch métricas. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do Amazon S3. Essa política não inclui uma chave do KMS para descriptografar dados.
Seus recursos do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowS3ObjectWriteForExport",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::{{bucket}}/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"{{111122223333}}"
]
}
}
},
{
"Sid": "AllowS3KMSEncryptForExport",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*"
],
"Resource": [
"arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{keyId}}"
],
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::{{bucket}}*"
}
}
},
{
"Sid": "AllowCloudWatchMetricsPublishingForTrainingJobs",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringLike": {
"cloudwatch:namespace": "/aws/cleanroomsml/*"
}
}
},
{
"Sid": "AllowCloudWatchLogsPublishingForTrainingOrInferenceJobs",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:/aws/cleanroomsml/*"
]
}
]
}
```
------
1. Substitua cada um {{placeholder}} por suas próprias informações:
+ {{bucket}}— O **nome de recurso da Amazon (ARN)** do bucket S3. O **nome do recurso da Amazon (ARN)** pode ser encontrado na guia **Propriedades** do bucket no Amazon S3.
+ {{region}} – O nome da Região da AWS. Por exemplo, .**us-east-1**
+ {{accountId}}— O Conta da AWS ID no qual o bucket do S3 está localizado.
+ {{keyId}}— A chave KMS necessária para criptografar seus dados.
1. Escolha **Próximo**.
1. Em **Analisar e criar**, insira um **Nome da política** e uma **Descrição** e analise o **Resumo**.
1. Selecione **Criar política**.
Você criou uma política para AWS Clean Rooms.
1. Em **Gerenciamento de acesso**, escolha **Perfis**.
Com **Perfis**, é possível criar credenciais de curto prazo, o que é recomendado para aumentar a segurança. Você também pode escolher **Usuários** para criar credenciais de longo prazo.
1. Selecione **Criar perfil**.
1. No assistente **Criar perfil**, para **Tipo de entidade confiável**, escolha **Política de confiança personalizada**.
1. Copie e cole a seguinte política de confiança personalizada no editor JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{111122223333}}"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:cleanrooms:{{us-east-1}}:{{111122223333}}:membership/{{membershipID}}"
}
}
}
]
}
```
------
`SourceAccount`É sempre seu Conta da AWS. O `SourceArn` pode ser limitado a um conjunto de dados de treinamento específico, mas somente após a criação desse conjunto de dados. Como você ainda não conhece o ARN do conjunto de dados de treinamento, o caractere curinga é especificado aqui.
1. Escolha **Próximo**.
1. Marque a caixa de seleção ao lado do nome da política que você criou e escolha **Próximo**.
1. Para **Nome, revisar e criar**, insira um **nome de perfil** e uma **descrição**.
**nota**
O **nome do perfil** deve corresponder ao padrão nas `passRole` permissões concedidas ao membro que pode consultar e receber resultados e funções do membro.
1. Revise **Selecionar entidades confiáveis** e edite, se necessário.
1. Revise as permissões em **Adicionar permissões** e edite, se necessário.
1. Revise as **tags** e adicione tags, se necessário.
1. Selecione **Criar perfil**.
Você criou a função de serviço para AWS Clean Rooms.
### Crie uma função de serviço para fornecer um modelo de ML personalizado
AWS Clean Rooms usa uma função de serviço para controlar quem pode criar um algoritmo de modelo de ML personalizado. Você pode criar esse perfil usando o console se você tiver as permissões necessárias do IAM. Se você não tiver permissões `CreateRole`, peça ao administrador que crie o perfil de serviço.
Essa função permite que você use a [CreateConfiguredModelAlgorithm](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_CreateConfiguredModelAlgorithm.html)ação.
**Para criar uma função de serviço para permitir que um membro forneça um modelo de ML personalizado**
1. Faça login no console do IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) com sua conta de administrador.
1. Em **Access management (Gerenciamento de acesso)**, escolha **Policies (Políticas)**.
1. Selecione **Criar política**.
1. No **Editor de políticas**, selecione a guia **JSON** e copie e cole a política a seguir.
**nota**
O exemplo de política a seguir oferece suporte às permissões necessárias para recuperar a imagem do docker que contém o algoritmo do modelo. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do Amazon S3. Essa política não inclui uma chave do KMS para descriptografar dados.
Seus recursos do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowECRImageDownloadForTrainingAndInferenceJobs",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:{{us-east-1}}:{{111122223333}}:repository/{{repoName}}"
}
]
}
```
------
1. Substitua cada um {{placeholder}} por suas próprias informações:
+ {{region}} – O nome da Região da AWS. Por exemplo, .**us-east-1**
+ {{accountId}}— O Conta da AWS ID no qual o bucket do S3 está localizado.
+ {{repoName}}— O nome do repositório que contém seus dados.
1. Escolha **Próximo**.
1. Em **Analisar e criar**, insira um **Nome da política** e uma **Descrição** e analise o **Resumo**.
1. Selecione **Criar política**.
Você criou uma política para AWS Clean Rooms.
1. Em **Gerenciamento de acesso**, escolha **Perfis**.
Com **Perfis**, é possível criar credenciais de curto prazo, o que é recomendado para aumentar a segurança. Você também pode escolher **Usuários** para criar credenciais de longo prazo.
1. Selecione **Criar perfil**.
1. No assistente **Criar perfil**, para **Tipo de entidade confiável**, escolha **Política de confiança personalizada**.
1. Copie e cole a seguinte política de confiança personalizada no editor JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
O `SourceAccount` é sempre seu. Conta da AWS O O `SourceArn` pode ser limitado a um conjunto de dados de treinamento específico, mas somente após a criação desse conjunto de dados. Como você ainda não conhece o ARN do conjunto de dados de treinamento, o caractere curinga é especificado aqui.
1. Escolha **Próximo**.
1. Marque a caixa de seleção ao lado do nome da política que você criou e escolha **Próximo**.
1. Para **Nome, revisar e criar**, insira um **nome de perfil** e uma **descrição**.
**nota**
O **nome do perfil** deve corresponder ao padrão nas `passRole` permissões concedidas ao membro que pode consultar e receber resultados e funções do membro.
1. Revise **Selecionar entidades confiáveis** e edite, se necessário.
1. Revise as permissões em **Adicionar permissões** e edite, se necessário.
1. Revise as **tags** e adicione tags, se necessário.
1. Selecione **Criar perfil**.
Você criou a função de serviço para AWS Clean Rooms.
### Crie uma função de serviço para consultar um conjunto de dados
AWS Clean Rooms usa uma função de serviço para controlar quem pode consultar um conjunto de dados que será usado para modelagem personalizada de ML. Você pode criar esse perfil usando o console se você tiver as permissões necessárias do IAM. Se você não tiver permissões `CreateRole`, peça ao administrador que crie o perfil de serviço.
Essa função permite que você use a ação [Criar MLInput canal](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_CreateMLInputChannel.html).
**Para criar uma função de serviço para permitir que um membro consulte um conjunto de dados**
1. Faça login no console do IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) com sua conta de administrador.
1. Em **Access management (Gerenciamento de acesso)**, escolha **Policies (Políticas)**.
1. Selecione **Criar política**.
1. No **Editor de políticas**, selecione a guia **JSON** e copie e cole a política a seguir.
**nota**
O exemplo de política a seguir oferece suporte às permissões necessárias para consultar um conjunto de dados que será usado para modelagem personalizada de ML. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do Amazon S3. Essa política não inclui uma chave do KMS para descriptografar dados.
Seus recursos do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCleanRoomsStartQueryForMLInputChannel",
"Effect": "Allow",
"Action": "cleanrooms:StartProtectedQuery",
"Resource": "*"
},
{
"Sid": "AllowCleanroomsGetSchemaAndGetAnalysisTemplateForMLInputChannel",
"Effect": "Allow",
"Action": [
"cleanrooms:GetSchema",
"cleanrooms:GetCollaborationAnalysisTemplate"
],
"Resource": "*"
},
{
"Sid": "AllowCleanRoomsGetAndUpdateQueryForMLInputChannel",
"Effect": "Allow",
"Action": [
"cleanrooms:GetProtectedQuery",
"cleanrooms:UpdateProtectedQuery"
],
"Resource": [
"arn:aws:cleanrooms:{{us-east-1}}:{{111122223333}}:membership/{{queryRunnerMembershipId}}"
]
}
]
}
```
------
1. Substitua cada um {{placeholder}} por suas próprias informações:
+ {{region}} – O nome da Região da AWS. Por exemplo, .**us-east-1**
+ {{queryRunnerAccountId}}— O Conta da AWS ID da conta que executará as consultas.
+ {{queryRunnerMembershipId}}— O **ID** de membro do membro que pode consultar. A **ID de membro** pode ser encontrada na guia **Detalhes** da colaboração. Isso garante que AWS Clean Rooms esteja assumindo a função somente quando esse membro executa a análise nessa colaboração.
1. Escolha **Próximo**.
1. Em **Analisar e criar**, insira um **Nome da política** e uma **Descrição** e analise o **Resumo**.
1. Selecione **Criar política**.
Você criou uma política para AWS Clean Rooms.
1. Em **Gerenciamento de acesso**, escolha **Perfis**.
Com **Perfis**, é possível criar credenciais de curto prazo, o que é recomendado para aumentar a segurança. Você também pode escolher **Usuários** para criar credenciais de longo prazo.
1. Selecione **Criar perfil**.
1. No assistente **Criar perfil**, para **Tipo de entidade confiável**, escolha **Política de confiança personalizada**.
1. Copie e cole a seguinte política de confiança personalizada no editor JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
O `SourceAccount` é sempre seu. Conta da AWS O O `SourceArn` pode ser limitado a um conjunto de dados de treinamento específico, mas somente após a criação desse conjunto de dados. Como você ainda não conhece o ARN do conjunto de dados de treinamento, o caractere curinga é especificado aqui.
1. Escolha **Próximo**.
1. Marque a caixa de seleção ao lado do nome da política que você criou e escolha **Próximo**.
1. Para **Nome, revisar e criar**, insira um **nome de perfil** e uma **descrição**.
**nota**
O **nome do perfil** deve corresponder ao padrão nas `passRole` permissões concedidas ao membro que pode consultar e receber resultados e funções do membro.
1. Revise **Selecionar entidades confiáveis** e edite, se necessário.
1. Revise as permissões em **Adicionar permissões** e edite, se necessário.
1. Revise as **tags** e adicione tags, se necessário.
1. Selecione **Criar perfil**.
Você criou a função de serviço para AWS Clean Rooms.
### Crie uma função de serviço para criar uma associação de tabela configurada
AWS Clean Rooms usa uma função de serviço para controlar quem pode criar uma associação de tabela configurada. Você pode criar esse perfil usando o console se você tiver as permissões necessárias do IAM. Se você não tiver permissões `CreateRole`, peça ao administrador que crie o perfil de serviço.
Essa função permite que você use a CreateConfiguredTableAssociation ação.
**Para criar uma função de serviço para permitir a criação de uma associação de tabela configurada**
1. Faça login no console do IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) com sua conta de administrador.
1. Em **Access management (Gerenciamento de acesso)**, escolha **Policies (Políticas)**.
1. Selecione **Criar política**.
1. No **Editor de políticas**, selecione a guia **JSON** e copie e cole a política a seguir.
**nota**
O exemplo de política a seguir oferece suporte à criação de uma associação de tabela configurada. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do Amazon S3. Essa política não inclui uma chave do KMS para descriptografar dados.
Seus recursos do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{KMS-key-ID}}",
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::{{bucket-name}}",
"Effect": "Allow"
},
{
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::{{bucket-name}}/*",
"Effect": "Allow"
},
{
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartitions",
"glue:GetPartition",
"glue:BatchGetPartition"
],
"Resource": [
"arn:aws:glue:{{us-east-1}}:{{111122223333}}:catalog",
"arn:aws:glue:{{us-east-1}}:{{111122223333}}:database/{{Glue database name}}",
"arn:aws:glue:{{us-east-1}}:{{111122223333}}:table/{{Glue database name}}/{{Glue table name}}"
],
"Effect": "Allow"
},
{
"Action": [
"glue:GetSchema",
"glue:GetSchemaVersion"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
**Substituir recurso de espaço reservado ARNs**
Ao usar essa política, você deve substituir os identificadores de recursos de espaço reservado pelos reais ARNs de seus recursos:
**AWS KMS Recurso chave**: {{KMS-key-ID}} substitua pelo ID real da AWS KMS chave que criptografa seus dados do Amazon S3. A chave deve estar na mesma conta (111122223333) que possui os recursos do catálogo. AWS Glue
**Recursos do bucket do Amazon S3**: {{bucket-name}} substitua pelo nome real do bucket do Amazon S3 que contém AWS Glue os dados da sua tabela. Observe que o bucket do Amazon S3 ARNs não inclui a conta, IDs pois os nomes dos buckets são globalmente exclusivos.
**AWS Glue Recursos**: substitua os seguintes espaços reservados pelos nomes reais dos recursos:
{{Glue database name}}- O nome do seu AWS Glue banco de dados
{{Glue table name}}- O nome da sua AWS Glue mesa
Todos os AWS Glue recursos (catálogo, banco de dados e tabela) devem estar no mesmo Conta da AWS (111122223333) para garantir permissões de acesso consistentes. Essa conta deve ser a mesma que possui a AWS KMS chave usada para criptografia de dados, criando um limite de segurança unificado para seus recursos de AWS Clean Rooms dados.
1. Substitua cada um {{placeholder}} por suas próprias informações:
+ {{KMS key used to encrypt the Amazon S3 data}}— A chave KMS usada para criptografar os dados do Amazon S3. Para descriptografar os dados, você precisa fornecer a mesma chave KMS usada para criptografar os dados.
+ {{Amazon S3 bucket of AWS Glue table}}— O nome do bucket do Amazon S3 que contém a AWS Glue tabela que contém seus dados.
+ {{region}} – O nome da Região da AWS. Por exemplo, .**us-east-1**
+ {{accountId}}— O Conta da AWS ID da conta que possui os dados.
+ {{AWS Glue database name}}— O nome do AWS Glue banco de dados que contém seus dados.
+ {{AWS Glue table name}}— O nome da AWS Glue tabela que contém seus dados.
1. Escolha **Próximo**.
1. Em **Analisar e criar**, insira um **Nome da política** e uma **Descrição** e analise o **Resumo**.
1. Selecione **Criar política**.
Você criou uma política para AWS Clean Rooms.
1. Em **Gerenciamento de acesso**, escolha **Perfis**.
Com **Perfis**, é possível criar credenciais de curto prazo, o que é recomendado para aumentar a segurança. Você também pode escolher **Usuários** para criar credenciais de longo prazo.
1. Selecione **Criar perfil**.
1. No assistente **Criar perfil**, para **Tipo de entidade confiável**, escolha **Política de confiança personalizada**.
1. Copie e cole a seguinte política de confiança personalizada no editor JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
O `SourceAccount` é sempre seu. Conta da AWS O O `SourceArn` pode ser limitado a um conjunto de dados de treinamento específico, mas somente após a criação desse conjunto de dados. Como você ainda não conhece o ARN do conjunto de dados de treinamento, o caractere curinga é especificado aqui.
1. Escolha **Próximo**.
1. Marque a caixa de seleção ao lado do nome da política que você criou e escolha **Próximo**.
1. Para **Nome, revisar e criar**, insira um **nome de perfil** e uma **descrição**.
**nota**
O **nome do perfil** deve corresponder ao padrão nas `passRole` permissões concedidas ao membro que pode consultar e receber resultados e funções do membro.
1. Revise **Selecionar entidades confiáveis** e edite, se necessário.
1. Revise as permissões em **Adicionar permissões** e edite, se necessário.
1. Revise as **tags** e adicione tags, se necessário.
1. Selecione **Criar perfil**.
Você criou a função de serviço para AWS Clean Rooms.