As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Identity and Access Management para AWS Clean Rooms
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) a usar AWS Clean Rooms os recursos. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security-iam-audience)
+ [Autenticação com identidades](#security-iam-auth-with-identities)
+ [Gerenciar o acesso usando políticas](#security-iam-managing-access)
+ [Como AWS Clean Rooms funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade para AWS Clean Rooms](security_iam_id-based-policy-examples.md)
+ [AWS políticas gerenciadas para AWS Clean Rooms](security-iam-awsmanpol.md)
+ [Solução de problemas AWS Clean Rooms de identidade e acesso](security_iam_troubleshoot.md)
+ [Prevenção do problema "confused deputy" entre serviços](cross-service-confused-deputy-prevention.md)
+ [Comportamentos do IAM para AWS Clean Rooms ML](ml-behaviors.md)
+ [Comportamentos do IAM para modelos personalizados de ML de salas limpas](ml-behaviors-byom.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas AWS Clean Rooms de identidade e acesso](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como AWS Clean Rooms funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade para AWS Clean Rooms](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar *autenticado* (conectado AWS) como o Usuário raiz da conta da AWS, como usuário do IAM ou assumindo uma função do IAM.
Você pode entrar AWS como uma identidade federada usando credenciais fornecidas por meio de uma fonte de identidade. Centro de Identidade do AWS IAM Os usuários (IAM Identity Center) ou a autenticação de login único da sua empresa são exemplos de identidades federadas. Quando você faz login como identidade federada, o administrador já configurou anteriormente a federação de identidades usando perfis do IAM. Ao acessar AWS usando a federação, você está assumindo indiretamente uma função.
Dependendo do tipo de usuário que você é, você pode entrar no Console de gerenciamento da AWS ou no portal de AWS acesso. Para obter mais informações sobre como fazer login AWS, consulte [Como fazer login Conta da AWS no](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) *Guia do Início de Sessão da AWS usuário*.
Se você acessar AWS programaticamente, AWS fornece um kit de desenvolvimento de software (SDK) e uma interface de linha de comando (CLI) para assinar criptograficamente suas solicitações usando suas credenciais. Se você não usa AWS ferramentas, você mesmo deve assinar as solicitações. Para obter mais informações sobre o uso do método recomendado para você assinar as solicitações por conta própria, consulte [Signature Version 4 signing process](https://docs.aws.amazon.com//general/latest/gr/signature-version-4.html) no *Referência geral da AWS*.
Independente do método de autenticação usado, também pode ser necessário fornecer informações adicionais de segurança. Por exemplo, AWS recomenda que você use a autenticação multifator (MFA) para aumentar a segurança da sua conta. Para saber mais, consulte [Autenticação Multifator](https://docs.aws.amazon.com//singlesignon/latest/userguide/enable-mfa.html) no *Guia do Usuário do Centro de Identidade do AWS IAM *. [Usar a autenticação multifator (MFA) na AWS](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_mfa.html) no *Guia do Usuário do IAM*.
### Conta da AWS usuário root
Ao criar uma Conta da AWS, você começa com uma identidade de login que tem acesso completo a todos Serviços da AWS os recursos da conta. Essa identidade, chamada *usuário-raiz* da Conta da AWS , é acessada por login com o endereço de e-mail e a senha usada para criar a conta. É altamente recomendável não usar o usuário raiz para tarefas diárias. Proteja as credenciais do usuário raiz e use-as para executar as tarefas que somente ele pode executar. Para obter a lista completa de tarefas que exigem que você faça login como usuário raiz, consulte [credenciais Usuário raiz da conta da AWS e identidades do IAM](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html#aws_tasks-that-require-root) na *Referência geral da AWS*.
### Identidade federada
Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.
Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.
Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política é um objeto AWS que, quando associada a uma identidade ou recurso, define suas permissões. AWS avalia essas políticas quando um principal (usuário, usuário raiz ou sessão de função) faz uma solicitação. As permissões nas políticas determinam se a solicitação será permitida ou negada. A maioria das políticas é armazenada AWS como documentos JSON. Para obter mais informações sobre a estrutura e o conteúdo de documentos de políticas JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **principal** pode executar **ações** em quais **recursos**, e em que **condições**.
Cada entidade do IAM (usuário ou função) começa sem permissões. Por padrão, os usuários não podem fazer nada, nem mesmo alterar sua própria senha. Para dar permissão a um usuário para fazer algo, um administrador deve anexar uma política de permissões ao usuário. Ou o administrador pode adicionar o usuário a um grupo que tenha as permissões pretendidas. Quando um administrador concede permissões a um grupo, todos os usuários desse grupo recebem essas permissões.
As políticas do IAM definem permissões para uma ação, independentemente do método usado para executar a operação. Por exemplo, suponha que você tenha uma política que permite a ação `iam:GetRole`. Um usuário com essa política pode obter informações de função da Console de gerenciamento da AWS AWS CLI, da ou da AWS API.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissões JSON que você pode anexar a uma identidade, como usuário, grupo de usuários ou perfil do IAM. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser categorizadas como *políticas em linha* ou *políticas gerenciadas*. As políticas em linha são anexadas diretamente a um único usuário, grupo ou perfil. As políticas gerenciadas são políticas independentes que podem ser anexadas a vários usuários, grupos e perfis na Conta da AWS. As políticas AWS gerenciadas incluem políticas gerenciadas e políticas gerenciadas pelo cliente. Para saber como escolher entre uma política gerenciada ou uma política em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline) no *Guia do Usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais menos comuns. Esses tipos de política podem definir o máximo de permissões concedidas a você pelos tipos de política mais comuns.
+ **Limites de permissões**: um limite de permissões é um recurso avançado no qual você define o máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM (usuário ou perfil do IAM). É possível definir um limite de permissões para uma entidade. As permissões resultantes são a interseção das políticas baseadas em identidade da entidade e seus limites de permissões. As políticas baseadas em recursos que especificam o usuário ou o perfil no campo `Principal` não são limitadas pelo limite de permissões. Uma negação explícita em qualquer uma dessas políticas substitui a permissão. Para obter mais informações sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — SCPs são políticas JSON que especificam as permissões máximas para uma organização ou unidade organizacional (OU) em AWS Organizations. AWS Organizations é um serviço para agrupar e gerenciar centralmente vários Contas da AWS que sua empresa possui. Se você habilitar todos os recursos em uma organização, poderá aplicar políticas de controle de serviço (SCPs) a qualquer uma ou a todas as suas contas. O SCP limita as permissões para entidades nas contas dos membros, incluindo cada uma Usuário raiz da conta da AWS. Para obter mais informações sobre Organizations e SCPs, consulte [Como SCPs trabalhar](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html) no *Guia AWS Organizations do Usuário*.
+ **Políticas de sessão**: são políticas avançadas que você transmite como um parâmetro quando cria de forma programática uma sessão temporária para um perfil ou um usuário federado. As permissões da sessão resultante são a interseção das políticas baseadas em identidade do usuário ou do perfil e das políticas de sessão. As permissões também podem ser provenientes de uma política baseada em recursos. Uma negação explícita em qualquer uma dessas políticas substitui a permissão. Para obter mais informações, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como AWS Clean Rooms funciona com o IAM
Antes de usar o IAM para gerenciar o acesso AWS Clean Rooms, saiba com quais recursos do IAM estão disponíveis para uso AWS Clean Rooms.
**Recursos do IAM que você pode usar com AWS Clean Rooms**
| Recurso do IAM | AWS Clean Rooms apoio |
| --- | --- |
| [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies) | Sim |
| [Políticas baseadas em recurso](#security_iam_service-with-iam-resource-based-policies) | Parcial |
| [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sim |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sim |
| [Chaves de condição de política (específicas do serviço)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Parcial |
| [ACLs](#security_iam_service-with-iam-acls) | Não |
| [ABAC (tags em políticas)](#security_iam_service-with-iam-tags) | Sim |
| [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds) | Sim |
| [Sessões de acesso direto (FAS)](#security_iam_service-with-iam-principal-permissions) | Sim |
| [Perfis de serviço](#security_iam_service-with-iam-roles-service) | Sim |
| [Perfis vinculados a serviço](#security_iam_service-with-iam-roles-service-linked) | Não |
Para ter uma visão de alto nível de como AWS Clean Rooms e outros Serviços da AWS funcionam com a maioria dos recursos do IAM, consulte [Serviços da AWS esse trabalho com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Políticas baseadas em identidade para AWS Clean Rooms
**Compatível com políticas baseadas em identidade:** sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Exemplos de políticas baseadas em identidade para AWS Clean Rooms
Para ver exemplos de políticas AWS Clean Rooms baseadas em identidade, consulte. [Exemplos de políticas baseadas em identidade para AWS Clean Rooms](security_iam_id-based-policy-examples.md)
## Políticas baseadas em recursos dentro AWS Clean Rooms
**Compatível com políticas baseadas em recursos:** Parcial
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS
Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
O AWS Clean Rooms serviço oferece suporte a apenas um tipo de política baseada em recursos, chamada política de *recursos gerenciados de modelo semelhante configurado*, que é anexada a um modelo semelhante configurado. Essa política define quais entidades principais podem realizar ações no modelo de semelhanças configurado.
Para saber como anexar uma política baseada em recursos a um modelo de semelhanças configurado, consulte **[Comportamentos do IAM para AWS Clean Rooms ML](ml-behaviors.md)**.
## Ações políticas para AWS Clean Rooms
**Compatível com ações de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
Para ver uma lista de AWS Clean Rooms ações, consulte [Ações definidas por AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscleanrooms.html) na *Referência de Autorização de Serviço*.
As ações de política AWS Clean Rooms usam o seguinte prefixo antes da ação.
```
cleanrooms
```
Para especificar várias ações em uma única declaração, separe-as com vírgulas.
```
"Action": [
"cleanrooms:action1",
"cleanrooms:action2"
]
```
Para ver exemplos de políticas AWS Clean Rooms baseadas em identidade, consulte. [Exemplos de políticas baseadas em identidade para AWS Clean Rooms](security_iam_id-based-policy-examples.md)
## Recursos políticos para AWS Clean Rooms
**Compatível com recursos de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Para ver uma lista dos tipos de AWS Clean Rooms recursos e seus ARNs, consulte [Recursos definidos por AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-resources-for-iam-policies) na *Referência de Autorização de Serviço*. Para saber com quais ações é possível especificar o ARN de cada atributo, consulte [Ações definidas pelo AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).
Para ver exemplos de políticas AWS Clean Rooms baseadas em identidade, consulte. [Exemplos de políticas baseadas em identidade para AWS Clean Rooms](security_iam_id-based-policy-examples.md)
## Chaves de condição de política para AWS Clean Rooms
**Compatível com chaves de condição de política específicas do serviço:** parcial
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Para saber como o AWS Clean Rooms ML usa chaves de condição de política, consulte **[Comportamentos do IAM para AWS Clean Rooms ML](ml-behaviors.md)**.
## ACLs in AWS Clean Rooms
**Suportes ACLs:** Não
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
## ABAC com AWS Clean Rooms
**Compatível com ABAC (tags em políticas):** sim
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades e AWS recursos do IAM e, em seguida, criar políticas ABAC para permitir operações quando a tag do diretor corresponder à tag no recurso.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.
Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**
Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.
## Usando credenciais temporárias com AWS Clean Rooms
**Compatível com credenciais temporárias:** sim
As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Sessões de acesso direto para AWS Clean Rooms
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Funções de serviço para AWS Clean Rooms
**Compatível com perfis de serviço:** sim
O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
**Atenção**
Alterar as permissões de uma função de serviço pode interromper AWS Clean Rooms a funcionalidade. Edite as funções de serviço somente quando AWS Clean Rooms fornecer orientação para fazer isso.
## Funções vinculadas a serviços para AWS Clean Rooms
**Compatível com perfis vinculados ao serviço:** Não
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
Para obter detalhes sobre como criar ou gerenciar perfis vinculados a serviços, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Encontre um serviço na tabela que inclua um `Yes` na coluna **Perfil vinculado ao serviço**. Escolha o link **Sim** para visualizar a documentação do perfil vinculado a serviço desse serviço.
# Exemplos de políticas baseadas em identidade para AWS Clean Rooms
Por padrão, usuários e perfis não têm permissão para criar ou modificar recursos do AWS Clean Rooms . Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.
Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.
Para obter detalhes sobre ações e tipos de recursos definidos por AWS Clean Rooms, incluindo o formato do ARNs para cada um dos tipos de recursos, consulte [Ações, recursos e chaves de condição AWS Clean Rooms na Referência de](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html) *Autorização de Serviço*.
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Usando o AWS Clean Rooms console](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir AWS Clean Rooms recursos em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Usando o AWS Clean Rooms console
Para acessar o AWS Clean Rooms console, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os AWS Clean Rooms recursos em seu Conta da AWS. Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.
Para garantir que usuários e funções ainda possam usar o AWS Clean Rooms console, anexe também a política AWS Clean Rooms `FullAccess` ou a política `ReadOnly` AWS gerenciada às entidades. Para obter informações, consulte [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS políticas gerenciadas para AWS Clean Rooms
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) for lançada ou novas operações de API forem disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
## AWS política gerenciada: `AWSCleanRoomsReadOnlyAccess`
Você pode conectar `AWSCleanRoomsReadOnlyAccess` às suas entidades principais do IAM.
Essa política concede permissões somente leitura aos recursos e metadados em uma colaboração `AWSCleanRoomsReadOnlyAccess`.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `CleanRoomsRead` – Permite que as entidades principais tenham acesso somente leitura ao serviço.
+ `ConsoleDisplayTables`— Permite que os diretores tenham acesso somente para leitura aos AWS Glue metadados necessários para mostrar dados sobre as AWS Glue tabelas subjacentes no console.
+ `ConsoleLogSummaryQueryLogs` – Permite que as entidades principais vejam os logs de consultas.
+ `ConsoleLogSummaryObtainLogs` – Permite que as entidades principais recuperem os resultados do log.
Para obter uma lista JSON dos detalhes da política, consulte o *Guia [AWSCleanRoomsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsReadOnlyAccess.html)de referência de políticas AWS gerenciadas*.
## AWS política gerenciada: `AWSCleanRoomsFullAccess`
Você pode conectar `AWSCleanRoomsFullAccess` às suas entidades principais do IAM.
Essa política concede permissões administrativas que permitem acesso total (leitura, gravação e atualização) aos recursos e metadados em uma AWS Clean Rooms colaboração. Essa política inclui acesso para realizar consultas.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `CleanRoomsAccess`— Concede acesso total a todas as ações em todos os recursos do AWS Clean Rooms.
+ `PassServiceRole` – Concede acesso para passar um perfil de serviço somente para o serviço (condição `PassedToService`) que tem "cleanrooms" em seu nome.
+ `ListRolesToPickServiceRole`— Permite que os diretores listem todas as suas funções para escolher uma função de serviço ao usar AWS Clean Rooms.
+ `GetRoleAndListRolePoliciesToInspectServiceRole` – Permite que as entidades principais vejam o perfil de serviço e a política correspondente no IAM.
+ `ListPoliciesToInspectServiceRolePolicy` – Permite que as entidades principais vejam o perfil de serviço e a política correspondente no IAM.
+ `GetPolicyToInspectServiceRolePolicy` – Permite que as entidades principais vejam o perfil de serviço e a política correspondente no IAM.
+ `ConsoleDisplayTables`— Permite que os diretores tenham acesso somente para leitura aos AWS Glue metadados necessários para mostrar dados sobre as AWS Glue tabelas subjacentes no console.
+ `ConsolePickQueryResultsBucketListAll` – Permite que as entidades principais escolham um bucket do Amazon S3 em uma lista de todos os buckets do S3 disponíveis nos quais seus resultados de consulta são gravados.
+ `SetQueryResultsBucket` – Permite que as entidades principais escolham um bucket do S3 no qual os resultados de consulta são gravados.
+ `ConsoleDisplayQueryResults` – Permite que as entidades principais mostrem ao cliente os resultados de consulta, lidos do bucket do S3.
+ `WriteQueryResults` – Permite que as entidades principais gravem os resultados de consulta em um bucket S3 de propriedade do cliente.
+ `EstablishLogDeliveries`— Permite que os diretores entreguem registros de consulta ao grupo de registros do Amazon CloudWatch Logs de um cliente.
+ `SetupLogGroupsDescribe`— Permite que os diretores usem o processo de criação de grupos de CloudWatch logs do Amazon Logs.
+ `SetupLogGroupsCreate`— Permite que os diretores criem um grupo de CloudWatch logs do Amazon Logs.
+ `SetupLogGroupsResourcePolicy`— Permite que os diretores configurem uma política de recursos no grupo de CloudWatch registros do Amazon Logs.
+ `ConsoleLogSummaryQueryLogs` – Permite que as entidades principais vejam os logs de consultas.
+ `ConsoleLogSummaryObtainLogs` – Permite que as entidades principais recuperem os resultados do log.
Para obter uma lista JSON dos detalhes da política, consulte o *Guia [AWSCleanRoomsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsFullAccess.html)de referência de políticas AWS gerenciadas*.
## AWS política gerenciada: `AWSCleanRoomsFullAccessNoQuerying`
Você pode conectar `AWSCleanRoomsFullAccessNoQuerying` às suas IAM principals.
Essa política concede permissões administrativas que permitem acesso total (leitura, gravação e atualização) aos recursos e metadados em uma AWS Clean Rooms colaboração. Essa política exclui o acesso para realizar consultas.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `CleanRoomsAccess`— Concede acesso total a todas as ações em todos os recursos AWS Clean Rooms, exceto para consultas em colaborações.
+ `CleanRoomsNoQuerying` – Nega explicitamente `StartProtectedQuery` e `UpdateProtectedQuery` para evitar consultas.
+ `PassServiceRole` – Concede acesso para passar um perfil de serviço somente para o serviço (condição `PassedToService`) que tem "cleanrooms" em seu nome.
+ `ListRolesToPickServiceRole`— Permite que os diretores listem todas as suas funções para escolher uma função de serviço ao usar AWS Clean Rooms.
+ `GetRoleAndListRolePoliciesToInspectServiceRole` – Permite que as entidades principais vejam o perfil de serviço e a política correspondente no IAM.
+ `ListPoliciesToInspectServiceRolePolicy` – Permite que as entidades principais vejam o perfil de serviço e a política correspondente no IAM.
+ `GetPolicyToInspectServiceRolePolicy` – Permite que as entidades principais vejam o perfil de serviço e a política correspondente no IAM.
+ `ConsoleDisplayTables`— Permite que os diretores tenham acesso somente para leitura aos AWS Glue metadados necessários para mostrar dados sobre as AWS Glue tabelas subjacentes no console.
+ `EstablishLogDeliveries`— Permite que os diretores entreguem registros de consulta ao grupo de registros do Amazon CloudWatch Logs de um cliente.
+ `SetupLogGroupsDescribe`— Permite que os diretores usem o processo de criação de grupos de CloudWatch logs do Amazon Logs.
+ `SetupLogGroupsCreate`— Permite que os diretores criem um grupo de CloudWatch logs do Amazon Logs.
+ `SetupLogGroupsResourcePolicy`— Permite que os diretores configurem uma política de recursos no grupo de CloudWatch registros do Amazon Logs.
+ `ConsoleLogSummaryQueryLogs` – Permite que as entidades principais vejam os logs de consultas.
+ `ConsoleLogSummaryObtainLogs` – Permite que as entidades principais recuperem os resultados do log.
+ `cleanrooms`: gerencie colaborações, modelos de análise, tabelas configuradas, associações e recursos relacionados no serviço AWS Clean Rooms . Realize várias operações, como criar, atualizar, excluir, listar e recuperar informações sobre esses recursos.
+ `iam`— Passe funções de serviço com nomes contendo `cleanrooms` "" para o AWS Clean Rooms serviço. Liste funções, políticas e inspecione funções de serviço e políticas relacionadas ao AWS Clean Rooms serviço.
+ `glue`— recupere informações sobre bancos de dados, tabelas, partições e esquemas do. AWS Glue Isso é necessário para que o AWS Clean Rooms serviço exiba e interaja com as fontes de dados subjacentes.
+ `logs`— Gerencie entregas de registros, grupos de registros e políticas de recursos para o CloudWatch Logs. Consulte e recupere registros relacionados ao AWS Clean Rooms serviço. Essas permissões são necessárias para fins de monitoramento, auditoria e solução de problemas no serviço.
A política também nega explicitamente as ações `cleanrooms:StartProtectedQuery` e `cleanrooms:UpdateProtectedQuery` para impedir que os usuários realizem ou atualizem diretamente consultas protegidas, o que deve ser feito por meio de mecanismos controlados do AWS Clean Rooms .
Para obter uma lista JSON dos detalhes da política, consulte o *Guia [AWSCleanRoomsFullAccessNoQuerying](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsFullAccessNoQuerying.html)de referência de políticas AWS gerenciadas*.
## AWS política gerenciada: `AWSCleanRoomsMLReadOnlyAccess`
Você pode conectar `AWSCleanRoomsMLReadOnlyAccess` às suas entidades principais do IAM.
Essa política concede permissões somente leitura aos recursos e metadados em uma colaboração `AWSCleanRoomsMLReadOnlyAccess`.
Esta política inclui as seguintes permissões:
+ `CleanRoomsConsoleNavigation`— Concede acesso para visualizar as telas do AWS Clean Rooms console.
+ `CleanRoomsMLRead`: permite que as entidades principais tenham acesso somente leitura ao serviço Clean Rooms ML.
+ `PassCleanRoomsResources`— Concede acesso para passar AWS Clean Rooms recursos específicos.
Para obter uma lista JSON dos detalhes da política, consulte [AWSCleanRooms MLRead OnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsMLReadOnlyAccess.html) no *Guia de referência de políticas AWS gerenciadas*.
## AWS política gerenciada: `AWSCleanRoomsMLFullAccess`
Você pode conectar `AWSCleanRoomsMLFullAcces` às suas entidades principais do IAM. Essa política concede permissões administrativas que autorizam acesso total (leitura, gravação e atualização) aos recursos e aos metadados necessários ao Clean Rooms ML.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `CleanRoomsMLFullAccess`: concede acesso a todas as ações do Clean Rooms ML.
+ `PassServiceRole` – Concede acesso para passar um perfil de serviço somente para o serviço (condição `PassedToService`) que tem "cleanrooms-ml" em seu nome.
+ `CleanRoomsConsoleNavigation`— Concede acesso para visualizar as telas do AWS Clean Rooms console.
+ `CollaborationMembershipCheck`— Quando você inicia um trabalho de geração de público (segmento semelhante) em uma colaboração, o serviço Clean Rooms ML liga `ListMembers` para verificar se a colaboração é válida, se o chamador é um membro ativo e se o proprietário do modelo de público configurado é um membro ativo. Essa permissão é sempre necessária; o SID de navegação do console só é necessário para usuários do console.
+ `PassCleanRoomsResources`— Concede acesso para passar AWS Clean Rooms recursos específicos.
+ `AssociateModels`: permite que as entidades principais associem um modelo do Clean Rooms ML à colaboração.
+ `TagAssociations`: permite que as entidades principais adicionem tags à associação entre um modelo de semelhanças e uma colaboração.
+ `ListRolesToPickServiceRole`— Permite que os diretores listem todas as suas funções para escolher uma função de serviço ao usar AWS Clean Rooms.
+ `GetRoleAndListRolePoliciesToInspectServiceRole` – Permite que as entidades principais vejam o perfil de serviço e a política correspondente no IAM.
+ `ListPoliciesToInspectServiceRolePolicy` – Permite que as entidades principais vejam o perfil de serviço e a política correspondente no IAM.
+ `GetPolicyToInspectServiceRolePolicy` – Permite que as entidades principais vejam o perfil de serviço e a política correspondente no IAM.
+ `ConsoleDisplayTables`— Permite que os diretores tenham acesso somente para leitura aos AWS Glue metadados necessários para mostrar dados sobre as AWS Glue tabelas subjacentes no console.
+ `ConsolePickOutputBucket`: permite que as entidades principais selecionem buckets do Amazon S3 para saídas configuradas do modelo de público.
+ `ConsolePickS3Location`: permite que as entidades principais selecionem o local em um bucket para saídas configuradas do modelo de público.
+ `ConsoleDescribeECRRepositories`— Permite que os diretores descrevam repositórios e imagens do Amazon ECR.
Para obter uma lista JSON dos detalhes da política, consulte [AWSCleanRooms MLFull Access](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsMLFullAccess.html) no *Guia de referência de políticas AWS gerenciadas*.
## AWS Clean Rooms atualizações nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas AWS Clean Rooms desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico do AWS Clean Rooms documento.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery)— Atualização da política existente | Salas limpas adicionadas: UpdateConfiguredTableAllowedColumns e salas limpas: a. UpdateConfiguredTableReference CleanRoomsAccess | 29 de julho de 2025 |
| [AWSCleanRoomsMLReadOnlyAccess](#ml-read-only): atualizar para uma política existente. | Adição de PassCleanRoomsResources a AWSCleanRoomsMLReadOnlyAccess. PassCleanRoomsResources e ConsoleDescribeECRRepositories adicionados a AWSCleanRoomsMLFullAccess. | 10 de janeiro de 2025 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery): atualizar para uma política existente. | Adição de cleanrooms:BatchGetSchemaAnalysisRule a CleanRoomsAccess. | 13 de maio de 2024 |
| [AWSCleanRoomsFullAccess](#security-iam-awsmanpol-fullaccess): atualizar para uma política existente. | Em AWSCleanRoomsFullAccess, o ID da declaração foi atualizado de ConsolePickQueryResultsBucket para SetQueryResultsBucket nessa política para representar melhor as permissões, pois elas são necessárias para definir o bucket de resultados da consulta com e sem o console. | 21 de março de 2024 |
| [AWSCleanRoomsMLReadOnlyAccess](#ml-read-only) – Nova política [AWSCleanRoomsMLFullAccess](#ml-full-access) – Nova política | Adicionado AWSCleanRoomsMLReadOnlyAccess e AWSCleanRoomsMLFullAccess para dar suporte ao AWS Clean Rooms ML. | 29 de novembro de 2023 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery): atualizar para uma política existente. | Adição de cleanrooms:CreateAnalysisTemplate, cleanrooms:GetAnalysisTemplate, cleanrooms:UpdateAnalysisTemplate, cleanrooms:DeleteAnalysisTemplate, cleanrooms:ListAnalysisTemplates, cleanrooms:GetCollaborationAnalysisTemplate, cleanrooms:BatchGetCollaborationAnalysisTemplate e cleanrooms:ListCollaborationAnalysisTemplates a CleanRoomsAccess para habilitar o novo recurso de modelo de análise. | 31 de julho de 2023 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery): atualizar para uma política existente. | Adicionado cleanrooms:ListTagsForResource, cleanrooms:UntagResource e cleanrooms:TagResource para CleanRoomsAccess habilitar a marcação de recursos. | 21 de março de 2023 |
| AWS Clean Rooms começou a rastrear as alterações | AWS Clean Rooms começou a rastrear as mudanças em suas políticas AWS gerenciadas. | 12 de janeiro de 2023 |
# Solução de problemas AWS Clean Rooms de identidade e acesso
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com AWS Clean Rooms um IAM.
**Topics**
+ [Não estou autorizado a realizar uma ação em AWS Clean Rooms](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas fora da minha Conta da AWS acessem meus AWS Clean Rooms recursos](#security_iam_troubleshoot-cross-account-access)
## Não estou autorizado a realizar uma ação em AWS Clean Rooms
Se você receber uma mensagem de erro informando que não tem autorização para executar uma ação, é preciso atualizar suas políticas para permitir que você realize a ação.
O erro do exemplo a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para exibir detalhes sobre um recurso do `my-example-widget` fictício, mas não tem as permissões fictícias do `cleanrooms:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cleanrooms:GetWidget on resource: my-example-widget
```
Nesse caso, a política de Mateo deve ser atualizada para permitir que ele tenha acesso ao recurso `my-example-widget` usando a ação `cleanrooms:GetWidget`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Não estou autorizado a realizar iam: PassRole
Se você receber uma mensagem de erro informando que não está autorizado a executar a ação `iam:PassRole`, as suas políticas devem ser atualizadas para permitir que você passe uma função para o AWS Clean Rooms.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazê-lo, você deve ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando uma usuária do IAM chamada `marymajor` tenta utilizar o console para executar uma ação no AWS Clean Rooms. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas fora da minha Conta da AWS acessem meus AWS Clean Rooms recursos
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil.
Para saber mais, consulte:
+ Para saber se é AWS Clean Rooms compatível com esses recursos, consulte[Como AWS Clean Rooms funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre usar perfis e políticas baseadas em recursos para acesso entre contas, consulte [Como os perfis do IAM diferem de políticas baseadas em recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) no *Guia do usuário do IAM*.
# Prevenção do problema "confused deputy" entre serviços
O problema "confused deputy" é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executar a ação. Em AWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado. A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com entidades principais de serviço que receberam acesso aos recursos em sua conta.
Recomendamos usar as chaves de contexto de condição global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) nas políticas de recursos para limitar as permissões que o AWS Clean Rooms concede outro serviço ao recurso. Use `aws:SourceArn` se quiser que apenas um recurso seja associado ao acesso entre serviços.
A maneira mais eficaz de se proteger contra o problema do confused deputy é usar a chave de contexto de condição global `aws:SourceArn` com o ARN completo do recurso. Em AWSClean Rooms, você também precisa comparar com a chave de `sts:ExternalId` condição.
O valor de `aws:SourceArn` deve ser definido como o ARN da associação da função assumida.
O exemplo a seguir mostra como você pode usar a chave de contexto da condição global `aws:SourceArn` no AWS Clean Rooms para evitar o problema confused deputy.
**nota**
O exemplo de política se aplica à política de confiança da função de serviço AWS Clean Rooms usada para acessar dados e metadados de uma tabela configurada.
O valor de ** precisa ser definido como o ID de associação do executor da consulta.
Todos os membros da colaboração podem visualizar os metadados da tabela configurada para que cada ARN de associação deva ser incluído na lista de membros. ARNs
**nota**
Quando uma função de serviço é criada por meio do AWS Clean Rooms console, todos os membros atuais da colaboração são incluídos na condição confusa de substituto por padrão.
Se você estiver adicionando novos membros a uma colaboração que já tem tabelas configuradas associadas a ela, certifique-se de atualizar a condição confusa de substituto da sua função de serviço com o ARN de associação do novo membro.
Se você não atualizar a condição confusa de substituto de sua função de serviço após adicionar um novo membro, esse novo membro não poderá acessar as informações recuperadas usando essa função. AWS Clean Rooms
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowIfExternalIdMatches",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringLike": {
"sts:ExternalId": "arn:aws:*:us-east-1:*:dbuser:*/*"
}
}
},
{
"Sid": "AllowIfSourceArnMatches",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ForAnyValue:ArnEquals": {
"aws:SourceArn": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/",
"arn:aws:cleanrooms:us-east-1:444455556666:membership/"
]
}
}
}
]
}
```
------
# Comportamentos do IAM para AWS Clean Rooms ML
## Trabalhos entre contas
O Clean Rooms ML permite que determinados recursos criados por um Conta da AWS sejam acessados com segurança em sua conta por outro. Conta da AWS Quando um cliente em A chama Conta da AWS `StartAudienceGenerationJob` um `ConfiguredAudienceModel` recurso de propriedade de Conta da AWS B, o Clean Rooms ML cria dois ARNs para o trabalho. Um ARN em Conta da AWS A e outro em B. Conta da AWS Eles ARNs são idênticos, exceto por seus Conta da AWS.
O Clean Rooms ML cria duas ARNs para o trabalho para garantir que ambas as contas possam aplicar suas próprias políticas de IAM aos trabalhos. Por exemplo, ambas as contas podem usar o controle de acesso baseado em tags e aplicar políticas de sua AWS organização. O trabalho processa dados de ambas as contas, para que elas possam excluir o trabalho e os dados associados. Nenhuma conta pode impedir que a outra exclua o trabalho.
Há apenas uma execução de trabalho e ambas as contas podem ver o trabalho quando chamam `ListAudienceGenerationJobs`. Ambas as contas podem ligar para `Get``Delete`, e `Export` APIs trabalhar usando o ARN com seu próprio Conta da AWS ID.
Nenhum deles Conta da AWS pode acessar o trabalho usando um ARN com o outro Conta da AWS ID.
O nome do trabalho deve ser exclusivo em uma Conta da AWS. O nome em Conta da AWS B é*\$1accountA-\$1name*. O nome escolhido por Conta da AWS A é prefixado com Conta da AWS A quando o trabalho é visualizado em B. Conta da AWS
Para que uma conta cruzada `StartAudienceGenerationJob` seja bem-sucedida, Conta da AWS B deve permitir essa ação no novo trabalho em Conta da AWS B e `ConfiguredAudienceModel` no Conta da AWS B usando uma política de recursos semelhante ao exemplo a seguir:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Clean-Rooms-CAMA-ID",
"Effect": "Allow",
"Principal": {
"AWS": [
"111122223333"
]
},
"Action": [
"cleanrooms-ml:StartAudienceGenerationJob"
],
"Resource": [
"arn:aws:cleanrooms-ml:us-east-1:444455556666:configured-audience-model/id",
"arn:aws:cleanrooms-ml:us-east-1:444455556666:audience-generation-job/*"
],
"Condition":{"StringEquals":{"cleanrooms-ml:CollaborationId":"UUID"}}
}
]
}
```
------
**nota**
Essa política AWS Clean Rooms de recursos de ML faz referência a duas diferentes Conta da AWS IDs para oferecer suporte à geração de público entre contas:
**111122223333** - Essa é a conta que contém o principal (usuário, função ou serviço) autorizado a iniciar trabalhos de geração de público. Essa conta inicia o fluxo de trabalho de processamento de ML.
**444455556666** - Essa é a conta que possui os recursos de AWS Clean Rooms ML (o modelo de público configurado e os trabalhos de geração de público). Essa conta hospeda os modelos de ML e gerencia a execução do trabalho.
**Notas adicionais de configuração:**
**ID da declaração (Sid)**: `CAMA-ID` substitua pelo identificador real do AWS Clean Rooms Audience Model Application (CAMA) para tornar a declaração de política facilmente identificável.
**Recurso IDs**: *id* substitua pela ID real do seu modelo de público *UUID* configurado e pela sua ID de colaboração específica.
**Condição**: A `cleanrooms-ml:CollaborationId` condição garante que os trabalhos de geração de público só possam ser iniciados dentro do contexto da AWS Clean Rooms colaboração especificada, fornecendo um limite de segurança adicional.
Essa configuração entre contas permite cenários em que uma organização gerencia os modelos e a infraestrutura de ML, permitindo que parceiros autorizados iniciem processos de geração de público dentro dos limites de seu contrato de colaboração.
Se você usa a [API de ML do AWS Clean Rooms](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/Welcome.html) para criar um modelo semelhante configurado com `manageResourcePolicies` definido como verdadeiro, AWS Clean Rooms cria essa política para você.
Além disso, a política de identidade do chamador em A precisa Conta da AWS de `StartAudienceGenerationJob` permissão ativada`arn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/*`. Portanto, há três recursos do IAM para ação`StartAudienceGenerationJob`: o Conta da AWS trabalho A, o trabalho Conta da AWS Conta da AWS B e o `ConfiguredAudienceModel` B.
**Atenção**
A Conta da AWS pessoa que iniciou o trabalho recebe um evento AWS CloudTrail de registro de auditoria sobre o trabalho. A Conta da AWS proprietária de `ConfiguredAudienceModel` não recebe um evento de logs de auditoria do AWS CloudTrail .
## Marcação de trabalhos
Quando você define o parâmetro `childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE` de `CreateConfiguredAudienceModel`, todos os trabalhos de geração de segmentos de semelhanças em sua conta que são criados com base nesse modelo de semelhanças configurado têm como padrão as mesmas tags do modelo de semelhanças configurado. O modelo de semelhanças configurado é o pai e o trabalho de geração do segmento de semelhanças é o filho.
Se você estiver criando um trabalho em sua própria conta, as tags de solicitação do trabalho substituirão as tags pais. Os trabalhos criados por outras contas nunca criam tags em sua conta. Se você definir `childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE` e outra conta criar um trabalho, haverá duas cópias do trabalho. A cópia na sua conta tem as tags do recurso pai e a cópia na conta do remetente do trabalho tem as tags da solicitação.
## Validar colaboradores
Ao conceder permissões a outros membros de uma AWS Clean Rooms colaboração, a política de recursos deve incluir a chave `cleanrooms-ml:CollaborationId` de condição. Isso faz com que o `collaborationId` parâmetro seja incluído na [StartAudienceGenerationJob](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_StartAudienceGenerationJob.html)solicitação. Quando o parâmetro `collaborationId` é incluído na solicitação, o Clean Rooms ML confirma que a colaboração existe, o remetente do trabalho é um membro ativo da colaboração e o proprietário do modelo de semelhanças configurado é um membro ativo da colaboração.
Quando AWS Clean Rooms gerencia sua política de recursos de modelo semelhante configurada (o `manageResourcePolicies` parâmetro está sendo `TRUE` [CreateConfiguredAudienceModelAssociation solicitado](https://docs.aws.amazon.com/clean-rooms/latest/apireference/API_CreateConfiguredAudienceModelAssociation.html)), essa chave de condição será definida na política de recursos. Portanto, você deve especificar a `collaborationId` entrada [StartAudienceGenerationJob](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_StartAudienceGenerationJob.html).
## Acesso entre contas
Só `StartAudienceGenerationJob` pode ser chamado em várias contas. Todos os outros Clean Rooms ML só APIs podem ser usados com recursos em sua própria conta. Isso garante que seus dados de treinamento, configuração de modelo de semelhanças e outras informações permaneçam privadas.
O Clean Rooms ML nunca revela o Amazon S3 ou AWS Glue localizações em todas as contas. O local dos dados de treinamento, o local de saída do modelo de semelhanças configurado e o local de seed do trabalho de geração de segmentos de semelhanças nunca são visíveis em todas as contas. A menos que o registro em log de consultas esteja habilitado na colaboração, não é possível visualizar nas contas se os dados iniciais provêm de uma consulta SQL, bem como a consulta em si. Se você usar `Get` em um trabalho de geração de público enviado por outra conta, o serviço não mostrará o local de seed.
# Comportamentos do IAM para modelos personalizados de ML de salas limpas
## Trabalhos entre contas
O Clean Rooms ML permite que determinados recursos associados a uma colaboração criada por um Conta da AWS sejam acessados com segurança em sua conta por outro. Conta da AWS Um cliente em A com a capacidade de Conta da AWS um membro executar consultas pode chamar `CreateTrainedModel` ou `StartTrainedModelInferenceJob` usar um `ConfiguredModelAlgorithmAssociation` recurso de propriedade de outro membro da colaboração, desde que `ConfiguredModelAlgorithmAssociation` seja permitido pela regra de análise personalizada criada com`CreateConfiguredTableAnalysisRule`. `CreateMLInputChannel`
Além disso, qualquer membro ativo de uma colaboração pode excluir dados associados a um modelo treinado ou canal de entrada de ML por meio do `DeleteTrainedModelOutput` `DeleteMLInputChannelData` APIs e.
## Acesso entre contas
O Clean Rooms ML permite que os usuários recuperem metadados sobre recursos criados por outras contas por meio do e. `GetCollaboration` `ListCollaboration` APIs O Clean Rooms ML não revela chaves ARNs, tags, variáveis de ambiente ou hiperparâmetros do KMS (para a `TrainedModel` ação) para outras contas.
## Acesso à associação e colaboração
Ao acessar recursos de associação e colaboração no contexto dos modelos personalizados do Clean Rooms ML, a política de identidade do usuário precisa de permissões para as ações `cleanrooms:PassMembership``cleanrooms:PassCollaboration`, ou ambas. Todos os APIs que aceitam `membershipId` precisam da `cleanrooms:PassMembership` permissão, e todos os APIs que aceitam `collaborationId` precisam da `cleanrooms:PassCollaboration` permissão. Um exemplo de política de identidade para uma função que pode ser chamada `createTrainedModel` no contexto de uma ID de associação que pode ser chamada `GetCollaborationTrainedModel` no contexto de uma ID de colaboração é fornecida.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCleanroomsMLActions",
"Effect": "Allow",
"Action": [
"cleanrooms:PassCollaboration",
"cleanrooms:PassMembership"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowMembershipAccess",
"Effect": "Allow",
"Action": [
"cleanrooms:GetMembership"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/memberId"
]
},
{
"Sid": "AllowCollaborationAccess",
"Effect": "Allow",
"Action": [
"cleanrooms:GetCollaboration"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:collaboration/collaborationId"
]
}
]
}
```
------