本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
洁净室机器学习自定义模型的 IAM 行为
Cross-account 工作
Clean Rooms ML 允许另一个人在其帐户中安全地访问与一个人 AWS 账户 创建的协作关联的某些资源 AWS 账户。 AWS 账户 A 中具有成员运行查询能力的客户可以调用CreateTrainedModelCreateMLInputChannel、或StartTrainedModelInferenceJob对协作中其他成员拥有的ConfiguredModelAlgorithmAssociation资源进行调用,前提ConfiguredModelAlgorithmAssociation是使用创建的自定义分析规则允许CreateConfiguredTableAnalysisRule。
此外,协作中的任何活跃成员都可以通过DeleteTrainedModelOutput和 DeleteMLInputChannelData API 删除与经过训练的模型或机器学习输入通道相关的数据。
Cross-account 访问
Clean Rooms ML 允许用户通过GetCollaboration和 ListCollaboration API 检索有关其他账户创建的资源的元数据。Clean Rooms ML 不会向其他账户透露 KMS 密钥 ARN、标签、环境变量或超参数(用于TrainedModel操作)。
成员资格和协作访问权限
在 Clean Rooms ML 自定义模型的上下文中访问成员资格和协作资源时,用户的身份策略需要操作权限 cleanrooms:PassMembershipcleanrooms:PassCollaboration,或两者兼而有之。所有接受的 API 都membershipId需要cleanrooms:PassMembership权限,所有接受的 API 都collaborationId需要该cleanrooms:PassCollaboration权限。提供了一个角色的身份策略示例,该角色可以在成员身份 ID 的上下文GetCollaborationTrainedModel中调用,并且可以在协作 ID 的上下文中进行调用。createTrainedModel
