本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 AWS Clean Rooms ML 设置服务角色
执行相似建模所需的角色与使用自定义模型所需的角色不同。以下各节描述了执行每项任务所需的角色。
为相似建模设置服务角色
创建服务角色以读取训练数据
AWS Clean Rooms使用服务角色读取训练数据。如果您具有必要的 IAM 权限,则可以使用控制台创建此角色。如果您不具备 CreateRole 权限,请要求您的管理员创建服务角色。
创建服务角色以训练数据集
-
使用您的管理员账户登录 IAM 控制台 (https://console.aws.amazon.com/iam/
)。 -
在访问管理下,选择策略。
-
选择创建策略。
-
在策略编辑器中,选择 JSON 选项卡,然后复制粘贴以下策略。
注意
以下示例策略支持读取AWS Glue元数据及其相应的 Amazon S3 数据所需的权限。但是,您可能需要修改此策略,具体取决于您设置 S3 数据的方式。该策略不包含用于解密数据的 KMS 密钥。
您的AWS Glue资源和底层 Amazon S3 资源必须与AWS Clean Rooms协作AWS 区域相同。
如果您需要使用 KMS 密钥解密数据,请将以下 AWS KMS 语句添加到之前的模板中:
{ "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
用你自己的信息替换每一个
placeholder信息:-
region- AWS 区域 的名称。例如us-east-1。 -
accountId— S3 存储桶所在的 AWS 账户 ID。 -
database/databasestable/databases/tables、catalog、和database/default— AWS Clean Rooms 需要访问的训练数据的位置。 -
bucket— S3 存储桶的亚马逊资源名称 (ARN)。Amazon 资源名称 (ARN) 可在 Amazon S3 存储桶的属性选项卡上找到。 -
bucketFolders— S3 存储桶中AWS Clean Rooms需要访问的特定文件夹的名称。
-
-
选择下一步。
-
对于查看并创建,输入策略名称和描述,然后查看摘要。
-
选择创建策略。
您已经为创建了策略AWS Clean Rooms。
-
在 Access management(访问管理)下,请选择 Roles(角色)。
通过使用角色,您可以创建短期凭证,建议这样做以提高安全性。您也可以选择用户来创建长期凭证。
-
选择创建角色。
-
在创建角色向导中,对于可信实体类型,选择自定义信任策略。
-
将以下自定义信任策略复制粘贴到 JSON 编辑器中。
永远
SourceAccount是你的AWS 账户。可以将SourceArn限制为特定的训练数据集,但仅在创建该数据集之后。由于您还不知道训练数据集 ARN,因此在此处指定了通配符。accountId是AWS 账户包含训练数据的 ID。 -
选择下一步,在添加权限下面,输入您刚刚创建的策略的名称。(您可能需要重新加载页面。)
-
选中您创建的策略旁边的复选框,然后选择下一步。
-
对于命名、查看和创建,输入角色名称和描述。
注意
角色名称必须与授予可以查询和接收结果的成员和成员角色的
passRole权限中的模式相匹配。-
查看选择受信任的实体,并在必要时进行编辑。
-
在添加权限中查看权限,并在必要时进行编辑。
-
查看标签,并在必要时添加标签。
-
选择创建角色。
-
您已经为创建了服务角色AWS Clean Rooms。
创建服务角色以写入相似细分
AWS Clean Rooms使用服务角色将相似的区段写入存储桶。如果您具有必要的 IAM 权限,则可以使用控制台创建此角色。如果您不具备 CreateRole 权限,请要求您的管理员创建服务角色。
创建服务角色以写入相似细分
-
使用您的管理员账户登录 IAM 控制台 (https://console.aws.amazon.com/iam/
)。 -
在访问管理下,选择策略。
-
选择创建策略。
-
在策略编辑器中,选择 JSON 选项卡,然后复制粘贴以下策略。
注意
以下示例策略支持读取AWS Glue元数据及其相应的 Amazon S3 数据所需的权限。但是,根据您设置 Amazon S3 数据的方式,您可能需要修改此政策。该策略不包含用于解密数据的 KMS 密钥。
您的AWS Glue资源和底层 Amazon S3 资源必须与AWS Clean Rooms协作AWS 区域相同。
如果您需要使用 KMS 密钥加密数据,请将以下 AWS KMS 语句添加到模板中:
{ "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
用你自己的信息替换每一个
placeholder信息:-
buckets— S3 存储桶的亚马逊资源名称 (ARN)。Amazon 资源名称 (ARN) 可在 Amazon S3 存储桶的属性选项卡上找到。 -
accountId— S3 存储桶所在的 AWS 账户 ID。 -
bucketFolders— S3 存储桶中AWS Clean Rooms需要访问的特定文件夹的名称。 -
region- AWS 区域 的名称。例如us-east-1。 -
keyId— 加密数据所需的 KMS 密钥。
-
-
选择下一步。
-
对于查看并创建,输入策略名称和描述,然后查看摘要。
-
选择创建策略。
您已经为创建了策略AWS Clean Rooms。
-
在 Access management(访问管理)下,请选择 Roles(角色)。
通过使用角色,您可以创建短期凭证,建议这样做以提高安全性。您也可以选择用户来创建长期凭证。
-
选择创建角色。
-
在创建角色向导中,对于可信实体类型,选择自定义信任策略。
-
将以下自定义信任策略复制粘贴到 JSON 编辑器中。
永远
SourceAccount是你的AWS 账户。可以将SourceArn限制为特定的训练数据集,但仅在创建该数据集之后。由于您还不知道训练数据集 ARN,因此在此处指定了通配符。 -
选择下一步。
-
选中您创建的策略旁边的复选框,然后选择下一步。
-
对于命名、查看和创建,输入角色名称和描述。
注意
角色名称必须与授予可以查询和接收结果的成员和成员角色的
passRole权限中的模式相匹配。-
查看选择受信任的实体,并在必要时进行编辑。
-
在添加权限中查看权限,并在必要时进行编辑。
-
查看标签,并在必要时添加标签。
-
选择创建角色。
-
您已经为创建了服务角色AWS Clean Rooms。
创建服务角色以读取种子数据
AWS Clean Rooms使用服务角色读取种子数据。如果您具有必要的 IAM 权限,则可以使用控制台创建此角色。如果您不具备 CreateRole 权限,请要求您的管理员创建服务角色。
创建服务角色以读取存储在 S3 存储桶中的种子数据。
-
使用您的管理员账户登录 IAM 控制台 (https://console.aws.amazon.com/iam/
)。 -
在访问管理下,选择策略。
-
选择 Create policy (创建策略)。
-
在策略编辑器中,选择 JSON 选项卡,然后复制粘贴以下策略之一。
注意
以下示例策略支持读取AWS Glue元数据及其相应的 Amazon S3 数据所需的权限。但是,根据您设置 Amazon S3 数据的方式,您可能需要修改此政策。该策略不包含用于解密数据的 KMS 密钥。
您的AWS Glue资源和底层 Amazon S3 资源必须与AWS Clean Rooms协作AWS 区域相同。
注意
以下示例策略支持读取 SQL 查询结果并将其用作输入数据所需的权限。但是,您可能需要修改此策略,具体取决于查询的结构。该策略不包含用于解密数据的 KMS 密钥。
如果您需要使用 KMS 密钥解密数据,请将以下 AWS KMS 语句添加到模板中:
{ "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
用你自己的信息替换每一个
placeholder信息:-
buckets— S3 存储桶的亚马逊资源名称 (ARN)。Amazon 资源名称 (ARN) 可在 Amazon S3 存储桶的属性选项卡上找到。 -
accountId— S3 存储桶所在的 AWS 账户 ID。 -
bucketFolders— S3 存储桶中AWS Clean Rooms需要访问的特定文件夹的名称。 -
region- AWS 区域 的名称。例如us-east-1。 -
queryRunnerAccountId— 将运行查询的账户的 AWS 账户 ID。 -
queryRunnerMembershipId— 可以查询的成员的会员 ID。可以在协作的详细信息选项卡上找到成员身份 ID。这样可以确保AWS Clean Rooms只有当该成员在此协作中运行分析时才担任该角色。 -
keyId— 加密数据所需的 KMS 密钥。
-
-
选择下一步。
-
对于查看并创建,输入策略名称和描述,然后查看摘要。
-
选择创建策略。
您已经为创建了策略AWS Clean Rooms。
-
在 Access management(访问管理)下,请选择 Roles(角色)。
通过使用角色,您可以创建短期凭证,建议这样做以提高安全性。您也可以选择用户来创建长期凭证。
-
选择创建角色。
-
在创建角色向导中,对于可信实体类型,选择自定义信任策略。
-
将以下自定义信任策略复制粘贴到 JSON 编辑器中。
永远
SourceAccount是你的AWS 账户。可以将SourceArn限制为特定的训练数据集,但仅在创建该数据集之后。由于您还不知道训练数据集 ARN,因此在此处指定了通配符。 -
选择下一步。
-
选中您创建的策略旁边的复选框,然后选择下一步。
-
对于命名、查看和创建,输入角色名称和描述。
注意
角色名称必须与授予可以查询和接收结果的成员和成员角色的
passRole权限中的模式相匹配。-
查看选择受信任的实体,并在必要时进行编辑。
-
在添加权限中查看权限,并在必要时进行编辑。
-
查看标签,并在必要时添加标签。
-
选择创建角色。
-
您已经为创建了服务角色AWS Clean Rooms。
为自定义建模设置服务角色
为自定义 ML 建模创建服务角色-机器学习配置
AWS Clean Rooms使用服务角色来控制谁可以创建自定义 ML 配置。如果您具有必要的 IAM 权限,则可以使用控制台创建此角色。如果您不具备 CreateRole 权限,请要求您的管理员创建服务角色。
此角色允许您使用 Pu t MLConfiguration 操作。
创建服务角色以允许创建自定义 ML 配置
-
使用您的管理员账户登录 IAM 控制台 (https://console.aws.amazon.com/iam/
)。 -
在访问管理下,选择策略。
-
选择创建策略。
-
在策略编辑器中,选择 JSON 选项卡,然后复制粘贴以下策略。
注意
以下示例策略支持访问和向 S3 存储桶写入数据以及发布 CloudWatch 指标所需的权限。但是,根据您设置 Amazon S3 数据的方式,您可能需要修改此政策。该策略不包含用于解密数据的 KMS 密钥。
您的 Amazon S3 资源必须与AWS Clean Rooms协作资源AWS 区域相同。
-
用你自己的信息替换每一个
placeholder信息:-
bucket— S3 存储桶的亚马逊资源名称 (ARN)。Amazon 资源名称 (ARN) 可在 Amazon S3 存储桶的属性选项卡上找到。 -
region- AWS 区域 的名称。例如us-east-1。 -
accountId— S3 存储桶所在的 AWS 账户 ID。 -
keyId— 加密数据所需的 KMS 密钥。
-
-
选择下一步。
-
对于查看并创建,输入策略名称和描述,然后查看摘要。
-
选择创建策略。
您已经为创建了策略AWS Clean Rooms。
-
在 Access management(访问管理)下,请选择 Roles(角色)。
通过使用角色,您可以创建短期凭证,建议这样做以提高安全性。您也可以选择用户来创建长期凭证。
-
选择创建角色。
-
在创建角色向导中,对于可信实体类型,选择自定义信任策略。
-
将以下自定义信任策略复制粘贴到 JSON 编辑器中。
永远
SourceAccount是你的AWS 账户。可以将SourceArn限制为特定的训练数据集,但仅在创建该数据集之后。由于您还不知道训练数据集 ARN,因此在此处指定了通配符。 -
选择下一步。
-
选中您创建的策略旁边的复选框,然后选择下一步。
-
对于命名、查看和创建,输入角色名称和描述。
注意
角色名称必须与授予可以查询和接收结果的成员和成员角色的
passRole权限中的模式相匹配。-
查看选择受信任的实体,并在必要时进行编辑。
-
在添加权限中查看权限,并在必要时进行编辑。
-
查看标签,并在必要时添加标签。
-
选择创建角色。
-
您已经为创建了服务角色AWS Clean Rooms。
创建服务角色以提供自定义 ML 模型
AWS Clean Rooms使用服务角色来控制谁可以创建自定义 ML 模型算法。如果您具有必要的 IAM 权限,则可以使用控制台创建此角色。如果您不具备 CreateRole 权限,请要求您的管理员创建服务角色。
此角色允许您使用CreateConfiguredModelAlgorithm操作。
创建服务角色以允许成员提供自定义 ML 模型
-
使用您的管理员账户登录 IAM 控制台 (https://console.aws.amazon.com/iam/
)。 -
在访问管理下,选择策略。
-
选择创建策略。
-
在策略编辑器中,选择 JSON 选项卡,然后复制粘贴以下策略。
注意
以下示例策略支持检索包含模型算法的 docker 镜像所需的权限。但是,根据您设置 Amazon S3 数据的方式,您可能需要修改此政策。该策略不包含用于解密数据的 KMS 密钥。
您的 Amazon S3 资源必须与AWS Clean Rooms协作资源AWS 区域相同。
-
用你自己的信息替换每一个
placeholder信息:-
region- AWS 区域 的名称。例如us-east-1。 -
accountId— S3 存储桶所在的 AWS 账户 ID。 -
repoName— 包含您的数据的存储库的名称。
-
-
选择下一步。
-
对于查看并创建,输入策略名称和描述,然后查看摘要。
-
选择创建策略。
您已经为创建了策略AWS Clean Rooms。
-
在 Access management(访问管理)下,请选择 Roles(角色)。
通过使用角色,您可以创建短期凭证,建议这样做以提高安全性。您也可以选择用户来创建长期凭证。
-
选择创建角色。
-
在创建角色向导中,对于可信实体类型,选择自定义信任策略。
-
将以下自定义信任策略复制粘贴到 JSON 编辑器中。
始终
SourceAccount是你AWS 账户的。SourceArn可以仅限于特定的训练数据集,但只能在创建该数据集之后。由于您还不知道训练数据集 ARN,因此在此处指定了通配符。 -
选择下一步。
-
选中您创建的策略旁边的复选框,然后选择下一步。
-
对于命名、查看和创建,输入角色名称和描述。
注意
角色名称必须与授予可以查询和接收结果的成员和成员角色的
passRole权限中的模式相匹配。-
查看选择受信任的实体,并在必要时进行编辑。
-
在添加权限中查看权限,并在必要时进行编辑。
-
查看标签,并在必要时添加标签。
-
选择创建角色。
-
您已经为创建了服务角色AWS Clean Rooms。
创建服务角色来查询数据集
AWS Clean Rooms使用服务角色来控制谁可以查询将用于自定义 ML 建模的数据集。如果您具有必要的 IAM 权限,则可以使用控制台创建此角色。如果您不具备 CreateRole 权限,请要求您的管理员创建服务角色。
此角色允许您使用 “创建MLInput频道” 操作。
创建服务角色以允许成员查询数据集
-
使用您的管理员账户登录 IAM 控制台 (https://console.aws.amazon.com/iam/
)。 -
在访问管理下,选择策略。
-
选择创建策略。
-
在策略编辑器中,选择 JSON 选项卡,然后复制粘贴以下策略。
注意
以下示例策略支持查询将用于自定义 ML 建模的数据集所需的权限。但是,根据您设置 Amazon S3 数据的方式,您可能需要修改此政策。该策略不包含用于解密数据的 KMS 密钥。
您的 Amazon S3 资源必须与AWS Clean Rooms协作资源AWS 区域相同。
-
用你自己的信息替换每一个
placeholder信息:-
region- AWS 区域 的名称。例如us-east-1。 -
queryRunnerAccountId— 将运行查询的账户的 AWS 账户 ID。 -
queryRunnerMembershipId— 可以查询的成员的会员 ID。可以在协作的详细信息选项卡上找到成员身份 ID。这样可以确保AWS Clean Rooms只有当该成员在此协作中运行分析时才担任该角色。
-
-
选择下一步。
-
对于查看并创建,输入策略名称和描述,然后查看摘要。
-
选择创建策略。
您已经为创建了策略AWS Clean Rooms。
-
在 Access management(访问管理)下,请选择 Roles(角色)。
通过使用角色,您可以创建短期凭证,建议这样做以提高安全性。您也可以选择用户来创建长期凭证。
-
选择创建角色。
-
在创建角色向导中,对于可信实体类型,选择自定义信任策略。
-
将以下自定义信任策略复制粘贴到 JSON 编辑器中。
始终
SourceAccount是你AWS 账户的。SourceArn可以仅限于特定的训练数据集,但只能在创建该数据集之后。由于您还不知道训练数据集 ARN,因此在此处指定了通配符。 -
选择下一步。
-
选中您创建的策略旁边的复选框,然后选择下一步。
-
对于命名、查看和创建,输入角色名称和描述。
注意
角色名称必须与授予可以查询和接收结果的成员和成员角色的
passRole权限中的模式相匹配。-
查看选择受信任的实体,并在必要时进行编辑。
-
在添加权限中查看权限,并在必要时进行编辑。
-
查看标签,并在必要时添加标签。
-
选择创建角色。
-
您已经为创建了服务角色AWS Clean Rooms。
创建服务角色以创建已配置的表关联
AWS Clean Rooms使用服务角色来控制谁可以创建已配置的表关联。如果您具有必要的 IAM 权限,则可以使用控制台创建此角色。如果您不具备 CreateRole 权限,请要求您的管理员创建服务角色。
此角色允许您使用 CreateConfiguredTableAssociation 操作。
创建服务角色以允许创建已配置的表关联
-
使用您的管理员账户登录 IAM 控制台 (https://console.aws.amazon.com/iam/
)。 -
在访问管理下,选择策略。
-
选择创建策略。
-
在策略编辑器中,选择 JSON 选项卡,然后复制粘贴以下策略。
注意
以下示例策略支持创建已配置的表关联。但是,根据您设置 Amazon S3 数据的方式,您可能需要修改此政策。该策略不包含用于解密数据的 KMS 密钥。
您的 Amazon S3 资源必须与AWS Clean Rooms协作资源AWS 区域相同。
替换占位符资源 ARNs
使用此策略时,必须将占位符资源标识符替换为实际 ARNs 资源的标识符:
-
AWS KMS密钥资源:
KMS-key-ID替换为加密您的 Amazon S3 数据的实际AWS KMS密钥 ID。密钥必须位于拥有目录资源的同一个账户 (111122223333) 中。AWS Glue -
Amazon S3 存储桶资源:
bucket-name替换为包含您的AWS Glue表数据的 Amazon S3 存储桶的实际名称。请注意,Amazon S3 存储桶 ARNs 不包含账户, IDs 因为存储桶名称是全球唯一的。 -
AWS Glue资源:将以下占位符替换为您的实际资源名称:
-
Glue database name-您的AWS Glue数据库名称 -
Glue table name-你的AWS Glue桌子的名字
-
所有AWS Glue资源(目录、数据库和表)必须相同 AWS 账户 (111122223333),以确保访问权限的一致性。此帐户应与拥有用于数据加密的AWS KMS密钥的帐户相同,从而为您的AWS Clean Rooms数据资源创建统一的安全边界。
-
-
用你自己的信息替换每一个
placeholder信息:-
KMS key used to encrypt the Amazon S3 data— 用于加密 Amazon S3 数据的 KMS 密钥。要解密数据,您需要提供用于加密数据的 KMS 密钥。 -
Amazon S3 bucket ofAWS Gluetable— 包含包含您的数据的AWS Glue表的 Amazon S3 存储桶的名称。 -
region- AWS 区域 的名称。例如us-east-1。 -
accountId— 拥有数据的账户的 AWS 账户 ID。 -
AWS Gluedatabase name— 包含您的数据的AWS Glue数据库的名称。 -
AWS Gluetable name-包含您的数据的AWS Glue表的名称。
-
-
选择下一步。
-
对于查看并创建,输入策略名称和描述,然后查看摘要。
-
选择创建策略。
您已经为创建了策略AWS Clean Rooms。
-
在 Access management(访问管理)下,请选择 Roles(角色)。
通过使用角色,您可以创建短期凭证,建议这样做以提高安全性。您也可以选择用户来创建长期凭证。
-
选择创建角色。
-
在创建角色向导中,对于可信实体类型,选择自定义信任策略。
-
将以下自定义信任策略复制粘贴到 JSON 编辑器中。
始终
SourceAccount是你AWS 账户的。SourceArn可以仅限于特定的训练数据集,但只能在创建该数据集之后。由于您还不知道训练数据集 ARN,因此在此处指定了通配符。 -
选择下一步。
-
选中您创建的策略旁边的复选框,然后选择下一步。
-
对于命名、查看和创建,输入角色名称和描述。
注意
角色名称必须与授予可以查询和接收结果的成员和成员角色的
passRole权限中的模式相匹配。-
查看选择受信任的实体,并在必要时进行编辑。
-
在添加权限中查看权限,并在必要时进行编辑。
-
查看标签,并在必要时添加标签。
-
选择创建角色。
-
您已经为创建了服务角色AWS Clean Rooms。
