AWS 的托管策略 AWS Clean Rooms - AWS Clean Rooms
AWSCleanRoomsReadOnlyAccessAWSCleanRoomsFullAccessAWSCleanRoomsFullAccessNoQueryingAWSCleanRoomsMLReadOnlyAccessAWSCleanRoomsMLFullAccess策略更新

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 的托管策略 AWS Clean Rooms

AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。

有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管策略

AWS 托管策略:AWSCleanRoomsReadOnlyAccess

您可以将 AWSCleanRoomsReadOnlyAccess 附加到 IAM 主体。

该策略授予 AWSCleanRoomsReadOnlyAccess 协作中的资源和元数据的只读权限。

权限详细信息

该策略包含以下权限:

  • CleanRoomsRead - 允许主体对服务进行只读访问。

  • ConsoleDisplayTables— 允许委托人对在控制台上显示有关基础 AWS Glue 表的数据所需的 AWS Glue 元数据的只读访问权限。

  • ConsoleLogSummaryQueryLogs - 允许主体查看查询日志。

  • ConsoleLogSummaryObtainLogs - 允许主体检索日志结果。

有关策略详细信息的 JSON 列表,请参阅AWSCleanRoomsReadOnlyAccessAWS 托管策略参考指南》

AWS 托管策略:AWSCleanRoomsFullAccess

您可以将 AWSCleanRoomsFullAccess 附加到 IAM 主体。

此策略授予管理权限,允许对 AWS Clean Rooms 协作中的资源和元数据进行完全访问(读取、写入和更新)。此策略包括执行查询的权限。

权限详细信息

该策略包含以下权限:

  • CleanRoomsAccess— 授予对所有资源执行所有操作的完全访问权限 AWS Clean Rooms。

  • PassServiceRole - 仅授予将服务角色传递给名称中带有“cleanrooms”的服务(PassedToService 条件)的访问权限。

  • ListRolesToPickServiceRole— 允许委托人列出其所有角色以便在使用 AWS Clean Rooms时选择服务角色。

  • GetRoleAndListRolePoliciesToInspectServiceRole - 允许主体在 IAM 中查看服务角色和相应的策略。

  • ListPoliciesToInspectServiceRolePolicy - 允许主体在 IAM 中查看服务角色和相应的策略。

  • GetPolicyToInspectServiceRolePolicy - 允许主体在 IAM 中查看服务角色和相应的策略。

  • ConsoleDisplayTables— 允许委托人对在控制台上显示有关基础 AWS Glue 表的数据所需的 AWS Glue 元数据的只读访问权限。

  • ConsolePickQueryResultsBucketListAll - 允许主体从查询结果写入的所有可用 S3 存储桶的列表中选择一个 Amazon S3 存储桶。

  • SetQueryResultsBucket - 允许主体选择查询结果写入的 S3 存储桶。

  • ConsoleDisplayQueryResults - 允许主体向客户显示从 S3 存储桶读取的查询结果。

  • WriteQueryResults - 允许主体将查询结果写入客户拥有的 S3 存储桶。

  • EstablishLogDeliveries— 允许委托人将查询日志传送到客户的 Amazon Lo CloudWatch gs 日志组。

  • SetupLogGroupsDescribe— 允许委托人使用 Amazon Logs CloudWatch 日志组的创建流程。

  • SetupLogGroupsCreate— 允许委托人创建 Amazon CloudWatch 日志组。

  • SetupLogGroupsResourcePolicy— 允许委托人在 Amazon Logs CloudWatch 日志组上设置资源策略。

  • ConsoleLogSummaryQueryLogs - 允许主体查看查询日志。

  • ConsoleLogSummaryObtainLogs - 允许主体检索日志结果。

有关策略详细信息的 JSON 列表,请参阅AWSCleanRoomsFullAccessAWS 托管策略参考指南》

AWS 托管策略:AWSCleanRoomsFullAccessNoQuerying

您可以将 AWSCleanRoomsFullAccessNoQuerying 附加到 IAM principals。

此策略授予管理权限,允许对 AWS Clean Rooms 协作中的资源和元数据进行完全访问(读取、写入和更新)。此策略不包括执行查询的权限。

权限详细信息

该策略包含以下权限:

  • CleanRoomsAccess— 授予对所有资源执行所有操作的完全访问权限 AWS Clean Rooms,协作中查询除外。

  • CleanRoomsNoQuerying - 明确拒绝 StartProtectedQueryUpdateProtectedQuery,阻止查询。

  • PassServiceRole - 仅授予将服务角色传递给名称中带有“cleanrooms”的服务(PassedToService 条件)的访问权限。

  • ListRolesToPickServiceRole— 允许委托人列出其所有角色以便在使用 AWS Clean Rooms时选择服务角色。

  • GetRoleAndListRolePoliciesToInspectServiceRole - 允许主体在 IAM 中查看服务角色和相应的策略。

  • ListPoliciesToInspectServiceRolePolicy - 允许主体在 IAM 中查看服务角色和相应的策略。

  • GetPolicyToInspectServiceRolePolicy - 允许主体在 IAM 中查看服务角色和相应的策略。

  • ConsoleDisplayTables— 允许委托人对在控制台上显示有关基础 AWS Glue 表的数据所需的 AWS Glue 元数据的只读访问权限。

  • EstablishLogDeliveries— 允许委托人将查询日志传送到客户的 Amazon Lo CloudWatch gs 日志组。

  • SetupLogGroupsDescribe— 允许委托人使用 Amazon Logs CloudWatch 日志组的创建流程。

  • SetupLogGroupsCreate— 允许委托人创建 Amazon CloudWatch 日志组。

  • SetupLogGroupsResourcePolicy— 允许委托人在 Amazon Logs CloudWatch 日志组上设置资源策略。

  • ConsoleLogSummaryQueryLogs - 允许主体查看查询日志。

  • ConsoleLogSummaryObtainLogs - 允许主体检索日志结果。

  • cleanrooms - 管理 AWS Clean Rooms 服务中的协作、分析模板、配置表、成员身份和关联资源。执行各种操作,例如创建、更新、删除、列出和检索有关这些资源的信息。

  • iam— 将名称包含 “cleanrooms” 的服务角色传递给 AWS Clean Rooms 服务。列出角色、策略,并检查服务角色和与 AWS Clean Rooms 服务相关的策略。

  • glue— 从中检索有关数据库、表、分区和架构的信息。 AWS Glue这是 AWS Clean Rooms 服务显示底层数据源并与之交互所必需的。

  • logs— 管理日志传送、日志组和 CloudWatch 日志资源策略。查询和检索与 AWS Clean Rooms 服务相关的日志。对于在服务中进行监控、审计和故障排除,必须具备这些权限。

该策略还明确拒绝 cleanrooms:StartProtectedQuerycleanrooms:UpdateProtectedQuery 操作,以防用户直接执行或更新受保护的查询,这些操作应当通过 AWS Clean Rooms 受控机制完成。

有关策略详细信息的 JSON 列表,请参阅AWSCleanRoomsFullAccessNoQueryingAWS 托管策略参考指南》

AWS 托管策略:AWSCleanRoomsMLReadOnlyAccess

您可以将 AWSCleanRoomsMLReadOnlyAccess 附加到 IAM 主体。

该策略授予 AWSCleanRoomsMLReadOnlyAccess 协作中的资源和元数据的只读权限。

该策略包含以下权限:

  • CleanRoomsConsoleNavigation— 授予查看 AWS Clean Rooms 控制台屏幕的权限。

  • CleanRoomsMLRead - 允许 Clean Rooms ML 对服务进行只读访问。

  • PassCleanRoomsResources— 授予传递指定 AWS Clean Rooms 资源的访问权限。

有关策略详细信息的 JSON 列表,请参阅AWSClean《AWS 托管策略参考指南》MLReadOnlyAccess中的 Rooms

AWS 托管策略:AWSCleanRoomsMLFullAccess

您可以将 AWSCleanRoomsMLFullAcces 附加到 IAM 主体。该策略授予管理权限,以允许对 Clean Rooms ML 所需的资源和元数据进行完全访问(读取、写入和更新)。

权限详细信息

该策略包含以下权限:

  • CleanRoomsMLFullAccess - 授予所有 Clean Rooms ML 操作的访问权限。

  • PassServiceRole - 仅授予将服务角色传递给名称中带有“cleanrooms-ml”的服务(PassedToService 条件)的访问权限。

  • CleanRoomsConsoleNavigation— 授予查看 AWS Clean Rooms 控制台屏幕的权限。

  • CollaborationMembershipCheck— 当您在协作中启动受众生成(相似区段)工作时,Clean Rooms ML 服务会调用ListMembers以检查协作是否有效,来电者是否为活跃成员,配置的受众模型所有者是否为活跃成员。始终需要该权限;仅控制台用户需要控制台导航 SID。

  • PassCleanRoomsResources— 授予传递指定 AWS Clean Rooms 资源的访问权限。

  • AssociateModels - 允许主体将 Clean Rooms ML 模型与您的协作相关联。

  • TagAssociations - 允许主体将标签添加到相似模型和协作之间的关联中。

  • ListRolesToPickServiceRole— 允许委托人列出其所有角色以便在使用 AWS Clean Rooms时选择服务角色。

  • GetRoleAndListRolePoliciesToInspectServiceRole - 允许主体在 IAM 中查看服务角色和相应的策略。

  • ListPoliciesToInspectServiceRolePolicy - 允许主体在 IAM 中查看服务角色和相应的策略。

  • GetPolicyToInspectServiceRolePolicy - 允许主体在 IAM 中查看服务角色和相应的策略。

  • ConsoleDisplayTables— 允许委托人对在控制台上显示有关基础 AWS Glue 表的数据所需的 AWS Glue 元数据的只读访问权限。

  • ConsolePickOutputBucket - 允许主体为配置的受众模型输出选择 Amazon S3 存储桶。

  • ConsolePickS3Location - 允许主体为配置的受众模型输出选择存储桶中的位置。

  • ConsoleDescribeECRRepositories— 允许委托人描述 Amazon ECR 存储库和映像。

有关策略详细信息的 JSON 列表,请参阅《AWS 托管策略参考指南》中的AWSClean房间MLFull访问权限

AWS Clean RoomsAWS 托管策略的更新

查看 AWS Clean Rooms 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ AWS Clean Rooms 文档历史记录” 页面上的 RSS feed。

更改 描述 日期

AWSCleanRoomsMLReadOnlyAccess – 对现有策略的更新

AWSCleanRoomsMLFullAccess - 对现有策略的更新

已将 PassCleanRoomsResources 添加到 AWSCleanRoomsMLReadOnlyAccess。已将 PassCleanRoomsResources 和 ConsoleDescribeECRRepositories 添加到 AWSCleanRoomsMLFullAccess。

 2025 年 1 月 10 日
AWSCleanRoomsFullAccessNoQuerying - 对现有策略的更新 已将 cleanrooms:BatchGetSchemaAnalysisRule 添加到 CleanRoomsAccess。 2024 年 5 月 13 日
AWSCleanRoomsFullAccess - 对现有策略的更新 在此策略中将 AWSCleanRoomsFullAccess 中的语句 ID 从 ConsolePickQueryResultsBucket 更新为 SetQueryResultsBucket,以更好地表示权限,因为无论使用控制台还是不使用控制台,都需要这些权限来设置查询结果存储桶。 2024 年 3 月 21 日

AWSCleanRoomsMLReadOnlyAccess - 新策略

AWSCleanRoomsMLFullAccess - 新策略

添加AWSCleanRoomsMLReadOnlyAccess并AWSCleanRoomsMLFullAccess支持 AWS Clean Rooms ML。

 2023 年 11 月 29 日
AWSCleanRoomsFullAccessNoQuerying - 对现有策略的更新 向 CleanRoomsAccess 添加了 cleanrooms:CreateAnalysisTemplate、cleanrooms:GetAnalysisTemplate、cleanrooms:UpdateAnalysisTemplate、 cleanrooms:DeleteAnalysisTemplate、cleanrooms:ListAnalysisTemplates、cleanrooms:GetCollaborationAnalysisTemplate、cleanrooms:BatchGetCollaborationAnalysisTemplate 和 cleanrooms:ListCollaborationAnalysisTemplates,以启用新的分析模板特征。 2023 年 7 月 31 日
AWSCleanRoomsFullAccessNoQuerying - 对现有策略的更新 向 CleanRoomsAccess 添加了 cleanrooms:ListTagsForResource、cleanrooms:UntagResource 和 cleanrooms:TagResource,以启用资源标记。 2023 年 3 月 21 日

AWS Clean Rooms 已开始跟踪更改

AWS Clean Rooms 开始跟踪其 AWS 托管策略的更改。

 2023 年 1 月 12 日