Clean Rooms ML 自訂模型的 IAM 行為 - AWS Clean Rooms
跨帳戶任務跨帳戶存取權成員資格和協同合作存取權

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Clean Rooms ML 自訂模型的 IAM 行為

跨帳戶任務

Clean Rooms ML 允許與某個 建立的協同合作相關聯的特定資源, AWS 帳戶 由另一個 在其帳戶中安全地存取 AWS 帳戶。具有成員執行查詢能力的 AWS 帳戶 A 中的用戶端可以在協同合作中另一個成員擁有ConfiguredModelAlgorithmAssociation的資源StartTrainedModelInferenceJob上呼叫 CreateMLInputChannel、 或 ,前提是使用 CreateTrainedModel建立的自訂分析規則ConfiguredModelAlgorithmAssociation允許 CreateConfiguredTableAnalysisRule

此外,協同合作的任何作用中成員都可以透過 DeleteTrainedModelOutputDeleteMLInputChannelData APIs 刪除與訓練模型或 ML 輸入通道相關聯的資料。

跨帳戶存取權

Clean Rooms ML 允許使用者擷取其他帳戶透過 GetCollaborationListCollaboration APIs中繼資料。Clean Rooms ML 不會向其他帳戶顯示 KMS 金鑰 ARNs、標籤、環境變數或超參數 (適用於 TrainedModel動作)。

成員資格和協同合作存取權

在 Clean Rooms ML 自訂模型的內容中存取成員資格和協同合作資源時,使用者的身分政策需要動作 cleanrooms:PassMembershipcleanrooms:PassCollaboration或兩者的許可。接受的所有 APIsmembershipId都需要 cleanrooms:PassMembership許可,接受的所有 APIscollaborationId都需要 cleanrooms:PassCollaboration許可。提供可在成員 ID 內容createTrainedModel中呼叫之角色的身分政策範例,該角色可在協作 ID 內容GetCollaborationTrainedModel中呼叫。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCleanroomsMLActions",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:PassCollaboration",
                "cleanrooms:PassMembership"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowMembershipAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetMembership"
            ],
            "Resource": [
                "arn:aws:cleanrooms:us-east-1:111122223333:membership/memberId"
            ]
        },
        {
            "Sid": "AllowCollaborationAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaboration"
            ],
            "Resource": [
                "arn:aws:cleanrooms:us-east-1:111122223333:collaboration/collaborationId"
            ]
        }
    ]
}