設定 AWS Clean Rooms ML 的服務角色 - AWS Clean Rooms
設定類似模型的服務角色設定自訂建模的服務角色

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 AWS Clean Rooms ML 的服務角色

執行外觀建模所需的角色與使用自訂模型所需的角色不同。下列各節說明執行每個任務所需的角色。

設定類似模型的服務角色

建立服務角色以讀取訓練資料

AWS Clean Rooms 使用服務角色來讀取訓練資料。如果您有必要的 IAM 許可,您可以使用 主控台建立此角色。如果您沒有CreateRole許可,請要求管理員建立服務角色。

建立服務角色以訓練資料集

  1. 使用您的管理員帳戶登入 IAM 主控台 (https://console.aws.amazon.com/iam/://)。

  2. Access management (存取管理) 下,請選擇 Policies (政策)。

  3. 選擇 Create policy (建立政策)。

  4. 政策編輯器中,選取 JSON 索引標籤,然後複製並貼上下列政策。

    注意

    下列範例政策支援讀取 AWS Glue 中繼資料及其對應 Amazon S3 資料所需的許可。不過,您可能需要根據設定 S3 資料的方式修改此政策。此政策不包含用於解密資料的 KMS 金鑰。

    您的 AWS Glue 資源和基礎 Amazon S3 資源必須與 AWS Clean Rooms 協同合作 AWS 區域 位於相同的 中。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartitions",
                "glue:GetPartition",
                "glue:BatchGetPartition",
                "glue:GetUserDefinedFunctions"
            ],
            "Resource": [
                "arn:aws:glue:us-east-1:111122223333:database/databases",
                "arn:aws:glue:us-east-1:111122223333:table/databases/tables",
                "arn:aws:glue:us-east-1:111122223333:catalog",
                "arn:aws:glue:us-east-1:111122223333:database/default"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase"
            ],
            "Resource": [
                "arn:aws:glue:us-east-1:111122223333:database/default"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::bucket"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": [
                        "111122223333"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": [
                        "111122223333"
                    ]
                }
            }
        }
    ]
}

    如果您需要使用 KMS 金鑰來解密資料,請將此 AWS KMS 陳述式新增至先前的範本:

    {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
    ]
}

  5. 將每個預留位置取代為您自己的資訊:

    • region – 的名稱 AWS 區域。例如 us-east-1

    • accountId – S3 儲存貯體所在的 AWS 帳戶 ID。

    • 資料庫/資料庫table/databases/tables目錄資料庫/預設 – AWS Clean Rooms 需要存取的訓練資料位置。

    • 儲存體 – S3 儲存貯體的 Amazon Resource Name (ARN)。您可以在 Amazon S3 中儲存貯體的屬性索引標籤中找到 Amazon Resource Name (ARN) Amazon S3

    • bucketFolders – AWS Clean Rooms 需要存取的 S3 儲存貯體中特定資料夾的名稱。

  6. 選擇下一步

  7. 針對檢閱和建立,輸入政策名稱描述,然後檢閱摘要

  8. 選擇建立政策

    您已為 建立政策 AWS Clean Rooms。

  9. Access management (存取管理) 下,請選擇 Roles (角色)。

    使用 角色,您可以建立短期登入資料,為提高安全性而建議這麼做。您也可以選擇使用者來建立長期登入資料。

  10. 選擇建立角色

  11. 建立角色精靈中,針對信任的實體類型,選擇自訂信任政策

  12. 將下列自訂信任政策複製並貼到 JSON 編輯器。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": { 
                    "aws:SourceAccount": ["111122223333"]
                },
                "ArnLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:training-dataset/*"
                }
            }
        }
    ]
}

    永遠SourceAccount是您的 AWS 帳戶。SourceArn 可以限制為特定訓練資料集,但僅限於建立該資料集之後。由於您尚不知道訓練資料集 ARN,在此指定萬用字元。

    accountId 是 的 ID AWS 帳戶 ,其中包含訓練資料。

  13. 選擇下一步,然後在新增許可下,輸入您剛建立的政策名稱。(您可能需要重新載入頁面。)

  14. 選取您建立的政策名稱旁的核取方塊,然後選擇下一步

  15. 針對名稱、檢閱和建立,輸入角色名稱描述

    注意

    角色名稱必須符合授予成員passRole許可中的模式,該成員可以查詢和接收結果和成員角色。

    1. 檢閱選取信任的實體,並視需要編輯。

    2. 檢閱新增許可中的許可,並視需要編輯。

    3. 檢閱標籤,並視需要新增標籤。

    4. 選擇建立角色

您已為 建立 服務角色 AWS Clean Rooms。

建立服務角色以撰寫外觀相似的客群

AWS Clean Rooms 使用服務角色將類似區段寫入儲存貯體。如果您有必要的 IAM 許可,您可以使用 主控台建立此角色。如果您沒有CreateRole許可,請要求管理員建立服務角色。

建立服務角色以寫入類似區段

  1. 使用您的管理員帳戶登入 IAM 主控台 (https://console.aws.amazon.com/iam/://)。

  2. Access management (存取管理) 下,請選擇 Policies (政策)。

  3. 選擇 Create policy (建立政策)。

  4. 政策編輯器中,選取 JSON 索引標籤,然後複製並貼上下列政策。

    注意

    下列範例政策支援讀取 AWS Glue 中繼資料及其對應 Amazon S3 資料所需的許可。不過,您可能需要根據設定 Amazon S3 資料的方式修改此政策。此政策不包含用於解密資料的 KMS 金鑰。

    您的 AWS Glue 資源和基礎 Amazon S3 資源必須與 AWS Clean Rooms 協同合作 AWS 區域 位於相同的 中。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
    {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::buckets"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        }
  ]
}

    如果您需要使用 KMS 金鑰來加密資料,請將此 AWS KMS 陳述式新增至範本:

    {
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey*",
                "kms:ReEncrypt*",
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
  ]
}

  5. 使用您自己的資訊取代每個預留位置

    • 儲存貯體 – S3 儲存貯體的 Amazon Resource Name (ARN)。您可以在 Amazon S3 中儲存貯體的屬性索引標籤中找到 Amazon Resource Name (ARN) Amazon S3

    • accountId – S3 儲存貯體所在的 AWS 帳戶 ID。

    • bucketFolders – AWS Clean Rooms 需要存取的 S3 儲存貯體中特定資料夾的名稱。

    • region – 的名稱 AWS 區域。例如 us-east-1

    • keyId – 加密資料所需的 KMS 金鑰。

  6. 選擇下一步

  7. 針對檢閱和建立,輸入政策名稱描述,然後檢閱摘要

  8. 選擇建立政策

    您已為 建立政策 AWS Clean Rooms。

  9. Access management (存取管理) 下,請選擇 Roles (角色)。

    使用 角色,您可以建立短期登入資料,為提高安全性而建議這麼做。您也可以選擇使用者來建立長期登入資料。

  10. 選擇建立角色

  11. 建立角色精靈中,針對信任的實體類型,選擇自訂信任政策

  12. 將下列自訂信任政策複製並貼到 JSON 編輯器。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": { 
                    "aws:SourceAccount": ["111122223333"]

                },
                "ArnLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:configured-audience-model/*"
                }
            }
        }
    ]
}

    永遠SourceAccount是您的 AWS 帳戶。SourceArn 可以限制為特定訓練資料集,但僅限於建立該資料集之後。由於您尚不知道訓練資料集 ARN,在此指定萬用字元。

  13. 選擇下一步

  14. 選取您建立的政策名稱旁的核取方塊,然後選擇下一步

  15. 針對名稱、檢閱和建立,輸入角色名稱描述

    注意

    角色名稱必須符合授予成員passRole許可中的模式,該成員可以查詢和接收結果和成員角色。

    1. 檢閱選取信任的實體,並視需要編輯。

    2. 檢閱新增許可中的許可,並視需要編輯。

    3. 檢閱標籤,並視需要新增標籤。

    4. 選擇建立角色

您已為 建立 服務角色 AWS Clean Rooms。

建立服務角色以讀取種子資料

AWS Clean Rooms 使用服務角色讀取種子資料。如果您有必要的 IAM 許可,您可以使用 主控台建立此角色。如果您沒有CreateRole許可,請要求管理員建立服務角色。

建立服務角色以讀取存放在 S3 儲存貯體中的種子資料。

  1. 使用您的管理員帳戶登入 IAM 主控台 (https://console.aws.amazon.com/iam/://)。

  2. Access management (存取管理) 下,請選擇 Policies (政策)。

  3. 選擇 Create policy (建立政策)。

  4. 政策編輯器中,選取 JSON 索引標籤,然後複製並貼上下列其中一個政策。

    注意

    下列範例政策支援讀取 AWS Glue 中繼資料及其對應 Amazon S3 資料所需的許可。不過,您可能需要根據設定 Amazon S3 資料的方式修改此政策。此政策不包含用於解密資料的 KMS 金鑰。

    您的 AWS Glue 資源和基礎 Amazon S3 資源必須與 AWS Clean Rooms 協同合作 AWS 區域 位於相同的 中。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::buckets"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": [
                        "accountId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": [
                        "accountId"
                    ]
                }
            }
        }
    ]
}
    注意

    下列範例政策支援讀取 SQL 查詢結果並使用它做為輸入資料所需的許可。不過,您可能需要根據查詢的結構來修改此政策。此政策不包含用於解密資料的 KMS 金鑰。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCleanRoomsStartQuery",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaborationAnalysisTemplate",
                "cleanrooms:GetSchema",
                "cleanrooms:StartProtectedQuery"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCleanRoomsGetAndUpdateQuery",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetProtectedQuery",
                "cleanrooms:UpdateProtectedQuery"
            ],
            "Resource": [
                "arn:aws:cleanrooms:us-east-1:111122223333:membership/queryRunnerMembershipId"
            ]
        }
    ]
}

    如果您需要使用 KMS 金鑰來解密資料,請將此 AWS KMS 陳述式新增至範本:

    {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
  ]
}

  5. 將每個預留位置取代為您自己的資訊:

    • 儲存貯體 – S3 儲存貯體的 Amazon Resource Name (ARN)。您可以在 Amazon S3 中儲存貯體的屬性索引標籤中找到 Amazon Resource Name (ARN) Amazon S3

    • accountId – S3 儲存貯體所在的 AWS 帳戶 ID。

    • bucketFolders – AWS Clean Rooms 需要存取的 S3 儲存貯體中特定資料夾的名稱。

    • region – 的名稱 AWS 區域。例如 us-east-1

    • queryRunnerAccountId – 將執行查詢的帳戶 AWS 帳戶 ID。

    • queryRunnerMembershipId – 可查詢之成員的成員 ID。您可以在協同合作的詳細資訊索引標籤中找到成員 ID。這可確保只有當此成員在此協同合作中執行分析時, AWS Clean Rooms 才會擔任該角色。

    • keyId – 加密資料所需的 KMS 金鑰。

  6. 選擇下一步

  7. 針對檢閱和建立,輸入政策名稱描述,然後檢閱摘要

  8. 選擇建立政策

    您已為 建立政策 AWS Clean Rooms。

  9. Access management (存取管理) 下,請選擇 Roles (角色)。

    透過 角色,您可以建立短期登入資料,為提高安全性而建議這麼做。您也可以選擇使用者來建立長期登入資料。

  10. 選擇建立角色

  11. 建立角色精靈中,針對信任的實體類型,選擇自訂信任政策

  12. 將下列自訂信任政策複製並貼到 JSON 編輯器。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": {
                    "aws:SourceAccount": ["111122223333"]

                },
                "ArnLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:audience-generation-job/*"
                }
            }
        }
    ]
}

    永遠SourceAccount是您的 AWS 帳戶。SourceArn 可以限制為特定訓練資料集,但僅限於建立該資料集之後。由於您尚不知道訓練資料集 ARN,在此指定萬用字元。

  13. 選擇下一步

  14. 選取您建立的政策名稱旁的核取方塊,然後選擇下一步

  15. 針對名稱、檢閱和建立,輸入角色名稱描述

    注意

    角色名稱必須符合授予passRole成員許可中的模式,該成員可以查詢和接收結果和成員角色。

    1. 檢閱選取信任的實體,並視需要編輯。

    2. 檢閱新增許可中的許可,並視需要編輯。

    3. 檢閱標籤,並視需要新增標籤。

    4. 選擇建立角色

您已為 建立 服務角色 AWS Clean Rooms。

設定自訂建模的服務角色

建立自訂 ML 建模的服務角色 - ML 組態

AWS Clean Rooms 使用服務角色來控制誰可以建立自訂 ML 組態。如果您有必要的 IAM 許可,您可以使用 主控台建立此角色。如果您沒有CreateRole許可,請要求管理員建立服務角色。

此角色可讓您使用 PutMLConfiguration 動作。

建立服務角色以允許建立自訂 ML 組態

  1. 使用您的管理員帳戶登入 IAM 主控台 (https://console.aws.amazon.com/iam/://)。

  2. Access management (存取管理) 下,請選擇 Policies (政策)。

  3. 選擇 Create policy (建立政策)。

  4. 政策編輯器中,選取 JSON 索引標籤,然後複製並貼上下列政策。

    注意

    下列範例政策支援存取和寫入資料至 S3 儲存貯體以及發佈 CloudWatch 指標所需的許可。不過,您可能需要根據設定 Amazon S3 資料的方式修改此政策。此政策不包含用於解密資料的 KMS 金鑰。

    您的 Amazon S3 資源必須與 AWS Clean Rooms 協同合作 AWS 區域 位於相同的 中。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowS3ObjectWriteForExport",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": [
                        "111122223333"
                    ]
                }
            }
        },
        {
            "Sid": "AllowS3KMSEncryptForExport",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey*"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:111122223333:key/keyId"
            ],
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket*"
                }
            }
        },
        {
            "Sid": "AllowCloudWatchMetricsPublishingForTrainingJobs",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringLike": {
                    "cloudwatch:namespace": "/aws/cleanroomsml/*"
                }
            }
        },
        {
            "Sid": "AllowCloudWatchLogsPublishingForTrainingOrInferenceJobs",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:/aws/cleanroomsml/*"
            ]
        }
    ]
}

  5. 將每個預留位置取代為您自己的資訊:

    • 儲存體 – S3 儲存貯體的 Amazon Resource Name (ARN)。您可以在 Amazon S3 中儲存貯體的屬性索引標籤中找到 Amazon Resource Name (ARN) Amazon S3

    • region – 的名稱 AWS 區域。例如 us-east-1

    • accountId – S3 儲存貯體所在的 AWS 帳戶 ID。

    • keyId – 加密資料所需的 KMS 金鑰。

  6. 選擇下一步

  7. 針對檢閱和建立,輸入政策名稱描述,然後檢閱摘要

  8. 選擇建立政策

    您已為 建立政策 AWS Clean Rooms。

  9. Access management (存取管理) 下,請選擇 Roles (角色)。

    透過 角色,您可以建立短期登入資料,為提高安全性而建議這麼做。您也可以選擇使用者來建立長期登入資料。

  10. 選擇建立角色

  11. 建立角色精靈中,針對信任的實體類型,選擇自訂信任政策

  12. 將下列自訂信任政策複製並貼到 JSON 編輯器。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:cleanrooms:us-east-1:111122223333:membership/membershipID"
                }
            }
        }
    ]
}

    永遠SourceAccount是您的 AWS 帳戶。SourceArn 可以限制為特定訓練資料集,但僅限於建立該資料集之後。由於您尚不知道訓練資料集 ARN,在此指定萬用字元。

  13. 選擇下一步

  14. 選取您建立的政策名稱旁的核取方塊,然後選擇下一步

  15. 針對名稱、檢閱和建立,輸入角色名稱描述

    注意

    角色名稱必須符合授予成員的passRole許可中的模式,該成員可以查詢和接收結果和成員角色。

    1. 檢閱選取信任的實體,並視需要編輯。

    2. 檢閱新增許可中的許可,並視需要編輯。

    3. 檢閱標籤,並視需要新增標籤。

    4. 選擇建立角色

您已為 建立 服務角色 AWS Clean Rooms。

建立服務角色以提供自訂 ML 模型

AWS Clean Rooms 使用服務角色來控制誰可以建立自訂 ML 模型演算法。如果您有必要的 IAM 許可,您可以使用 主控台建立此角色。如果您沒有CreateRole許可,請要求管理員建立服務角色。

此角色可讓您使用 CreateConfiguredModelAlgorithm 動作。

建立服務角色以允許成員提供自訂 ML 模型

  1. 使用您的管理員帳戶登入 IAM 主控台 (https://console.aws.amazon.com/iam/://)。

  2. Access management (存取管理) 下,請選擇 Policies (政策)。

  3. 選擇 Create policy (建立政策)。

  4. 政策編輯器中,選取 JSON 索引標籤,然後複製並貼上下列政策。

    注意

    下列範例政策支援擷取包含模型演算法的 docker 映像所需的許可。不過,您可能需要根據設定 Amazon S3 資料的方式修改此政策。此政策不包含用於解密資料的 KMS 金鑰。

    您的 Amazon S3 資源必須與 AWS Clean Rooms 協同合作 AWS 區域 位於相同的 中。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowECRImageDownloadForTrainingAndInferenceJobs",
            "Effect": "Allow",
            "Action": [
                "ecr:BatchGetImage",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer"
            ],
            "Resource": "arn:aws:ecr:us-east-1:111122223333:repository/repoName"
        }
    ]
}

  5. 將每個預留位置取代為您自己的資訊:

    • region – 的名稱 AWS 區域。例如 us-east-1

    • accountId – S3 儲存貯體所在的 AWS 帳戶 ID。

    • repoName – 包含您資料的儲存庫名稱。

  6. 選擇下一步

  7. 針對檢閱和建立,輸入政策名稱描述,然後檢閱摘要

  8. 選擇建立政策

    您已為 建立政策 AWS Clean Rooms。

  9. Access management (存取管理) 下,請選擇 Roles (角色)。

    透過 角色,您可以建立短期登入資料,為提高安全性而建議這麼做。您也可以選擇使用者來建立長期登入資料。

  10. 選擇建立角色

  11. 建立角色精靈中,針對信任的實體類型,選擇自訂信任政策

  12. 將下列自訂信任政策複製並貼到 JSON 編輯器。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    一律SourceAccount是您的 AWS 帳戶 SourceArn可以限制為特定訓練資料集,但僅限於建立該資料集之後。由於您尚不知道訓練資料集 ARN,在此指定萬用字元。

  13. 選擇下一步

  14. 選取您建立的政策名稱旁的核取方塊,然後選擇下一步

  15. 針對名稱、檢閱和建立,輸入角色名稱描述

    注意

    角色名稱必須符合授予成員的passRole許可中的模式,該成員可以查詢和接收結果和成員角色。

    1. 檢閱選取信任的實體,並視需要編輯。

    2. 檢閱新增許可中的許可,並視需要編輯。

    3. 檢閱標籤,並視需要新增標籤。

    4. 選擇建立角色

您已為 建立 服務角色 AWS Clean Rooms。

建立服務角色以查詢資料集

AWS Clean Rooms 使用服務角色來控制誰可以查詢將用於自訂 ML 建模的資料集。如果您有必要的 IAM 許可,您可以使用 主控台建立此角色。如果您沒有CreateRole許可,請要求您的管理員建立服務角色。

此角色可讓您使用 CreateMLInputChannel 動作。

建立服務角色以允許成員查詢資料集

  1. 使用您的管理員帳戶登入 IAM 主控台 (https://console.aws.amazon.com/iam/://)。

  2. Access management (存取管理) 下,請選擇 Policies (政策)。

  3. 選擇 Create policy (建立政策)。

  4. 政策編輯器中,選取 JSON 索引標籤,然後複製並貼上下列政策。

    注意

    下列範例政策支援查詢將用於自訂 ML 建模的資料集所需的許可。不過,您可能需要根據設定 Amazon S3 資料的方式修改此政策。此政策不包含用於解密資料的 KMS 金鑰。

    您的 Amazon S3 資源必須與 AWS Clean Rooms 協同合作 AWS 區域 位於相同的 中。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCleanRoomsStartQueryForMLInputChannel",
            "Effect": "Allow",
            "Action": "cleanrooms:StartProtectedQuery",
            "Resource": "*"
        },
        {
            "Sid": "AllowCleanroomsGetSchemaAndGetAnalysisTemplateForMLInputChannel",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetSchema",
                "cleanrooms:GetCollaborationAnalysisTemplate"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCleanRoomsGetAndUpdateQueryForMLInputChannel",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetProtectedQuery",
                "cleanrooms:UpdateProtectedQuery"
            ],
            "Resource": [
                "arn:aws:cleanrooms:us-east-1:111122223333:membership/queryRunnerMembershipId"
            ]
        }
    ]
}

  5. 以您自己的資訊取代每個預留位置

    • region – 的名稱 AWS 區域。例如 us-east-1

    • queryRunnerAccountId – 將執行查詢的帳戶 AWS 帳戶 ID。

    • queryRunnerMembershipId – 可查詢之成員的成員 ID。您可以在協同合作的詳細資訊索引標籤中找到成員 ID。這可確保只有當此成員在此協同合作中執行分析時, AWS Clean Rooms 才會擔任該角色。

  6. 選擇下一步

  7. 針對檢閱和建立,輸入政策名稱描述,然後檢閱摘要

  8. 選擇建立政策

    您已為 建立政策 AWS Clean Rooms。

  9. Access management (存取管理) 下,請選擇 Roles (角色)。

    使用 角色,您可以建立短期登入資料,為提高安全性而建議這麼做。您也可以選擇使用者來建立長期登入資料。

  10. 選擇建立角色

  11. 建立角色精靈中,針對信任的實體類型,選擇自訂信任政策

  12. 將下列自訂信任政策複製並貼到 JSON 編輯器。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    一律SourceAccount是您的 AWS 帳戶 SourceArn可以限制在特定訓練資料集內,但僅限於建立該資料集之後。由於您尚不知道訓練資料集 ARN,在此指定萬用字元。

  13. 選擇下一步

  14. 選取您建立的政策名稱旁的核取方塊,然後選擇下一步

  15. 針對名稱、檢閱和建立,輸入角色名稱描述

    注意

    角色名稱必須符合授予成員passRole許可中的模式,該成員可以查詢和接收結果和成員角色。

    1. 檢閱選取信任的實體,並視需要編輯。

    2. 檢閱新增許可中的許可,並視需要編輯。

    3. 檢閱標籤,並視需要新增標籤。

    4. 選擇建立角色

您已為 建立 服務角色 AWS Clean Rooms。

建立服務角色以建立設定的資料表關聯

AWS Clean Rooms 使用服務角色來控制誰可以建立設定的資料表關聯。如果您有必要的 IAM 許可,您可以使用 主控台建立此角色。如果您沒有CreateRole許可,請要求您的管理員建立服務角色。

此角色可讓您使用 CreateConfiguredTableAssociation 動作。

建立服務角色以允許建立設定的資料表關聯

  1. 使用您的管理員帳戶登入 IAM 主控台 (https://console.aws.amazon.com/iam/://)。

  2. Access management (存取管理) 下,請選擇 Policies (政策)。

  3. 選擇 Create policy (建立政策)。

  4. 政策編輯器中,選取 JSON 索引標籤,然後複製並貼上下列政策。

    注意

    下列範例政策支援建立設定的資料表關聯。不過,您可能需要根據設定 Amazon S3 資料的方式修改此政策。此政策不包含用於解密資料的 KMS 金鑰。

    您的 Amazon S3 資源必須與 AWS Clean Rooms 協同合作 AWS 區域 位於相同的 中。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/KMS-key-ID",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::bucket-name",
            "Effect": "Allow"
        },
        {
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::bucket-name/*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartitions",
                "glue:GetPartition",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:us-east-1:111122223333:catalog",
                "arn:aws:glue:us-east-1:111122223333:database/Glue database name",
                "arn:aws:glue:us-east-1:111122223333:table/Glue database name/Glue table name"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "glue:GetSchema",
                "glue:GetSchemaVersion"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}
    取代預留位置資源 ARNs

    使用此政策時,您必須將預留位置資源識別符取代為您資源的實際 ARNs:

    • AWS KMS 金鑰資源:將 KMS-key-ID 取代為加密 Amazon S3 資料的實際 AWS KMS 金鑰 ID。金鑰必須位於擁有 AWS Glue 目錄資源的相同帳戶 ((111122223333) 中。

    • Amazon S3 儲存貯體資源:將 bucket-name 取代為包含 AWS Glue 資料表資料的 Amazon S3 儲存貯體實際名稱。請注意,Amazon S3 儲存貯體 ARNs 不包含帳戶 IDs因為儲存貯體名稱是全域唯一的。

    • AWS Glue 資源:將下列預留位置取代為您的實際資源名稱:

      • Glue 資料庫名稱 - AWS Glue 資料庫的名稱

      • Glue 資料表名稱 - AWS Glue 資料表的名稱

    所有 AWS Glue 資源 (目錄、資料庫和資料表) 必須位於相同的 AWS 帳戶 (111122223333),以確保一致的存取許可。此帳戶應該與擁有用於資料加密之 AWS KMS 金鑰的帳戶相同,為您的 AWS Clean Rooms 資料資源建立統一的安全界限。

  5. 將每個預留位置取代為您自己的資訊:

    • 用來加密 Amazon S3 資料的 KMS 金鑰 – 用來加密 Amazon S3 資料的 KMS 金鑰。若要解密資料,您需要提供用來加密資料的相同 KMS 金鑰。

    • AWS Glue 資料表的 Amazon S3 儲存貯體 – 包含包含您資料的 AWS Glue 資料表的 Amazon S3 儲存貯體名稱。

    • region – 的名稱 AWS 區域。例如 us-east-1

    • accountId – 擁有資料的 帳戶 AWS 帳戶 ID。

    • AWS Glue 資料庫名稱 – 包含您資料的 AWS Glue 資料庫名稱。

    • AWS Glue 資料表名稱 – 包含您資料的 AWS Glue 資料表名稱。

  6. 選擇下一步

  7. 針對檢閱和建立,輸入政策名稱描述,然後檢閱摘要

  8. 選擇建立政策

    您已為 建立政策 AWS Clean Rooms。

  9. Access management (存取管理) 下,請選擇 Roles (角色)。

    使用 角色,您可以建立短期登入資料,為提高安全性而建議這麼做。您也可以選擇使用者來建立長期登入資料。

  10. 選擇建立角色

  11. 建立角色精靈中,針對信任的實體類型,選擇自訂信任政策

  12. 將下列自訂信任政策複製並貼到 JSON 編輯器。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    一律SourceAccount是您的 AWS 帳戶 SourceArn可以限制在特定訓練資料集內,但僅限於建立該資料集之後。由於您尚不知道訓練資料集 ARN,在此指定萬用字元。

  13. 選擇下一步

  14. 選取您建立的政策名稱旁的核取方塊,然後選擇下一步

  15. 針對名稱、檢閱和建立,輸入角色名稱描述

    注意

    角色名稱必須符合授予成員passRole許可中的模式,該成員可以查詢和接收結果和成員角色。

    1. 檢閱選取信任的實體,並視需要編輯。

    2. 檢閱新增許可中的許可,並視需要編輯。

    3. 檢閱標籤,並視需要新增標籤。

    4. 選擇建立角色

您已為 建立 服務角色 AWS Clean Rooms。