Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Richten Sie Servicerollen für AWS Clean Rooms ML ein
Themen
Erstellen Sie eine Servicerolle zum Lesen von Trainingsdaten
AWS Clean Rooms verwendet eine Servicerolle, um Trainingsdaten zu lesen. Sie können diese Rolle mithilfe der Konsole erstellen, wenn Sie über die erforderlichen IAM-Berechtigungen verfügen. Wenn Sie keine CreateRole Berechtigungen haben, bitten Sie Ihren Administrator, die Servicerolle zu erstellen.
Um eine Servicerolle zum Trainieren eines Datensatzes zu erstellen
-
Melden Sie sich mit Ihrem Administratorkonto bei der IAM-Konsole (https://console.aws.amazon.com/iam/
) an. -
Wählen Sie unter Access management (Zugriffsverwaltung) Policies (Richtlinien) aus.
-
Wählen Sie Richtlinie erstellen aus.
-
Wählen Sie im Policy-Editor die Registerkarte JSON aus und kopieren Sie dann die folgende Richtlinie und fügen Sie sie ein.
Anmerkung
Die folgende Beispielrichtlinie unterstützt die Berechtigungen, die zum Lesen von AWS Glue Metadaten und den entsprechenden Amazon S3 S3-Daten erforderlich sind. Je nachdem, wie Sie Ihre S3-Daten eingerichtet haben, müssen Sie diese Richtlinie jedoch möglicherweise ändern. Diese Richtlinie beinhaltet keinen KMS-Schlüssel zum Entschlüsseln von Daten.
Ihre AWS Glue Ressourcen und die zugrunde liegenden Amazon S3 S3-Ressourcen müssen sich in derselben Weise AWS-Region wie die AWS Clean Rooms Zusammenarbeit befinden.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartitions", "glue:GetPartition", "glue:BatchGetPartition", "glue:GetUserDefinedFunctions" ], "Resource": [ "arn:aws:glue:region:accountId:database/databases", "arn:aws:glue:region:accountId:table/databases/tables", "arn:aws:glue:region:accountId:catalog", "arn:aws:glue:region:accountId:database/default" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase" ], "Resource": [ "arn:aws:glue:region:accountId:database/default" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::bucket" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }Wenn Sie einen KMS-Schlüssel zum Entschlüsseln von Daten verwenden müssen, fügen Sie diese AWS KMS Anweisung zur vorherigen Vorlage hinzu:
{ "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
Wählen Sie Weiter aus.
-
Geben Sie unter Überprüfen und erstellen einen Richtliniennamen und eine Beschreibung ein, und überprüfen Sie die Zusammenfassung.
-
Wählen Sie Richtlinie erstellen aus.
Sie haben eine Richtlinie für erstellt AWS Clean Rooms.
-
Wählen Sie unter Access management (Zugriffsverwaltung) Roles (Rollen) aus.
Mit Rollen können Sie kurzfristige Anmeldeinformationen erstellen, was aus Sicherheitsgründen empfohlen wird. Sie können auch Benutzer auswählen, um langfristige Anmeldeinformationen zu erstellen.
-
Wählen Sie Rolle erstellen aus.
-
Wählen Sie im Assistenten zum Erstellen von Rollen unter Vertrauenswürdiger Entitätstyp die Option Benutzerdefinierte Vertrauensrichtlinie aus.
-
Kopieren Sie die folgende benutzerdefinierte Vertrauensrichtlinie und fügen Sie sie in den JSON-Editor ein.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:training-dataset/*" } } } ] }Das
SourceAccountist immer dein AWS Konto. DasSourceArnkann auf einen bestimmten Trainingsdatensatz beschränkt werden, jedoch erst, nachdem dieser Datensatz erstellt wurde. Da Sie den ARN des Trainingsdatensatzes nicht vorab kennen können, wird der Platzhalter hier angegeben. -
Wählen Sie Weiter und geben Sie unter Berechtigungen hinzufügen den Namen der Richtlinie ein, die Sie gerade erstellt haben. (Möglicherweise müssen Sie die Seite neu laden.)
-
Aktivieren Sie das Kontrollkästchen neben dem Namen der Richtlinie, die Sie erstellt haben, und klicken Sie dann auf Weiter.
-
Geben Sie unter Name, review and create den Rollennamen und die Beschreibung ein.
Anmerkung
Der Rollenname muss dem Muster in den
passRoleBerechtigungen entsprechen, die dem Mitglied erteilt wurden, das Ergebnisse abfragen und empfangen kann, und den Mitgliedsrollen.-
Überprüfen Sie die Option Vertrauenswürdige Entitäten auswählen und bearbeiten Sie sie gegebenenfalls.
-
Überprüfen Sie die Berechtigungen unter Berechtigungen hinzufügen und bearbeiten Sie sie gegebenenfalls.
-
Überprüfen Sie die Tags und fügen Sie bei Bedarf Stichwörter hinzu.
-
Wählen Sie Rolle erstellen aus.
-
-
Die Servicerolle für AWS Clean Rooms wurde erstellt.
Erstellen Sie eine Servicerolle, um ein Lookalike-Segment zu schreiben
AWS Clean Rooms verwendet eine Servicerolle, um Lookalike-Segmente in einen Bucket zu schreiben. Sie können diese Rolle mithilfe der Konsole erstellen, wenn Sie über die erforderlichen IAM-Berechtigungen verfügen. Wenn Sie keine CreateRole Berechtigungen haben, bitten Sie Ihren Administrator, die Servicerolle zu erstellen.
Um eine Servicerolle zu erstellen, um ein Lookalike-Segment zu schreiben
-
Melden Sie sich mit Ihrem Administratorkonto bei der IAM-Konsole (https://console.aws.amazon.com/iam/
) an. -
Wählen Sie unter Access management (Zugriffsverwaltung) Policies (Richtlinien) aus.
-
Wählen Sie Richtlinie erstellen aus.
-
Wählen Sie im Policy-Editor die Registerkarte JSON aus und kopieren Sie dann die folgende Richtlinie und fügen Sie sie ein.
Anmerkung
Die folgende Beispielrichtlinie unterstützt die Berechtigungen, die zum Lesen von AWS Glue Metadaten und den entsprechenden Amazon S3 S3-Daten erforderlich sind. Je nachdem, wie Sie Ihre S3-Daten eingerichtet haben, müssen Sie diese Richtlinie jedoch möglicherweise ändern. Diese Richtlinie beinhaltet keinen KMS-Schlüssel zum Entschlüsseln von Daten.
Ihre AWS Glue Ressourcen und die zugrunde liegenden Amazon S3 S3-Ressourcen müssen sich in derselben Weise AWS-Region wie die AWS Clean Rooms Zusammenarbeit befinden.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::buckets" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }Wenn Sie einen KMS-Schlüssel zum Verschlüsseln von Daten verwenden müssen, fügen Sie der Vorlage diese AWS KMS Anweisung hinzu:
{ "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] }Wenn Sie einen KMS-Schlüssel zum Entschlüsseln von Daten verwenden müssen, fügen Sie der Vorlage diese AWS KMS Anweisung hinzu:
{ "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
Wählen Sie Weiter aus.
-
Geben Sie unter Überprüfen und erstellen einen Richtliniennamen und eine Beschreibung ein, und überprüfen Sie die Zusammenfassung.
-
Wählen Sie Richtlinie erstellen aus.
Sie haben eine Richtlinie für erstellt AWS Clean Rooms.
-
Wählen Sie unter Access management (Zugriffsverwaltung) Roles (Rollen) aus.
Mit Rollen können Sie kurzfristige Anmeldeinformationen erstellen, was aus Sicherheitsgründen empfohlen wird. Sie können auch Benutzer auswählen, um langfristige Anmeldeinformationen zu erstellen.
-
Wählen Sie Rolle erstellen aus.
-
Wählen Sie im Assistenten zum Erstellen von Rollen unter Vertrauenswürdiger Entitätstyp die Option Benutzerdefinierte Vertrauensrichtlinie aus.
-
Kopieren Sie die folgende benutzerdefinierte Vertrauensrichtlinie und fügen Sie sie in den JSON-Editor ein.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:configured-audience-model/*" } } } ] }Das
SourceAccountist immer dein AWS Konto. DasSourceArnkann auf einen bestimmten Trainingsdatensatz beschränkt werden, jedoch erst, nachdem dieser Datensatz erstellt wurde. Da Sie den ARN des Trainingsdatensatzes nicht vorab kennen können, wird der Platzhalter hier angegeben. -
Wählen Sie Weiter aus.
-
Aktivieren Sie das Kontrollkästchen neben dem Namen der Richtlinie, die Sie erstellt haben, und wählen Sie dann Weiter aus.
-
Geben Sie unter Name, review and create den Rollennamen und die Beschreibung ein.
Anmerkung
Der Rollenname muss dem Muster in den
passRoleBerechtigungen entsprechen, die dem Mitglied erteilt wurden, das Ergebnisse abfragen und empfangen kann, und den Mitgliedsrollen.-
Überprüfen Sie die Option Vertrauenswürdige Entitäten auswählen und bearbeiten Sie sie gegebenenfalls.
-
Überprüfen Sie die Berechtigungen unter Berechtigungen hinzufügen und bearbeiten Sie sie gegebenenfalls.
-
Überprüfen Sie die Tags und fügen Sie bei Bedarf Stichwörter hinzu.
-
Wählen Sie Rolle erstellen aus.
-
-
Die Servicerolle für AWS Clean Rooms wurde erstellt.
Erstellen Sie eine Servicerolle zum Lesen von Startdaten
AWS Clean Rooms verwendet eine Servicerolle, um Seed-Daten zu lesen. Sie können diese Rolle mithilfe der Konsole erstellen, wenn Sie über die erforderlichen IAM-Berechtigungen verfügen. Wenn Sie keine CreateRole Berechtigungen haben, bitten Sie Ihren Administrator, die Servicerolle zu erstellen.
Um eine Servicerolle zum Lesen von Startdaten zu erstellen
-
Melden Sie sich mit Ihrem Administratorkonto bei der IAM-Konsole (https://console.aws.amazon.com/iam/
) an. -
Wählen Sie unter Access management (Zugriffsverwaltung) Policies (Richtlinien) aus.
-
Wählen Sie Richtlinie erstellen aus.
-
Wählen Sie im Policy-Editor die Registerkarte JSON aus und kopieren Sie dann die folgende Richtlinie und fügen Sie sie ein.
Anmerkung
Die folgende Beispielrichtlinie unterstützt die Berechtigungen, die zum Lesen von AWS Glue Metadaten und den entsprechenden Amazon S3 S3-Daten erforderlich sind. Je nachdem, wie Sie Ihre S3-Daten eingerichtet haben, müssen Sie diese Richtlinie jedoch möglicherweise ändern. Diese Richtlinie beinhaltet keinen KMS-Schlüssel zum Entschlüsseln von Daten.
Ihre AWS Glue Ressourcen und die zugrunde liegenden Amazon S3 S3-Ressourcen müssen sich in derselben Weise AWS-Region wie die AWS Clean Rooms Zusammenarbeit befinden.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", ], "Resource": [ "arn:aws:s3:::buckets" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }Wenn Sie einen KMS-Schlüssel zum Entschlüsseln von Daten verwenden müssen, fügen Sie der Vorlage diese AWS KMS Anweisung hinzu:
{ "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
Wählen Sie Weiter aus.
-
Geben Sie unter Überprüfen und erstellen einen Richtliniennamen und eine Beschreibung ein, und überprüfen Sie die Zusammenfassung.
-
Wählen Sie Richtlinie erstellen aus.
Sie haben eine Richtlinie für erstellt AWS Clean Rooms.
-
Wählen Sie unter Access management (Zugriffsverwaltung) Roles (Rollen) aus.
Mit Rollen können Sie kurzfristige Anmeldeinformationen erstellen, was aus Sicherheitsgründen empfohlen wird. Sie können auch Benutzer auswählen, um langfristige Anmeldeinformationen zu erstellen.
-
Wählen Sie Rolle erstellen aus.
-
Wählen Sie im Assistenten zum Erstellen von Rollen unter Vertrauenswürdiger Entitätstyp die Option Benutzerdefinierte Vertrauensrichtlinie aus.
-
Kopieren Sie die folgende benutzerdefinierte Vertrauensrichtlinie und fügen Sie sie in den JSON-Editor ein.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:audience-generation-job/*" } } } ] }Das
SourceAccountist immer dein AWS Konto. DasSourceArnkann auf einen bestimmten Trainingsdatensatz beschränkt werden, jedoch erst, nachdem dieser Datensatz erstellt wurde. Da Sie den ARN des Trainingsdatensatzes nicht vorab kennen können, wird der Platzhalter hier angegeben. -
Wählen Sie Weiter aus.
-
Aktivieren Sie das Kontrollkästchen neben dem Namen der Richtlinie, die Sie erstellt haben, und wählen Sie dann Weiter aus.
-
Geben Sie unter Name, review and create den Rollennamen und die Beschreibung ein.
Anmerkung
Der Rollenname muss dem Muster in den
passRoleBerechtigungen entsprechen, die dem Mitglied erteilt wurden, das Ergebnisse abfragen und empfangen kann, und den Mitgliedsrollen.-
Überprüfen Sie die Option Vertrauenswürdige Entitäten auswählen und bearbeiten Sie sie gegebenenfalls.
-
Überprüfen Sie die Berechtigungen unter Berechtigungen hinzufügen und bearbeiten Sie sie gegebenenfalls.
-
Überprüfen Sie die Tags und fügen Sie bei Bedarf Stichwörter hinzu.
-
Wählen Sie Rolle erstellen aus.
-
-
Die Servicerolle für AWS Clean Rooms wurde erstellt.
