AWS verwaltete Richtlinien für AWS Clean Rooms - AWS Clean Rooms
AWSCleanRoomsReadOnlyAccessAWSCleanRoomsFullAccessAWSCleanRoomsFullAccessNoQueryingAWSCleanRoomsMLReadOnlyAccessAWSCleanRoomsMLFullAccessRichtlinienaktualisierungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinien für AWS Clean Rooms

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie kundenverwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.

AWS verwaltete Richtlinie: AWSCleanRoomsReadOnlyAccess

Sie können eine Verbindung AWSCleanRoomsReadOnlyAccess zu Ihren IAM-Prinzipalen herstellen.

Diese Richtlinie gewährt nur Leseberechtigungen für Ressourcen und Metadaten in einer Kollaboration. AWSCleanRoomsReadOnlyAccess

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • CleanRoomsRead— Ermöglicht Prinzipalen nur Lesezugriff auf den Dienst.

  • ConsoleDisplayTables— Ermöglicht Prinzipalen den schreibgeschützten Zugriff auf die AWS Glue Metadaten, die für die Anzeige von Daten zu den zugrunde liegenden Tabellen auf der Konsole erforderlich sind. AWS Glue

  • ConsoleLogSummaryQueryLogs— Ermöglicht es den Prinzipalen, die Abfrageprotokolle zu sehen.

  • ConsoleLogSummaryObtainLogs— Ermöglicht Prinzipalen das Abrufen der Protokollergebnisse.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "CleanRoomsRead",
			"Effect": "Allow",
			"Action": [
				"cleanrooms:BatchGet*",
				"cleanrooms:Get*",
				"cleanrooms:List*"
			],
			"Resource": "*"
		},
		{
			"Sid": "ConsoleDisplayTables",
			"Effect": "Allow",
			"Action": [
				"glue:GetDatabase",
				"glue:GetDatabases",
				"glue:GetTable",
				"glue:GetTables",
				"glue:GetPartition",
				"glue:GetPartitions",
				"glue:GetSchema",
				"glue:GetSchemaVersion",
				"glue:BatchGetPartition"
			],
			"Resource": "*"
		},
		{
			"Sid": "ConsoleLogSummaryQueryLogs",
			"Effect": "Allow",
			"Action": [
				"logs:StartQuery"
			],
			"Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*"
		},
		{
			"Sid": "ConsoleLogSummaryObtainLogs",
			"Effect": "Allow",
			"Action": [
				"logs:GetQueryResults"
			],
			"Resource": "*"
		}
	]
}

AWS verwaltete Richtlinie: AWSCleanRoomsFullAccess

Sie können eine Verbindung AWSCleanRoomsFullAccess zu Ihren IAM-Prinzipalen herstellen.

Diese Richtlinie gewährt Administratorberechtigungen, die vollen Zugriff (Lesen, Schreiben und Aktualisieren) auf Ressourcen und Metadaten in einer AWS Clean Rooms Kollaboration ermöglichen. Diese Richtlinie beinhaltet den Zugriff zur Durchführung von Abfragen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • CleanRoomsAccess— Gewährt vollen Zugriff auf alle Aktionen auf allen Ressourcen für AWS Clean Rooms.

  • PassServiceRole— Gewährt Zugriff zur Übergabe einer Servicerolle nur an den Dienst (PassedToServiceBedingung), dessen Name cleanrooms "" enthält.

  • ListRolesToPickServiceRole— Ermöglicht es Prinzipalen, alle ihre Rollen aufzulisten, um bei der Verwendung AWS Clean Rooms eine Servicerolle auszuwählen.

  • GetRoleAndListRolePoliciesToInspectServiceRole— Ermöglicht Prinzipalen, die Servicerolle und die entsprechende Richtlinie in IAM zu sehen.

  • ListPoliciesToInspectServiceRolePolicy— Ermöglicht Prinzipalen, die Servicerolle und die entsprechende Richtlinie in IAM zu sehen.

  • GetPolicyToInspectServiceRolePolicy— Ermöglicht Prinzipalen, die Servicerolle und die entsprechende Richtlinie in IAM zu sehen.

  • ConsoleDisplayTables— Ermöglicht Prinzipalen den schreibgeschützten Zugriff auf die AWS Glue Metadaten, die für die Anzeige von Daten zu den zugrunde liegenden AWS Glue Tabellen auf der Konsole erforderlich sind.

  • ConsolePickQueryResultsBucketListAll— Ermöglicht Prinzipalen, einen Amazon S3 S3-Bucket aus einer Liste aller verfügbaren S3-Buckets auszuwählen, in die ihre Abfrageergebnisse geschrieben werden.

  • SetQueryResultsBucket— Ermöglicht Prinzipalen, einen S3-Bucket auszuwählen, in den ihre Abfrageergebnisse geschrieben werden.

  • ConsoleDisplayQueryResults— Ermöglicht es den Prinzipalen, dem Kunden die Abfrageergebnisse anzuzeigen, die aus dem S3-Bucket gelesen wurden.

  • WriteQueryResults— Ermöglicht Prinzipalen, die Abfrageergebnisse in einen kundeneigenen S3-Bucket zu schreiben.

  • EstablishLogDeliveries— Ermöglicht Principals, Abfrageprotokolle an die Amazon CloudWatch Logs-Protokollgruppe eines Kunden zu senden.

  • SetupLogGroupsDescribe— Ermöglicht Prinzipalen, den Prozess zur Erstellung von Amazon CloudWatch Logs-Protokollgruppen zu verwenden.

  • SetupLogGroupsCreate— Ermöglicht Prinzipalen, eine Amazon CloudWatch Logs-Protokollgruppe zu erstellen.

  • SetupLogGroupsResourcePolicy— Ermöglicht Prinzipalen, eine Ressourcenrichtlinie für die Amazon CloudWatch Logs-Protokollgruppe einzurichten.

  • ConsoleLogSummaryQueryLogs— Ermöglicht es den Prinzipalen, die Abfrageprotokolle einzusehen.

  • ConsoleLogSummaryObtainLogs— Ermöglicht Prinzipalen das Abrufen der Protokollergebnisse.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "CleanRoomsAccess",
			"Effect": "Allow",
			"Action": [
				"cleanrooms:*"
			],
			"Resource": "*"
		},
		{
			"Sid": "PassServiceRole",
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*",
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ListRolesToPickServiceRole",
			"Effect": "Allow",
			"Action": [
				"iam:ListRoles"
			],
			"Resource": "*"
		},
		{
			"Sid": "GetRoleAndListRolePoliciesToInspectServiceRole",
			"Effect": "Allow",
			"Action": [
				"iam:GetRole",
				"iam:ListRolePolicies",
				"iam:ListAttachedRolePolicies"
			],
			"Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*"
		},
		{
			"Sid": "ListPoliciesToInspectServiceRolePolicy",
			"Effect": "Allow",
			"Action": [
				"iam:ListPolicies"
			],
			"Resource": "*"
		},
		{
			"Sid": "GetPolicyToInspectServiceRolePolicy",
			"Effect": "Allow",
			"Action": [
				"iam:GetPolicy",
				"iam:GetPolicyVersion"
			],
			"Resource": "arn:aws:iam::*:policy/*cleanrooms*"
		},
		{
			"Sid": "ConsoleDisplayTables",
			"Effect": "Allow",
			"Action": [
				"glue:GetDatabase",
				"glue:GetDatabases",
				"glue:GetTable",
				"glue:GetTables",
				"glue:GetPartition",
				"glue:GetPartitions",
				"glue:GetSchema",
				"glue:GetSchemaVersion",
				"glue:BatchGetPartition"
			],
			"Resource": "*"
		},
		{
			"Sid": "ConsolePickQueryResultsBucketListAll",
			"Effect": "Allow",
			"Action": [
				"s3:ListAllMyBuckets"
			],
			"Resource": "*"
		},
		{
			"Sid": "SetQueryResultsBucket",
			"Effect": "Allow",
			"Action": [
				"s3:GetBucketLocation",
				"s3:ListBucketVersions"
			],
			"Resource": "arn:aws:s3:::cleanrooms-queryresults*"
		},
		{
			"Sid": "WriteQueryResults",
			"Effect": "Allow",
			"Action": [
				"s3:ListBucket",
				"s3:PutObject"
			],
			"Resource": "arn:aws:s3:::cleanrooms-queryresults*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ConsoleDisplayQueryResults",
			"Effect": "Allow",
			"Action": [
				"s3:GetObject"
			],
			"Resource": "arn:aws:s3:::cleanrooms-queryresults*"
		},
		{
			"Sid": "EstablishLogDeliveries",
			"Effect": "Allow",
			"Action": [
				"logs:CreateLogDelivery",
				"logs:GetLogDelivery",
				"logs:UpdateLogDelivery",
				"logs:DeleteLogDelivery",
				"logs:ListLogDeliveries"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "SetupLogGroupsDescribe",
			"Effect": "Allow",
			"Action": [
				"logs:DescribeLogGroups"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "SetupLogGroupsCreate",
			"Effect": "Allow",
			"Action": [
				"logs:CreateLogGroup"
			],
			"Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "SetupLogGroupsResourcePolicy",
			"Effect": "Allow",
			"Action": [
			  "logs:DescribeResourcePolicies",
				"logs:PutResourcePolicy"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ConsoleLogSummaryQueryLogs",
			"Effect": "Allow",
			"Action": [
				"logs:StartQuery"
			],
			"Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*"
		},
		{
			"Sid": "ConsoleLogSummaryObtainLogs",
			"Effect": "Allow",
			"Action": [
				"logs:GetQueryResults"
			],
			"Resource": "*"
		}
	]
}

AWS verwaltete Richtlinie: AWSCleanRoomsFullAccessNoQuerying

Sie können es AWSCleanRoomsFullAccessNoQuerying an Ihre anhängenIAM principals.

Diese Richtlinie gewährt Administratorberechtigungen, die vollen Zugriff (Lesen, Schreiben und Aktualisieren) auf Ressourcen und Metadaten in einer AWS Clean Rooms Kollaboration ermöglichen. Diese Richtlinie schließt den Zugriff zur Durchführung von Abfragen aus.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • CleanRoomsAccess— Gewährt vollen Zugriff auf alle Aktionen auf allen Ressourcen für AWS Clean Rooms, mit Ausnahme von Abfragen in Kollaborationen.

  • CleanRoomsNoQuerying— Verweigert ausdrücklich das Abfragen StartProtectedQuery und verhindert UpdateProtectedQuery es.

  • PassServiceRole— Gewährt Zugriff auf die Übergabe einer Servicerolle nur an den Dienst (PassedToServiceBedingung), dessen Name "cleanrooms" enthält.

  • ListRolesToPickServiceRole— Ermöglicht es Prinzipalen, alle ihre Rollen aufzulisten, um bei der Verwendung AWS Clean Rooms eine Servicerolle auszuwählen.

  • GetRoleAndListRolePoliciesToInspectServiceRole— Ermöglicht Prinzipalen, die Servicerolle und die entsprechende Richtlinie in IAM zu sehen.

  • ListPoliciesToInspectServiceRolePolicy— Ermöglicht Prinzipalen, die Servicerolle und die entsprechende Richtlinie in IAM zu sehen.

  • GetPolicyToInspectServiceRolePolicy— Ermöglicht Prinzipalen, die Servicerolle und die entsprechende Richtlinie in IAM zu sehen.

  • ConsoleDisplayTables— Ermöglicht Prinzipalen den schreibgeschützten Zugriff auf die AWS Glue Metadaten, die für die Anzeige von Daten zu den zugrunde liegenden AWS Glue Tabellen auf der Konsole erforderlich sind.

  • EstablishLogDeliveries— Ermöglicht Principals, Abfrageprotokolle an die Amazon CloudWatch Logs-Protokollgruppe eines Kunden zu senden.

  • SetupLogGroupsDescribe— Ermöglicht Prinzipalen, den Prozess zur Erstellung von Amazon CloudWatch Logs-Protokollgruppen zu verwenden.

  • SetupLogGroupsCreate— Ermöglicht Prinzipalen, eine Amazon CloudWatch Logs-Protokollgruppe zu erstellen.

  • SetupLogGroupsResourcePolicy— Ermöglicht Prinzipalen, eine Ressourcenrichtlinie für die Amazon CloudWatch Logs-Protokollgruppe einzurichten.

  • ConsoleLogSummaryQueryLogs— Ermöglicht es den Prinzipalen, die Abfrageprotokolle einzusehen.

  • ConsoleLogSummaryObtainLogs— Ermöglicht Prinzipalen das Abrufen der Protokollergebnisse.

  • cleanrooms— Verwaltet Kollaborationen, Analysevorlagen, konfigurierte Tabellen, Mitgliedschaften und zugehörige Ressourcen innerhalb des Service. AWS Clean Rooms Führen Sie verschiedene Operationen durch, z. B. das Erstellen, Aktualisieren, Löschen, Auflisten und Abrufen von Informationen zu diesen Ressourcen.

  • iam— Übergibt Dienstrollen, deren Namen "cleanrooms" enthalten, an den AWS Clean Rooms Dienst. Listen Sie Rollen und Richtlinien auf und überprüfen Sie die Dienstrollen und Richtlinien, die sich auf den AWS Clean Rooms Dienst beziehen.

  • glue— Rufen Sie Informationen zu Datenbanken, Tabellen, Partitionen und Schemas von ab AWS Glue. Dies ist erforderlich, damit der AWS Clean Rooms Dienst die zugrunde liegenden Datenquellen anzeigen und mit ihnen interagieren kann.

  • logs— Verwalten Sie Protokollzustellungen, Protokollgruppen und Ressourcenrichtlinien für CloudWatch Protokolle. Abfragen und Abrufen von Protokollen, die sich auf den AWS Clean Rooms Dienst beziehen. Diese Berechtigungen sind für Überwachungs-, Überprüfungs- und Fehlerbehebungszwecke innerhalb des Dienstes erforderlich.

Die Richtlinie lehnt die Aktionen auch ausdrücklich ab cleanrooms:StartProtectedQuery und verhindertcleanrooms:UpdateProtectedQuery, dass Benutzer geschützte Abfragen direkt ausführen oder aktualisieren, was über die AWS Clean Rooms kontrollierten Mechanismen geschehen sollte.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "CleanRoomsAccess",
			"Effect": "Allow",
			"Action": [
				"cleanrooms:BatchGetCollaborationAnalysisTemplate",
				"cleanrooms:BatchGetSchema",
				"cleanrooms:BatchGetSchemaAnalysisRule",
				"cleanrooms:CreateAnalysisTemplate",
				"cleanrooms:CreateCollaboration",
				"cleanrooms:CreateConfiguredTable",
				"cleanrooms:CreateConfiguredTableAnalysisRule",
				"cleanrooms:CreateConfiguredTableAssociation",
				"cleanrooms:CreateMembership",
				"cleanrooms:DeleteAnalysisTemplate",
				"cleanrooms:DeleteCollaboration",
				"cleanrooms:DeleteConfiguredTable",
				"cleanrooms:DeleteConfiguredTableAnalysisRule",
				"cleanrooms:DeleteConfiguredTableAssociation",
				"cleanrooms:DeleteMember",
				"cleanrooms:DeleteMembership",
				"cleanrooms:GetAnalysisTemplate",
				"cleanrooms:GetCollaboration",
				"cleanrooms:GetCollaborationAnalysisTemplate",
				"cleanrooms:GetConfiguredTable",
				"cleanrooms:GetConfiguredTableAnalysisRule",
				"cleanrooms:GetConfiguredTableAssociation",
				"cleanrooms:GetMembership",
				"cleanrooms:GetProtectedQuery",
				"cleanrooms:GetSchema",
				"cleanrooms:GetSchemaAnalysisRule",
				"cleanrooms:ListAnalysisTemplates",
				"cleanrooms:ListCollaborationAnalysisTemplates",
				"cleanrooms:ListCollaborations",
				"cleanrooms:ListConfiguredTableAssociations",
				"cleanrooms:ListConfiguredTables",
				"cleanrooms:ListMembers",
				"cleanrooms:ListMemberships",
				"cleanrooms:ListProtectedQueries",
				"cleanrooms:ListSchemas",
				"cleanrooms:UpdateAnalysisTemplate",
				"cleanrooms:UpdateCollaboration",
				"cleanrooms:UpdateConfiguredTable",
				"cleanrooms:UpdateConfiguredTableAnalysisRule",
				"cleanrooms:UpdateConfiguredTableAssociation",
				"cleanrooms:UpdateMembership",
				"cleanrooms:ListTagsForResource",
				"cleanrooms:UntagResource",
				"cleanrooms:TagResource"
			],
			"Resource": "*"
		},
		{
			"Sid": "CleanRoomsNoQuerying",
			"Effect": "Deny",
			"Action": [
				"cleanrooms:StartProtectedQuery",
				"cleanrooms:UpdateProtectedQuery"
			],
			"Resource": "*"
		},
		{
			"Sid": "PassServiceRole",
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*",
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ListRolesToPickServiceRole",
			"Effect": "Allow",
			"Action": [
				"iam:ListRoles"
			],
			"Resource": "*"
		},
		{
			"Sid": "GetRoleAndListRolePoliciesToInspectServiceRole",
			"Effect": "Allow",
			"Action": [
				"iam:GetRole",
				"iam:ListRolePolicies",
				"iam:ListAttachedRolePolicies"
			],
			"Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*"
		},
		{
			"Sid": "ListPoliciesToInspectServiceRolePolicy",
			"Effect": "Allow",
			"Action": [
				"iam:ListPolicies"
			],
			"Resource": "*"
		},
		{
			"Sid": "GetPolicyToInspectServiceRolePolicy",
			"Effect": "Allow",
			"Action": [
				"iam:GetPolicy",
				"iam:GetPolicyVersion"
			],
			"Resource": "arn:aws:iam::*:policy/*cleanrooms*"
		},
		{
			"Sid": "ConsoleDisplayTables",
			"Effect": "Allow",
			"Action": [
				"glue:GetDatabase",
				"glue:GetDatabases",
				"glue:GetTable",
				"glue:GetTables",
				"glue:GetPartition",
				"glue:GetPartitions",
				"glue:GetSchema",
				"glue:GetSchemaVersion",
				"glue:BatchGetPartition"
			],
			"Resource": "*"
		},
		{
			"Sid": "EstablishLogDeliveries",
			"Effect": "Allow",
			"Action": [
				"logs:CreateLogDelivery",
				"logs:GetLogDelivery",
				"logs:UpdateLogDelivery",
				"logs:DeleteLogDelivery",
				"logs:ListLogDeliveries"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "SetupLogGroupsDescribe",
			"Effect": "Allow",
			"Action": [
				"logs:DescribeLogGroups"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "SetupLogGroupsCreate",
			"Effect": "Allow",
			"Action": [
				"logs:CreateLogGroup"
			],
			"Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "SetupLogGroupsResourcePolicy",
			"Effect": "Allow",
			"Action": [
			  "logs:DescribeResourcePolicies",
				"logs:PutResourcePolicy"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ConsoleLogSummaryQueryLogs",
			"Effect": "Allow",
			"Action": [
				"logs:StartQuery"
			],
			"Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*"
		},
		{
			"Sid": "ConsoleLogSummaryObtainLogs",
			"Effect": "Allow",
			"Action": [
				"logs:GetQueryResults"
			],
			"Resource": "*"
		}
	]
}

AWS verwaltete Richtlinie: AWSCleanRoomsMLReadOnlyAccess

Sie können eine Verbindung AWSCleanRoomsMLReadOnlyAccess zu Ihren IAM-Prinzipalen herstellen.

Diese Richtlinie gewährt nur Leseberechtigungen für Ressourcen und Metadaten in einer Kollaboration. AWSCleanRoomsMLReadOnlyAccess

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • CleanRoomsConsoleNavigation— Gewährt Zugriff auf die Bildschirme der AWS Clean Rooms Konsole.

  • CleanRoomsMLRead— Ermöglicht Prinzipalen nur Lesezugriff auf den Clean Rooms ML-Dienst.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CleanRoomsConsoleNavigation",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaboration",
                "cleanrooms:GetConfiguredAudienceModelAssociation",
                "cleanrooms:GetMembership",
                "cleanrooms:ListAnalysisTemplates",
                "cleanrooms:ListCollaborationAnalysisTemplates",
                "cleanrooms:ListCollaborationConfiguredAudienceModelAssociations",
                "cleanrooms:ListCollaborations",
                "cleanrooms:ListConfiguredTableAssociations",
                "cleanrooms:ListConfiguredTables",
                "cleanrooms:ListMembers",
                "cleanrooms:ListMemberships",
                "cleanrooms:ListProtectedQueries",
                "cleanrooms:ListSchemas",
                "cleanrooms:ListTagsForResource"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CleanRoomsMLRead",
            "Effect": "Allow",
            "Action": [
                "cleanrooms-ml:Get*",
                "cleanrooms-ml:List*"
            ],
            "Resource": "*"
        }
    ]
}

AWS verwaltete Richtlinie: AWSCleanRoomsMLFullAccess

Sie können eine Verbindung AWSCleanRoomsMLFullAcces zu Ihren IAM-Prinzipalen herstellen. Diese Richtlinie gewährt Administratorberechtigungen, die vollen Zugriff (Lesen, Schreiben und Aktualisieren) auf Ressourcen und Metadaten ermöglichen, die von Clean Rooms ML benötigt werden.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • CleanRoomsMLFullAccess— Gewährt Zugriff auf alle Clean Rooms ML-Aktionen.

  • PassServiceRole— Gewährt Zugriff auf die Weitergabe einer Servicerolle nur an den Dienst (die PassedToService Bedingung), dessen Name cleanrooms-ml "" enthält.

  • CleanRoomsConsoleNavigation— Gewährt Zugriff auf die Bildschirme der AWS Clean Rooms Konsole.

  • CollaborationMembershipCheck— Wenn Sie innerhalb einer Kollaboration einen Job zur Zielgruppengenerierung (Lookalike-Segment) starten, ruft der Clean Rooms ML-Service an, ListMembers um zu überprüfen, ob die Kollaboration gültig ist, ob der Anrufer ein aktives Mitglied und der Besitzer des konfigurierten Zielgruppenmodells ein aktives Mitglied ist. Diese Berechtigung ist immer erforderlich. Die SID für die Konsolennavigation ist nur für Konsolenbenutzer erforderlich.

  • AssociateModels— Ermöglicht Prinzipalen, Ihrer Zusammenarbeit ein Clean Rooms-ML-Modell zuzuordnen.

  • TagAssociations— Ermöglicht es Prinzipalen, der Verknüpfung zwischen einem Lookalike-Modell und einer Kollaboration Tags hinzuzufügen.

  • ListRolesToPickServiceRole— Ermöglicht es Prinzipalen, alle ihre Rollen aufzulisten, um bei der Verwendung eine Servicerolle auszuwählen. AWS Clean Rooms

  • GetRoleAndListRolePoliciesToInspectServiceRole— Ermöglicht Prinzipalen, die Servicerolle und die entsprechende Richtlinie in IAM zu sehen.

  • ListPoliciesToInspectServiceRolePolicy— Ermöglicht Prinzipalen, die Servicerolle und die entsprechende Richtlinie in IAM zu sehen.

  • GetPolicyToInspectServiceRolePolicy— Ermöglicht Prinzipalen, die Servicerolle und die entsprechende Richtlinie in IAM zu sehen.

  • ConsoleDisplayTables— Ermöglicht Prinzipalen den schreibgeschützten Zugriff auf die AWS Glue Metadaten, die für die Anzeige von Daten zu den zugrunde liegenden AWS Glue Tabellen auf der Konsole erforderlich sind.

  • ConsolePickOutputBucket— Ermöglicht Prinzipalen die Auswahl von Amazon S3 S3-Buckets für konfigurierte Zielgruppenmodellausgaben.

  • ConsolePickS3Location— Ermöglicht Prinzipalen die Auswahl des Speicherorts innerhalb eines Buckets für konfigurierte Zielgruppenmodell-Ausgaben.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CleanRoomsMLFullAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms-ml:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PassServiceRole",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/cleanrooms-ml*"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "cleanrooms-ml.amazonaws.com"
                }
            }
        },
        {
            "Sid": "CleanRoomsConsoleNavigation",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaboration",
                "cleanrooms:GetConfiguredAudienceModelAssociation",
                "cleanrooms:GetMembership",
                "cleanrooms:ListAnalysisTemplates",
                "cleanrooms:ListCollaborationAnalysisTemplates",
                "cleanrooms:ListCollaborationConfiguredAudienceModelAssociations",
                "cleanrooms:ListCollaborations",
                "cleanrooms:ListConfiguredTableAssociations",
                "cleanrooms:ListConfiguredTables",
                "cleanrooms:ListMembers",
                "cleanrooms:ListMemberships",
                "cleanrooms:ListProtectedQueries",
                "cleanrooms:ListSchemas",
                "cleanrooms:ListTagsForResource"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CollaborationMembershipCheck",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:ListMembers"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": ["cleanrooms-ml.amazonaws.com"]
                }
            }
        },
        {
            "Sid": "AssociateModels",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:CreateConfiguredAudienceModelAssociation"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TagAssociations",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:TagResource"
            ],
            "Resource": "arn:aws:cleanrooms:*:*:membership/*/configuredaudiencemodelassociation/*"
        },
        {
            "Sid": "ListRolesToPickServiceRole", 
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GetRoleAndListRolePoliciesToInspectServiceRole",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListRolePolicies",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:iam::*:role/service-role/cleanrooms-ml*",
                "arn:aws:iam::*:role/role/cleanrooms-ml*"
            ]
        },
        {
            "Sid": "ListPoliciesToInspectServiceRolePolicy",
            "Effect": "Allow",
            "Action": [
                "iam:ListPolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GetPolicyToInspectServiceRolePolicy",
            "Effect": "Allow",
            "Action": [
                "iam:GetPolicy",
                "iam:GetPolicyVersion"
            ],
            "Resource": "arn:aws:iam::*:policy/*cleanroomsml*"
        },
        {
            "Sid": "ConsoleDisplayTables", 
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:GetSchema",
                "glue:GetSchemaVersion",
                "glue:BatchGetPartition"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ConsolePickOutputBucket",
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ConsolePickS3Location",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::*cleanrooms-ml*"
        }
    ]
}

AWS Clean Rooms Aktualisierungen der AWS verwalteten Richtlinien

Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien, die AWS Clean Rooms seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Abonnieren Sie den RSS-Feed auf der Seite AWS Clean Rooms Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.

Änderung Beschreibung Datum
AWSCleanRoomsFullAccessNoQuerying – Aktualisierung auf eine bestehende Richtlinie cleanrooms:BatchGetSchemaAnalysisRule wurde CleanRoomsAccess hinzugefügt. 13. Mai 2024
AWSCleanRoomsFullAccess – Aktualisierung auf eine bestehende Richtlinie Die Statement ID in der Zeile AWSCleanRoomsFullAccess von ConsolePickQueryResultsBucket bis wurde SetQueryResultsBucket in dieser Richtlinie aktualisiert, um die Berechtigungen besser darzustellen, da die Berechtigungen für die Einstellung des Abfrageergebnis-Buckets sowohl mit als auch ohne Konsole benötigt werden. 21. März 2024

AWSCleanRoomsMLReadOnlyAccess – Neue Richtlinie.

AWSCleanRoomsMLFullAccess – Neue Richtlinie.

Hinzugefügt AWSCleanRoomsMLReadOnlyAccess und AWSCleanRoomsMLFullAccess zur Unterstützung von AWS Clean Rooms ML.

 29. November 2023
AWSCleanRoomsFullAccessNoQuerying – Aktualisierung auf eine bestehende Richtlinie cleanrooms:CreateAnalysisTemplate,,cleanrooms:GetAnalysisTemplate,cleanrooms:UpdateAnalysisTemplate, cleanrooms:DeleteAnalysisTemplatecleanrooms:ListAnalysisTemplates, und hinzugefügt cleanrooms:GetCollaborationAnalysisTemplatecleanrooms:BatchGetCollaborationAnalysisTemplate, cleanrooms:ListCollaborationAnalysisTemplates CleanRoomsAccess um die neue Funktion für Analysevorlagen zu aktivieren. 31. Juli 2023
AWSCleanRoomsFullAccessNoQuerying – Aktualisierung auf eine bestehende Richtlinie cleanrooms:ListTagsForResource, und cleanrooms:TagResource zu hinzugefügtcleanrooms:UntagResource, CleanRoomsAccess um das Ressourcen-Tagging zu aktivieren. 21. März 2023

AWS Clean Rooms hat begonnen, Änderungen zu verfolgen

AWS Clean Rooms hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen.

 12. Januar 2023