Configure las funciones de servicio para un modelado similar Configure las funciones de servicio para el modelado personalizado

Configure las funciones de servicio para AWS Clean Rooms el aprendizaje automático

Las funciones necesarias para realizar un modelado similar difieren de las necesarias para utilizar un modelo personalizado. En las siguientes secciones se describen las funciones necesarias para realizar cada tarea.

Temas

Configure las funciones de servicio para un modelado similar
Configure las funciones de servicio para el modelado personalizado

Configure las funciones de servicio para un modelado similar

Temas

Creación de rol de servicio para leer datos de entrenamiento
Creación de un rol de servicio para escribir un segmento similar
Creación de rol de servicio para leer datos iniciales

Creación de rol de servicio para leer datos de entrenamiento

AWS Clean Rooms usa un rol de servicio para leer los datos de entrenamiento. Puede crear este rol mediante la consola si dispone de los permisos de IAM necesarios. Si no tiene permisos CreateRole, pida al administrador que cree el rol de servicio.

Para crear un rol de servicio para entrenar un conjunto de datos

Inicie sesión en la consola de IAM (https://console.aws.amazon.com/iam/) con su cuenta de administrador.
En Access management (Administración de acceso), seleccione Policies (Políticas).
Elija Create Policy.

En el Editor de políticas, seleccione la pestaña JSON y, a continuación, copie y pegue la siguiente política.

nota

El siguiente ejemplo de política admite los permisos necesarios para leer AWS Glue los metadatos y sus datos correspondientes de Amazon S3. No obstante, quizás tenga que modificar esta política en función de cómo haya configurado los datos de S3. Esta política no incluye una clave de KMS para descifrar los datos.

Sus AWS Glue recursos y los recursos subyacentes de Amazon S3 deben estar en la Región de AWS misma posición que la AWS Clean Rooms colaboración.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartitions",
                "glue:GetPartition",
                "glue:BatchGetPartition", 
                "glue:GetUserDefinedFunctions"
            ],
            "Resource": [
                "arn:aws:glue:region:accountId:database/databases",
                "arn:aws:glue:region:accountId:table/databases/tables",
                "arn:aws:glue:region:accountId:catalog",
                "arn:aws:glue:region:accountId:database/default"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase"
            ],
            "Resource": [
                "arn:aws:glue:region:accountId:database/default"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::bucket"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        }
    ]
}

Si es necesario usar una clave KMS para descifrar los datos, añada esta instrucción de AWS KMS a la plantilla anterior:


{
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
    ]
}

Sustituya cada uno placeholder por su propia información:
- region: nombre del Región de AWS. Por ejemplo, us-east-1.
- accountId— El Cuenta de AWS ID en el que se encuentra el depósito S3.
- database/databases, table/databases/tablescatalog, ydatabase/default: la ubicación de los datos de entrenamiento a los que AWS Clean Rooms hay que acceder.
- bucket— El nombre de recurso de Amazon (ARN) del bucket de S3. Puede encontrar el Nombre de recurso de Amazon (ARN) en la pestaña Propiedades del bucket en Amazon S3.
- bucketFolders— El nombre de las carpetas específicas del bucket de S3 a AWS Clean Rooms las que se debe acceder.
Elija Next (Siguiente).
En Revisar y crear, introduzca un Nombre de política y una Descripción y revise el Resumen.
Elija Crear política.

Ha creado una política para AWS Clean Rooms.
En Administración de accesos, elija Roles.

Con Roles, puede crear credenciales a corto plazo, que son las recomendadas aumentar la seguridad. También puede elegir Usuarios para crear credenciales a largo plazo.
Elija Crear rol.
En el asistente Crear rol, en Tipo de entidad de confianza, elija Política de confianza personalizada.

Copie y pegue la siguiente política de confianza personalizada en el editor JSON.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": { 
                    "aws:SourceAccount": ["accountId"]
                },
                "StringLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:region:accountId:training-dataset/*"
                }
            }
        }
    ]
}

El SourceAccount es siempre tuyo Cuenta de AWS. El SourceArn puede limitarse a un conjunto de datos de entrenamiento específico, pero solo después de crear ese conjunto de datos. Como aún no conoce el ARN del conjunto de datos de entrenamiento, el comodín se especifica aquí.

accountIdes el ID Cuenta de AWS que contiene los datos de entrenamiento.

Elija Siguiente y, en Agregar permisos, introduzca el nombre de la política que acaba de crear. (es posible que tenga que volver a cargar la página).
Seleccione la casilla de verificación situada junto al nombre de la política que creó y, a continuación, elija Siguiente.
En Nombre, revisar y crear, introduzca el Nombre del rol y la Descripción.

nota
El Nombre del rol debe coincidir con el patrón de los permisos de passRole concedidos al miembro que puede realizar consultas y recibir resultados y a roles de miembros.
1. Revise la sección Seleccionar entidades de confianza y edítela si es necesario.
2. Revise los permisos en Agregar permisos y edítelos si es necesario.
3. Revise las Etiquetas y añada etiquetas si es necesario.
4. Elija Crear rol.

Ha creado el rol de servicio para AWS Clean Rooms.

Creación de un rol de servicio para escribir un segmento similar

AWS Clean Rooms usa un rol de servicio para escribir segmentos similares en un segmento. Puede crear este rol mediante la consola si dispone de los permisos de IAM necesarios. Si no tiene permisos CreateRole, pida al administrador que cree el rol de servicio.

Creación de un rol de servicio para escribir un segmento similar

Inicie sesión en la consola de IAM (https://console.aws.amazon.com/iam/) con su cuenta de administrador.
En Access management (Administración de acceso), seleccione Policies (Políticas).
Elija Create Policy.

En el Editor de políticas, seleccione la pestaña JSON y, a continuación, copie y pegue la siguiente política.

nota

El siguiente ejemplo de política admite los permisos necesarios para leer AWS Glue los metadatos y sus datos correspondientes de Amazon S3. Sin embargo, es posible que tengas que modificar esta política en función de cómo hayas configurado los datos de Amazon S3. Esta política no incluye una clave de KMS para descifrar los datos.

Sus AWS Glue recursos y los recursos subyacentes de Amazon S3 deben estar en la Región de AWS misma posición que la AWS Clean Rooms colaboración.


{
    "Version": "2012-10-17",
    "Statement": [
    {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::buckets"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        }
  ]
}

Si es necesario usar una clave de KMS para cifrar los datos, agregue esta instrucción de AWS KMS a la plantilla:


{
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey*",
                "kms:ReEncrypt*",
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
  ]
}

Sustituya cada uno placeholder por su propia información:
- buckets— El nombre de recurso de Amazon (ARN) del bucket de S3. Puede encontrar el Nombre de recurso de Amazon (ARN) en la pestaña Propiedades del bucket en Amazon S3.
- accountId— El Cuenta de AWS ID en el que se encuentra el bucket de S3.
- bucketFolders— El nombre de las carpetas específicas del depósito de S3 a AWS Clean Rooms las que hay que acceder.
- region: nombre del Región de AWS. Por ejemplo, us-east-1.
- keyId— La clave KMS necesaria para cifrar los datos.
Elija Next (Siguiente).
En Revisar y crear, introduzca un Nombre de política y una Descripción y revise el Resumen.
Elija Crear política.

Ha creado una política para AWS Clean Rooms.
En Administración de accesos, elija Roles.

Con Roles, puede crear credenciales a corto plazo, que son las recomendadas aumentar la seguridad. También puede elegir Usuarios para crear credenciales a largo plazo.
Elija Crear rol.
En el asistente Crear rol, en Tipo de entidad de confianza, elija Política de confianza personalizada.

Copie y pegue la siguiente política de confianza personalizada en el editor JSON.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": { 
                    "aws:SourceAccount": ["accountId"]

                },
                "StringLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:region:accountId:configured-audience-model/*"
                }
            }
        }
    ]
}

Elija Next (Siguiente).
Seleccione la casilla de verificación situada junto al nombre de la política que creó y, a continuación, elija Siguiente.
En Nombre, revisar y crear, introduzca el Nombre del rol y la Descripción.

nota
El Nombre del rol debe coincidir con el patrón de los permisos de passRole concedidos al miembro que puede realizar consultas y recibir resultados y a roles de miembros.
1. Revise la sección Seleccionar entidades de confianza y edítela si es necesario.
2. Revise los permisos en Agregar permisos y edítelos si es necesario.
3. Revise las Etiquetas y añada etiquetas si es necesario.
4. Elija Crear rol.

Ha creado el rol de servicio para. AWS Clean Rooms

Creación de rol de servicio para leer datos iniciales

AWS Clean Rooms utiliza un rol de servicio para leer los datos iniciales. Puede crear este rol mediante la consola si dispone de los permisos de IAM necesarios. Si no tiene permisos CreateRole, pida al administrador que cree el rol de servicio.

Para crear un rol de servicio para leer los datos iniciales almacenados en un bucket de S3.

Inicie sesión en la consola de IAM (https://console.aws.amazon.com/iam/) con su cuenta de administrador.
En Access management (Administración de acceso), seleccione Policies (Políticas).
Elija Create Policy.

En el Editor de políticas, seleccione la pestaña JSON y, a continuación, copie y pegue una de las siguientes políticas.

nota

Sus AWS Glue recursos y los recursos subyacentes de Amazon S3 deben estar en la Región de AWS misma posición que la AWS Clean Rooms colaboración.


{
    "Version": "2012-10-17",
    "Statement": [
    {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
            ],
            "Resource": [
                "arn:aws:s3:::buckets"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        }
  ]
}

nota

La siguiente política de ejemplo admite los permisos necesarios para leer los resultados de una consulta SQL y utilizarlos como datos de entrada. No obstante, es posible que tenga que modificar esta política en función de cómo esté estructurada la consulta. Esta política no incluye una clave de KMS para descifrar los datos.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCleanRoomsStartQuery",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaborationAnalysisTemplate",
                "cleanrooms:GetSchema", 
                "cleanrooms:StartProtectedQuery"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCleanRoomsGetAndUpdateQuery",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetProtectedQuery", 
                "cleanrooms:UpdateProtectedQuery"
            ],
            "Resource": [
                "arn:aws:cleanrooms:region:queryRunnerAccountId:membership/queryRunnerMembershipId"
            ]
        }
    ]
}

Si es necesario usar una clave KMS para descifrar los datos, añada esta instrucción de AWS KMS a la plantilla:


{
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
  ]
}

Sustituya cada uno placeholder por su propia información:
- buckets— El nombre de recurso de Amazon (ARN) del bucket de S3. Puede encontrar el Nombre de recurso de Amazon (ARN) en la pestaña Propiedades del bucket en Amazon S3.
- accountId— El Cuenta de AWS ID en el que se encuentra el bucket de S3.
- bucketFolders— El nombre de las carpetas específicas del depósito de S3 a AWS Clean Rooms las que hay que acceder.
- region: nombre del Región de AWS. Por ejemplo, us-east-1.
- queryRunnerAccountId— El Cuenta de AWS ID de la cuenta que ejecutará las consultas.
- queryRunnerMembershipId— El ID de membresía del miembro que puede realizar la consulta. Puede encontrar el ID de pertenencia en la pestaña Detalles de la colaboración. Esto garantiza AWS Clean Rooms que solo asuma el rol cuando este miembro ejecute el análisis en esta colaboración.
- keyId— La clave KMS necesaria para cifrar los datos.
Elija Next (Siguiente).
En Revisar y crear, introduzca un Nombre de política y una Descripción y revise el Resumen.
Elija Crear política.

Ha creado una política para AWS Clean Rooms.
En Administración de accesos, elija Roles.

Con Roles, puede crear credenciales a corto plazo, que son las recomendadas aumentar la seguridad. También puede elegir Usuarios para crear credenciales a largo plazo.
Elija Crear rol.
En el asistente Crear rol, en Tipo de entidad de confianza, elija Política de confianza personalizada.

Copie y pegue la siguiente política de confianza personalizada en el editor JSON.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": {
                    "aws:SourceAccount": ["accountId"]

                },
                "StringLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:region:accountId:audience-generation-job/*"
                }
            }
        }
    ]
}

Elija Next (Siguiente).
Seleccione la casilla de verificación situada junto al nombre de la política que creó y, a continuación, elija Siguiente.
En Nombre, revisar y crear, introduzca el Nombre del rol y la Descripción.

nota
El Nombre del rol debe coincidir con el patrón de los permisos de passRole concedidos al miembro que puede realizar consultas y recibir resultados y a roles de miembros.
1. Revise la sección Seleccionar entidades de confianza y edítela si es necesario.
2. Revise los permisos en Agregar permisos y edítelos si es necesario.
3. Revise las Etiquetas y añada etiquetas si es necesario.
4. Elija Crear rol.

Ha creado el rol de servicio para. AWS Clean Rooms

Configure las funciones de servicio para el modelado personalizado

Temas

Cree un rol de servicio para el modelado de ML personalizado: Configuración de ML
Cree un rol de servicio para proporcionar un modelo de aprendizaje automático personalizado
Cree un rol de servicio para consultar un conjunto de datos
Cree un rol de servicio para crear una asociación de tablas configurada

Cree un rol de servicio para el modelado de ML personalizado: Configuración de ML

AWS Clean Rooms usa un rol de servicio para controlar quién puede crear una configuración de ML personalizada. Puede crear este rol mediante la consola si dispone de los permisos de IAM necesarios. Si no tiene permisos CreateRole, pida al administrador que cree el rol de servicio.

Este rol le permite usar la MLConfiguration acción Crear.

Para crear un rol de servicio que permita la creación de una configuración de aprendizaje automático personalizada

Inicie sesión en la consola de IAM (https://console.aws.amazon.com/iam/) con su cuenta de administrador.
En Access management (Administración de acceso), seleccione Policies (Políticas).
Elija Create Policy.

En el Editor de políticas, seleccione la pestaña JSON y, a continuación, copie y pegue la siguiente política.

nota

El siguiente ejemplo de política admite los permisos necesarios para acceder a un bucket de S3 y escribirlos y para publicar CloudWatch métricas. Sin embargo, es posible que tengas que modificar esta política en función de cómo hayas configurado los datos de Amazon S3. Esta política no incluye una clave de KMS para descifrar los datos.

Sus recursos de Amazon S3 deben estar en los Región de AWS mismos que los de la AWS Clean Rooms colaboración.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowS3ObjectWriteForExport",
            "Effect": "Allow",
            "Action": ["s3:PutObject"],
            "Resource": [
                "arn:aws:s3:::bucket/*"
            ]
        },
        {
            "Sid": "AllowS3KMSEncryptForExport",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey*",
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ]
        },
        {
            "Sid": "AllowCloudWatchMetricsPublishingForTrainingJobs",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "arn:aws:cloudwatch:region:accountId:namespace/aws/cleanroomsml/*",
            "Resource": "*",
            "Effect": "Allow"
       },
       {
            "Sid": "AllowCloudWatchLogsPublishingForTrainingOrInferenceJobs",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",            
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ]
        }
   ]
}

Sustituya cada uno placeholder por su propia información:
- bucket— El nombre de recurso de Amazon (ARN) del bucket de S3. Puede encontrar el Nombre de recurso de Amazon (ARN) en la pestaña Propiedades del bucket en Amazon S3.
- region: nombre del Región de AWS. Por ejemplo, us-east-1.
- accountId— El Cuenta de AWS ID en el que se encuentra el bucket de S3.
- keyId— La clave KMS necesaria para cifrar los datos.
Elija Next (Siguiente).
En Revisar y crear, introduzca un Nombre de política y una Descripción y revise el Resumen.
Elija Crear política.

Ha creado una política para AWS Clean Rooms.
En Administración de accesos, elija Roles.

Con Roles, puede crear credenciales a corto plazo, que son las recomendadas aumentar la seguridad. También puede elegir Usuarios para crear credenciales a largo plazo.
Elija Crear rol.
En el asistente Crear rol, en Tipo de entidad de confianza, elija Política de confianza personalizada.

Copie y pegue la siguiente política de confianza personalizada en el editor JSON.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": { 
                    "aws:SourceAccount": "accountId"
                },
                "ArnLike": { 
                    "aws:SourceArn": "arn:aws:cleanrooms:region:accountId:membership/membershipID"
                }
            }
        }
    ]
}

Elija Next (Siguiente).
Seleccione la casilla de verificación situada junto al nombre de la política que creó y, a continuación, elija Siguiente.
En Nombre, revisar y crear, introduzca el Nombre del rol y la Descripción.

nota
El Nombre del rol debe coincidir con el patrón de los permisos de passRole concedidos al miembro que puede realizar consultas y recibir resultados y a roles de miembros.
1. Revise la sección Seleccionar entidades de confianza y edítela si es necesario.
2. Revise los permisos en Agregar permisos y edítelos si es necesario.
3. Revise las Etiquetas y añada etiquetas si es necesario.
4. Elija Crear rol.

Ha creado el rol de servicio para. AWS Clean Rooms

Cree un rol de servicio para proporcionar un modelo de aprendizaje automático personalizado

AWS Clean Rooms utiliza un rol de servicio para controlar quién puede crear un algoritmo de modelo de aprendizaje automático personalizado. Puede crear este rol mediante la consola si dispone de los permisos de IAM necesarios. Si no tiene permisos CreateRole, pida al administrador que cree el rol de servicio.

Este rol le permite usar la CreateConfiguredModelAlgorithm acción.

Crear un rol de servicio que permita a un miembro proporcionar un modelo de aprendizaje automático personalizado

Inicie sesión en la consola de IAM (https://console.aws.amazon.com/iam/) con su cuenta de administrador.
En Access management (Administración de acceso), seleccione Policies (Políticas).
Elija Create Policy.
En el Editor de políticas, seleccione la pestaña JSON y, a continuación, copie y pegue la siguiente política.

nota
El siguiente ejemplo de política admite los permisos necesarios para recuperar la imagen del docker que contiene el algoritmo del modelo. Sin embargo, es posible que tengas que modificar esta política en función de cómo hayas configurado los datos de Amazon S3. Esta política no incluye una clave de KMS para descifrar los datos.
Sus recursos de Amazon S3 deben estar en los Región de AWS mismos que los de la AWS Clean Rooms colaboración.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowECRImageDownloadForTrainingAndInferenceJobs",
            "Effect": "Allow",
            "Action": [
                "ecr:BatchGetImage",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer"
            ],
            "Resource": "arn:aws:ecr:region:accountID:repository/repoName"
        }
    ]
}
```
Sustituya cada uno placeholder por su propia información:
- region: nombre del Región de AWS. Por ejemplo, us-east-1.
- accountId— El Cuenta de AWS ID en el que se encuentra el depósito S3.
- repoName— El nombre del repositorio que contiene los datos.
Elija Next (Siguiente).
En Revisar y crear, introduzca un Nombre de política y una Descripción y revise el Resumen.
Elija Crear política.

Ha creado una política para AWS Clean Rooms.
En Administración de accesos, elija Roles.

Con Roles, puede crear credenciales a corto plazo, que son las recomendadas aumentar la seguridad. También puede elegir Usuarios para crear credenciales a largo plazo.
Elija Crear rol.
En el asistente Crear rol, en Tipo de entidad de confianza, elija Política de confianza personalizada.
Copie y pegue la siguiente política de confianza personalizada en el editor JSON.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```
Siempre SourceAccount es tuyo. SourceArn Puede limitarse a un conjunto de datos de entrenamiento específico, pero solo después de que se haya creado ese conjunto de datos. Cuenta de AWS Como aún no conoce el ARN del conjunto de datos de entrenamiento, el comodín se especifica aquí.
Elija Next (Siguiente).
Seleccione la casilla de verificación situada junto al nombre de la política que creó y, a continuación, elija Siguiente.
En Nombre, revisar y crear, introduzca el Nombre del rol y la Descripción.

nota
El Nombre del rol debe coincidir con el patrón de los permisos de passRole concedidos al miembro que puede realizar consultas y recibir resultados y a roles de miembros.
1. Revise la sección Seleccionar entidades de confianza y edítela si es necesario.
2. Revise los permisos en Agregar permisos y edítelos si es necesario.
3. Revise las Etiquetas y añada etiquetas si es necesario.
4. Elija Crear rol.

Ha creado el rol de servicio para. AWS Clean Rooms

Cree un rol de servicio para consultar un conjunto de datos

AWS Clean Rooms usa un rol de servicio para controlar quién puede consultar un conjunto de datos que se utilizará para el modelado de aprendizaje automático personalizado. Puede crear este rol mediante la consola si dispone de los permisos de IAM necesarios. Si no tiene permisos CreateRole, pida al administrador que cree el rol de servicio.

Este rol te permite usar la acción Crear MLInput canal.

Para crear un rol de servicio que permita a un miembro consultar un conjunto de datos

Inicie sesión en la consola de IAM (https://console.aws.amazon.com/iam/) con su cuenta de administrador.
En Access management (Administración de acceso), seleccione Policies (Políticas).
Elija Create Policy.

En el Editor de políticas, seleccione la pestaña JSON y, a continuación, copie y pegue la siguiente política.

nota

El siguiente ejemplo de política admite los permisos necesarios para consultar un conjunto de datos que se utilizará para el modelado de aprendizaje automático personalizado. Sin embargo, es posible que tengas que modificar esta política en función de cómo hayas configurado los datos de Amazon S3. Esta política no incluye una clave de KMS para descifrar los datos.

Sus recursos de Amazon S3 deben estar en los Región de AWS mismos que los de la AWS Clean Rooms colaboración.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCleanRoomsStartQueryForMLInputChannel",
            "Effect": "Allow",
            "Action": "cleanrooms:StartProtectedQuery",
            "Resource": "*"
        },
        {
            "Sid": "AllowCleanRoomsGetSchemaForMLInputChannel",
            "Effect": "Allow",
            "Action": "cleanrooms:GetSchema",
            "Resource": "*"
        },
        {
            "Sid": "AllowCleanRoomsGetAndUpdateQueryForMLInputChannel",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetProtectedQuery", 
                "cleanrooms:UpdateProtectedQuery"
            ],
            "Resource": [
                "arn:aws:cleanrooms:region:queryRunnerAccountId:membership/queryRunnerMembershipId"
            ]
        }
    ]
}

Sustituya cada uno placeholder por su propia información:
- region: nombre del Región de AWS. Por ejemplo, us-east-1.
- queryRunnerAccountId— El Cuenta de AWS ID de la cuenta que ejecutará las consultas.
- queryRunnerMembershipId— El ID de membresía del miembro que puede realizar la consulta. Puede encontrar el ID de pertenencia en la pestaña Detalles de la colaboración. Esto garantiza AWS Clean Rooms que solo asuma el rol cuando este miembro ejecute el análisis en esta colaboración.
Elija Next (Siguiente).
En Revisar y crear, introduzca un Nombre de política y una Descripción y revise el Resumen.
Elija Crear política.

Ha creado una política para AWS Clean Rooms.
En Administración de accesos, elija Roles.

Con Roles, puede crear credenciales a corto plazo, que son las recomendadas aumentar la seguridad. También puede elegir Usuarios para crear credenciales a largo plazo.
Elija Crear rol.
En el asistente Crear rol, en Tipo de entidad de confianza, elija Política de confianza personalizada.
Copie y pegue la siguiente política de confianza personalizada en el editor JSON.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```
Siempre SourceAccount es tuyo. SourceArn Puede limitarse a un conjunto de datos de entrenamiento específico, pero solo después de que se haya creado ese conjunto de datos. Cuenta de AWS Como aún no conoce el ARN del conjunto de datos de entrenamiento, el comodín se especifica aquí.
Elija Next (Siguiente).
Seleccione la casilla de verificación situada junto al nombre de la política que creó y, a continuación, elija Siguiente.
En Nombre, revisar y crear, introduzca el Nombre del rol y la Descripción.

nota
El Nombre del rol debe coincidir con el patrón de los permisos de passRole concedidos al miembro que puede realizar consultas y recibir resultados y a roles de miembros.
1. Revise la sección Seleccionar entidades de confianza y edítela si es necesario.
2. Revise los permisos en Agregar permisos y edítelos si es necesario.
3. Revise las Etiquetas y añada etiquetas si es necesario.
4. Elija Crear rol.

Ha creado el rol de servicio para. AWS Clean Rooms

Cree un rol de servicio para crear una asociación de tablas configurada

AWS Clean Rooms usa un rol de servicio para controlar quién puede crear una asociación de tablas configurada. Puede crear este rol mediante la consola si dispone de los permisos de IAM necesarios. Si no tiene permisos CreateRole, pida al administrador que cree el rol de servicio.

Este rol le permite usar la CreateConfiguredTableAssociation acción.

Para crear un rol de servicio que permita la creación de una asociación de tablas configurada

Inicie sesión en la consola de IAM (https://console.aws.amazon.com/iam/) con su cuenta de administrador.
En Access management (Administración de acceso), seleccione Policies (Políticas).
Elija Create Policy.

En el Editor de políticas, seleccione la pestaña JSON y, a continuación, copie y pegue la siguiente política.

nota

El siguiente ejemplo de política admite la creación de una asociación de tablas configurada. Sin embargo, es posible que tengas que modificar esta política en función de cómo hayas configurado los datos de Amazon S3. Esta política no incluye una clave de KMS para descifrar los datos.

Sus recursos de Amazon S3 deben estar en los Región de AWS mismos que los de la AWS Clean Rooms colaboración.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "KMS key used to encrypt the S3 data",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "S3 bucket of Glue table",
            "Effect": "Allow"
        },
        {
            "Action": "s3:GetObject",
            "Resource": "S3 bucket of Glue table/*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartitions",
                "glue:GetPartition",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:region:accountID:catalog",
                "arn:aws:glue:region:accountID:database/Glue database name",
                "arn:aws:glue:region:accountID:table/Glue database name/Glue table name"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "glue:GetSchema",
                "glue:GetSchemaVersion"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Sustituya cada uno placeholder por su propia información:
- KMS key used to encrypt the Amazon S3 data— La clave de KMS que se utilizó para cifrar los datos de Amazon S3. Para descifrar los datos, debe proporcionar la misma clave KMS que se utilizó para cifrar los datos.
- Amazon S3 bucket of AWS Glue table— El nombre del bucket de Amazon S3 que contiene la AWS Glue tabla que contiene sus datos.
- region: nombre del Región de AWS. Por ejemplo, us-east-1.
- accountId— El Cuenta de AWS ID de la cuenta propietaria de los datos.
- AWS Glue database name— El nombre de la AWS Glue base de datos que contiene los datos.
- AWS Glue table name— El nombre de la AWS Glue tabla que contiene los datos.
Elija Next (Siguiente).
En Revisar y crear, introduzca un Nombre de política y una Descripción y revise el Resumen.
Elija Crear política.

Ha creado una política para AWS Clean Rooms.
En Administración de accesos, elija Roles.

Con Roles, puede crear credenciales a corto plazo, que son las recomendadas aumentar la seguridad. También puede elegir Usuarios para crear credenciales a largo plazo.
Elija Crear rol.
En el asistente Crear rol, en Tipo de entidad de confianza, elija Política de confianza personalizada.
Copie y pegue la siguiente política de confianza personalizada en el editor JSON.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
        }
    ]
}
```
Siempre SourceAccount es tuyo. SourceArn Puede limitarse a un conjunto de datos de entrenamiento específico, pero solo después de que se haya creado ese conjunto de datos. Cuenta de AWS Como aún no conoce el ARN del conjunto de datos de entrenamiento, el comodín se especifica aquí.
Elija Next (Siguiente).
Seleccione la casilla de verificación situada junto al nombre de la política que creó y, a continuación, elija Siguiente.
En Nombre, revisar y crear, introduzca el Nombre del rol y la Descripción.

nota
El Nombre del rol debe coincidir con el patrón de los permisos de passRole concedidos al miembro que puede realizar consultas y recibir resultados y a roles de miembros.
1. Revise la sección Seleccionar entidades de confianza y edítela si es necesario.
2. Revise los permisos en Agregar permisos y edítelos si es necesario.
3. Revise las Etiquetas y añada etiquetas si es necesario.
4. Elija Crear rol.

Ha creado el rol de servicio para. AWS Clean Rooms

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configure las funciones de servicio para AWS Clean Rooms

Colaboraciones y suscripciones