Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configure las funciones de servicio para AWS Clean Rooms ML
Temas
Creación de rol de servicio para leer datos de entrenamiento
AWS Clean Rooms usa un rol de servicio para leer los datos de entrenamiento. Puede crear este rol mediante la consola si tiene los IAM permisos necesarios. Si no tiene CreateRole permisos, pida al administrador que cree el rol de servicio.
Para crear un rol de servicio para entrenar un conjunto de datos
-
Inicie sesión en la IAM consola (https://console.aws.amazon.com/iam/
) con su cuenta de administrador. -
En Access management (Administración de acceso), seleccione Policies (Políticas).
-
Elija Create Policy.
-
En el editor de políticas, seleccione la JSONpestaña y, a continuación, copie y pegue la siguiente política.
nota
La siguiente política de ejemplo admite los permisos necesarios para leer los metadatos de AWS Glue y los datos de Amazon S3 correspondientes. No obstante, quizás tenga que modificar esta política en función de cómo haya configurado los datos de S3. Esta política no incluye una KMS clave para descifrar los datos.
Sus AWS Glue recursos y los recursos subyacentes de Amazon S3 deben estar en la Región de AWS misma posición que los de la AWS Clean Rooms colaboración.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartitions", "glue:GetPartition", "glue:BatchGetPartition", "glue:GetUserDefinedFunctions" ], "Resource": [ "arn:aws:glue:region:accountId:database/databases", "arn:aws:glue:region:accountId:table/databases/tables", "arn:aws:glue:region:accountId:catalog", "arn:aws:glue:region:accountId:database/default" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase" ], "Resource": [ "arn:aws:glue:region:accountId:database/default" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::bucket" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }Si necesita usar una KMS clave para descifrar los datos, añada esta AWS KMS declaración a la plantilla anterior:
{ "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
Elija Next (Siguiente).
-
En Revisar y crear, introduzca un Nombre de política y una Descripción y revise el Resumen.
-
Elija Crear política.
Ha creado una política para AWS Clean Rooms.
-
En Administración de accesos, elija Roles.
Con Roles, puede crear credenciales a corto plazo, que son las recomendadas aumentar la seguridad. También puede elegir Usuarios para crear credenciales a largo plazo.
-
Elija Crear rol.
-
En el asistente Crear rol, en Tipo de entidad de confianza, elija Política de confianza personalizada.
-
Copia y pega la siguiente política de confianza personalizada en el JSON editor.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:training-dataset/*" } } } ] }Siempre
SourceAccountes tu AWS cuenta. ElSourceArnpuede limitarse a un conjunto de datos de entrenamiento específico, pero solo después de crear ese conjunto de datos. Como no puedes conocer previamente el conjunto de datos de entrenamientoARN, el comodín se especifica aquí. -
Elija Siguiente y, en Agregar permisos, introduzca el nombre de la política que acaba de crear. (es posible que tenga que volver a cargar la página).
-
Seleccione la casilla de verificación situada junto al nombre de la política que creó y, a continuación, elija Siguiente.
-
En Nombre, revisar y crear, introduzca el Nombre del rol y la Descripción.
nota
El Nombre del rol debe coincidir con el patrón de los permisos de
passRoleconcedidos al miembro que puede realizar consultas y recibir resultados y a roles de miembros.-
Revise la sección Seleccionar entidades de confianza y edítela si es necesario.
-
Revise los permisos en Agregar permisos y edítelos si es necesario.
-
Revise las Etiquetas y añada etiquetas si es necesario.
-
Elija Crear rol.
-
-
Se AWS Clean Rooms ha creado el rol de servicio para.
Creación de un rol de servicio para escribir un segmento similar
AWS Clean Rooms usa un rol de servicio para escribir segmentos similares en un bucket. Puede crear este rol mediante la consola si tiene los IAM permisos necesarios. Si no tiene CreateRole permisos, pida al administrador que cree el rol de servicio.
Creación de un rol de servicio para escribir un segmento similar
-
Inicie sesión en la IAM consola (https://console.aws.amazon.com/iam/
) con su cuenta de administrador. -
En Access management (Administración de acceso), seleccione Policies (Políticas).
-
Elija Create Policy.
-
En el editor de políticas, seleccione la JSONpestaña y, a continuación, copie y pegue la siguiente política.
nota
La siguiente política de ejemplo admite los permisos necesarios para leer los metadatos de AWS Glue y los datos de Amazon S3 correspondientes. No obstante, quizás tenga que modificar esta política en función de cómo haya configurado los datos de S3. Esta política no incluye una KMS clave para descifrar los datos.
Sus AWS Glue recursos y los recursos subyacentes de Amazon S3 deben estar en la Región de AWS misma posición que los de la AWS Clean Rooms colaboración.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::buckets" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }Si necesita usar una KMS clave para cifrar datos, añada esta AWS KMS declaración a la plantilla:
{ "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] }Si necesita usar una KMS clave para descifrar los datos, añada esta AWS KMS declaración a la plantilla:
{ "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
Elija Next (Siguiente).
-
En Revisar y crear, introduzca un Nombre de política y una Descripción y revise el Resumen.
-
Elija Crear política.
Ha creado una política para AWS Clean Rooms.
-
En Administración de accesos, elija Roles.
Con Roles, puede crear credenciales a corto plazo, que son las recomendadas aumentar la seguridad. También puede elegir Usuarios para crear credenciales a largo plazo.
-
Elija Crear rol.
-
En el asistente Crear rol, en Tipo de entidad de confianza, elija Política de confianza personalizada.
-
Copia y pega la siguiente política de confianza personalizada en el JSON editor.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:configured-audience-model/*" } } } ] }Siempre
SourceAccountes tu AWS cuenta. ElSourceArnpuede limitarse a un conjunto de datos de entrenamiento específico, pero solo después de crear ese conjunto de datos. Como no puedes conocer previamente el conjunto de datos de entrenamientoARN, el comodín se especifica aquí. -
Elija Next (Siguiente).
-
Seleccione la casilla de verificación situada junto al nombre de la política que creó y, a continuación, elija Siguiente.
-
En Nombre, revisar y crear, introduzca el Nombre del rol y la Descripción.
nota
El Nombre del rol debe coincidir con el patrón de los permisos de
passRoleconcedidos al miembro que puede realizar consultas y recibir resultados y a roles de miembros.-
Revise la sección Seleccionar entidades de confianza y edítela si es necesario.
-
Revise los permisos en Agregar permisos y edítelos si es necesario.
-
Revise las Etiquetas y añada etiquetas si es necesario.
-
Elija Crear rol.
-
-
Se AWS Clean Rooms ha creado el rol de servicio para.
Creación de rol de servicio para leer datos iniciales
AWS Clean Rooms utiliza un rol de servicio para leer los datos iniciales. Puede crear este rol mediante la consola si tiene los IAM permisos necesarios. Si no tiene CreateRole permisos, pida al administrador que cree el rol de servicio.
Crear un rol de servicio para leer los datos iniciales almacenados en un bucket de Amazon S3.
-
Inicie sesión en la IAM consola (https://console.aws.amazon.com/iam/
) con su cuenta de administrador. -
En Access management (Administración de acceso), seleccione Policies (Políticas).
-
Elija Create Policy.
-
En el editor de políticas, seleccione la JSONpestaña y, a continuación, copie y pegue una de las siguientes políticas.
nota
La siguiente política de ejemplo admite los permisos necesarios para leer los metadatos de AWS Glue y los datos de Amazon S3 correspondientes. No obstante, quizás tenga que modificar esta política en función de cómo haya configurado los datos de S3. Esta política no incluye una KMS clave para descifrar los datos.
Sus AWS Glue recursos y los recursos subyacentes de Amazon S3 deben estar en la Región de AWS misma posición que los de la AWS Clean Rooms colaboración.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", ], "Resource": [ "arn:aws:s3:::buckets" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }nota
El siguiente ejemplo de política admite los permisos necesarios para leer los resultados de una SQL consulta y utilizarlos como datos de entrada. Sin embargo, es posible que tengas que modificar esta política en función de la estructura de la consulta. Esta política no incluye una KMS clave para descifrar los datos.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCleanRoomsStartQuery", "Effect": "Allow", "Action": [ "cleanrooms:GetCollaborationAnalysisTemplate", "cleanrooms:GetSchema", "cleanrooms:StartProtectedQuery" ], "Resource": "*" }, { "Sid": "AllowCleanRoomsGetAndUpdateQuery", "Effect": "Allow", "Action": [ "cleanrooms:GetProtectedQuery", "cleanrooms:UpdateProtectedQuery" ], "Resource": [ "arn:aws:cleanrooms:{{region}}:{{queryRunnerAccountId}}:membership/{{queryRunnerMembershipId}}" ] } ] }Si necesita usar una KMS clave para descifrar los datos, añada esta AWS KMS declaración a la plantilla:
{ "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
Elija Next (Siguiente).
-
En Revisar y crear, introduzca un Nombre de política y una Descripción y revise el Resumen.
-
Elija Crear política.
Ha creado una política para AWS Clean Rooms.
-
En Administración de accesos, elija Roles.
Con Roles, puede crear credenciales a corto plazo, que son las recomendadas aumentar la seguridad. También puede elegir Usuarios para crear credenciales a largo plazo.
-
Elija Crear rol.
-
En el asistente Crear rol, en Tipo de entidad de confianza, elija Política de confianza personalizada.
-
Copia y pega la siguiente política de confianza personalizada en el JSON editor.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:audience-generation-job/*" } } } ] }Siempre
SourceAccountes tu AWS cuenta. ElSourceArnpuede limitarse a un conjunto de datos de entrenamiento específico, pero solo después de crear ese conjunto de datos. Como no puedes conocer previamente el conjunto de datos de entrenamientoARN, el comodín se especifica aquí. -
Elija Next (Siguiente).
-
Seleccione la casilla de verificación situada junto al nombre de la política que creó y, a continuación, elija Siguiente.
-
En Nombre, revisar y crear, introduzca el Nombre del rol y la Descripción.
nota
El Nombre del rol debe coincidir con el patrón de los permisos de
passRoleconcedidos al miembro que puede realizar consultas y recibir resultados y a roles de miembros.-
Revise la sección Seleccionar entidades de confianza y edítela si es necesario.
-
Revise los permisos en Agregar permisos y edítelos si es necesario.
-
Revise las Etiquetas y añada etiquetas si es necesario.
-
Elija Crear rol.
-
-
Se AWS Clean Rooms ha creado el rol de servicio para.
