Configure las funciones de servicio para AWS Clean Rooms - AWS Clean Rooms
Creación de un usuario administradorCreación de un rol de IAM para un miembro de la colaboraciónCree un rol de servicio para leer datos de Amazon S3Cree un rol de servicio para leer los datos de Amazon AthenaCree un rol de servicio para leer los datos de SnowflakeCreación de un rol de servicio para recibir resultados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configure las funciones de servicio para AWS Clean Rooms

Creación de un usuario administrador

Para AWS Clean Rooms utilizarlos, debe crear un usuario administrador para usted y añadir el usuario administrador a un grupo de administradores.

Para crear un usuario administrador, elija una de las siguientes opciones.

Elegir una forma de administrar el administrador Para Haga esto También puede
En IAM Identity Center

(recomendado)

 Usar credenciales a corto plazo para acceder a AWS.

Esto se ajusta a las prácticas recomendadas de seguridad. Para obtener información sobre las prácticas recomendadas, consulta Prácticas recomendadas de seguridad en IAM en la Guía del usuario de IAM.

 Siga las instrucciones en Introducción en la Guía del usuario de AWS IAM Identity Center . Configure el acceso mediante programación configurando el AWS CLI que se utilizará AWS IAM Identity Center en la Guía del AWS Command Line Interface usuario.
En IAM

(no recomendado)

 Usar credenciales a largo plazo para acceder a AWS. Siga las instrucciones de la Guía del usuario de IAM para el acceso de emergencia. Configure el acceso programático mediante la opción Administrar las claves de acceso para los usuarios de IAM en la Guía del usuario de IAM.

Creación de un rol de IAM para un miembro de la colaboración

Un miembro es un AWS cliente que participa en una colaboración.

Para crear un rol de IAM para un miembro de la colaboración

  1. Siga el procedimiento Creación de un rol para delegar permisos a un usuario de IAM de la Guía del usuario de AWS Identity and Access Management .

  2. Para el paso Creación de política, seleccione la pestaña JSON en el Editor de políticas y, a continuación, agregue políticas en función de las capacidades otorgadas al miembro de la colaboración.

    AWS Clean Rooms ofrece las siguientes políticas administradas basadas en casos de uso comunes.

    Si desea… Entonces use...
    Ver los recursos y metadatos AWS política gestionada: AWSCleanRoomsReadOnlyAccess
    Consultar AWS política gestionada: AWSCleanRoomsFullAccess
    Consultar y recibir resultados AWS política gestionada: AWSCleanRoomsFullAccess
    Administración de los recursos de colaboración, pero no consultas AWS política gestionada: AWSCleanRoomsFullAccessNoQuerying

    Para obtener información sobre las diferentes políticas gestionadas que ofrecen AWS Clean Rooms, consulteAWS políticas gestionadas para AWS Clean Rooms,

Cree un rol de servicio para leer datos de Amazon S3

AWS Clean Rooms utiliza un rol de servicio para leer los datos de Amazon S3.

Hay dos formas de crear este rol de servicio.

  • Si tiene los permisos de IAM necesarios para crear un rol de servicio, utilice la AWS Clean Rooms consola para crear un rol de servicio.

  • Si no tiene iam:CreateRole iam:AttachRolePolicy permisos o desea crear iam:CreatePolicy los roles de IAM manualmente, realice una de las siguientes acciones:

    • Utilice el siguiente procedimiento para crear un rol de servicio mediante políticas de confianza personalizadas.

    • Pídale al administrador que cree el rol de servicio mediante el siguiente procedimiento.

nota

Usted o su administrador de IAM deben seguir este procedimiento únicamente si no tienen los permisos necesarios para crear un rol de servicio mediante la AWS Clean Rooms consola.

Para crear un rol de servicio para leer datos de Amazon S3 mediante políticas de confianza personalizadas

  1. Cree un rol mediante políticas de confianza personalizadas. Para obtener más información, consulte el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola) en la Guía del AWS Identity and Access Management usuario.

  2. Utilice la siguiente política de confianza personalizada de acuerdo con el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola).

    nota

    Si quiere asegurarse de que el rol se utilice únicamente en el contexto de una determinada membresía de colaboración, puede ampliar la política de confianza. Para obtener más información, consulte Prevención de la sustitución confusa entre servicios.

    { 

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyForCleanRoomsService",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
     ]
}

  3. Utilice la siguiente política de permisos de acuerdo con el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola).

    nota

    La siguiente política de ejemplo admite los permisos necesarios para leer los metadatos de AWS Glue y los datos de Amazon S3 correspondientes. Sin embargo, es posible que tengas que modificar esta política en función de cómo hayas configurado los datos de Amazon S3. Por ejemplo, si ha configurado una clave de KMS personalizada para sus datos de Amazon S3, es posible que deba modificar esta política con permisos adicionales AWS Key Management Service (AWS KMS).

    Sus AWS Glue recursos y los recursos subyacentes de Amazon S3 deben estar en la Región de AWS misma posición que la AWS Clean Rooms colaboración.

    { 

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "NecessaryGluePermissions",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:aws-region:accountId:database/database",
                "arn:aws:glue:aws-region:accountId:table/table",
                "arn:aws:glue:aws-region:accountId:catalog"
            ]
        },
 	{
            "Effect": "Allow",
            "Action": [
                "glue:GetSchema",
                "glue:GetSchemaVersion"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "NecessaryS3BucketPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation", 
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "s3BucketOwnerAccountId"
                    ]
                }
            }
        },
        {
            "Sid": "NecessaryS3ObjectPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3::bucket/prefix/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "s3BucketOwnerAccountId"
                    ]
                }
            }
        }
        
    ]
}

  4. Reemplace cada placeholder por su propia información.

  5. Siga el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola) para crear el rol.

Cree un rol de servicio para leer los datos de Amazon Athena

AWS Clean Rooms utiliza un rol de servicio para leer los datos de Amazon Athena.

Para crear un rol de servicio para leer datos de Athena mediante políticas de confianza personalizadas

  1. Cree un rol mediante políticas de confianza personalizadas. Para obtener más información, consulte el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola) en la Guía del AWS Identity and Access Management usuario.

  2. Utilice la siguiente política de confianza personalizada de acuerdo con el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola).

    nota

    Si quiere asegurarse de que el rol se utilice únicamente en el contexto de una determinada membresía de colaboración, puede ampliar la política de confianza. Para obtener más información, consulte Prevención de la sustitución confusa entre servicios.

    { 

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyForCleanRoomsService",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
     ]
}

  3. Utilice la siguiente política de permisos de acuerdo con el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola).

    nota

    El siguiente ejemplo de política admite los permisos necesarios para leer AWS Glue los metadatos y sus datos de Athena correspondientes. Sin embargo, es posible que tengas que modificar esta política en función de cómo hayas configurado los datos de Amazon S3. Por ejemplo, si ya configuró una clave de KMS personalizada para sus datos de Amazon S3, es posible que deba modificar esta política con AWS KMS permisos adicionales.

    Sus AWS Glue recursos y los recursos subyacentes de Athena deben ser los mismos que los de la Región de AWS AWS Clean Rooms colaboración.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:GetDataCatalog",
                "athena:GetWorkGroup",
                "athena:GetTableMetadata",
                "athena:GetQueryExecution",
                "athena:GetQueryResults",
                "athena:StartQueryExecution"
            ],
            "Resource": [
                "arn:aws:athena:region:accountId:workgroup/workgroup",
                "arn:aws:athena:region:accountId:datacatalog/AwsDataCatalog"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetTable",
                "glue:GetPartitions"
            ],
            "Resource": [
                "arn:aws:glue:region:accountId:catalog",
                "arn:aws:glue:region:accountId:database/database name",
                "arn:aws:glue:region:accountId:table/database name/table name"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetBucketLocation",
                "s3:AbortMultipartUpload",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "lakeformation:GetDataAccess",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:region:accountId:key/*"
        }
    ]
}

  4. Reemplace cada placeholder por su propia información.

  5. Siga el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola) para crear el rol.

Configurar permisos de Lake Formation

El rol de servicio debe tener los permisos de acceso de selección y descripción en las vistas y descripciones del GDC en la AWS Glue base de datos en la que está almacenada la vista del GDC.

Set up Lake Formation permissions for a GDC View
Para configurar los permisos de Lake Formation para una vista de GDC

  1. Abra la consola de Lake Formation en https://console.aws.amazon.com/lakeformation/

  2. En el panel de navegación, en Catálogo de datos, elija Bases de datos y, a continuación, elija Vistas.

  3. Elija su vista y, a continuación, en Acciones, elija Otorgar.

  4. En el caso de los directores, en Usuario y funciones de IAM, elige tu función de servicio.

  5. En Ver permisos, en Ver permisos, selecciona Seleccionar y describir.

  6. Elija Conceder.

Set up Lake Formation permissions for the AWS Glue database that the GDC View is stored in
Para configurar los permisos de Lake Formation para la AWS Glue base de datos en la que está almacenada la vista GDC

  1. Abra la consola de Lake Formation en https://console.aws.amazon.com/lakeformation/

  2. En el panel de navegación, en Catálogo de datos, elija Bases de datos.

  3. Elija la AWS Glue base de datos y, a continuación, en Acciones, elija Otorgar.

  4. En el caso de los directores, en Usuario y funciones de IAM, elija su función de servicio.

  5. Para los permisos de base de datos, en Permisos de base de datos, seleccione Describir.

  6. Elija Conceder.

Cree un rol de servicio para leer los datos de Snowflake

AWS Clean Rooms utiliza un rol de servicio para recuperar las credenciales para que Snowflake lea los datos de esta fuente.

Hay dos formas de crear este rol de servicio:

  • Si tiene los permisos de IAM necesarios para crear un rol de servicio, utilice la AWS Clean Rooms consola para crear un rol de servicio.

  • Si no tiene iam:CreateRole iam:AttachRolePolicy permisos o desea crear iam:CreatePolicy los roles de IAM manualmente, realice una de las siguientes acciones:

    • Utilice el siguiente procedimiento para crear un rol de servicio mediante políticas de confianza personalizadas.

    • Pídale al administrador que cree el rol de servicio mediante el siguiente procedimiento.

nota

Usted o su administrador de IAM deben seguir este procedimiento únicamente si no tienen los permisos necesarios para crear un rol de servicio mediante la AWS Clean Rooms consola.

Para crear un rol de servicio para leer datos de Snowflake mediante políticas de confianza personalizadas

  1. Cree un rol mediante políticas de confianza personalizadas. Para obtener más información, consulte el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola) en la Guía del AWS Identity and Access Management usuario.

  2. Utilice la siguiente política de confianza personalizada de acuerdo con el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola).

    nota

    Si quiere asegurarse de que el rol se utilice únicamente en el contexto de una determinada membresía de colaboración, puede ampliar la política de confianza. Para obtener más información, consulte Prevención de la sustitución confusa entre servicios.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIfSourceArnMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ForAnyValue:ArnEquals": {
                    "aws:SourceArn": [
                        "arn:aws:cleanrooms:region:accountId:membership/membershipId",
                        "arn:aws:cleanrooms:region:queryRunnerAccountId:membership/queryRunnerMembershipId"
                    ]
                }
            }
        }
    ]
}

  3. Utilice una de las siguientes políticas de permisos según el procedimiento de creación de un rol mediante políticas de confianza personalizadas (consola).

    Política de permisos para los secretos cifrados con una clave KMS propiedad del cliente

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:region:secretAccountId:secret:secretIdentifier",
            "Effect": "Allow"
        },
        {
            "Sid": "AllowDecryptViaSecretsManagerForKey",
            "Action": "kms:Decrypt",
            "Resource": "arn:aws:kms:region:keyOwnerAccountId:key/keyIdentifier",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.region.amazonaws.com",
                    "kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:region:secretAccountId:secret:secretIdentifier"
                }
            }
        }
    ]
}

    Política de permisos para los secretos cifrados con una Clave administrada de AWS

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:region:accountId:secret:secretIdentifier",
            "Effect": "Allow"
        }
    ]
}

  4. Reemplace cada placeholder por su propia información.

  5. Siga el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola) para crear el rol.

Creación de un rol de servicio para recibir resultados

nota

Si es el único miembro que solo puede recibir resultados (en la consola, sus destrezas como miembro solo son Recibir resultados), siga este procedimiento.

Si es un miembro que puede realizar consultas y recibir resultados (en la consola, Sus destrezas como miembro son Consultar y Recibir resultados), puede omitir este procedimiento.

Para los miembros de la colaboración que solo pueden recibir resultados, AWS Clean Rooms utiliza un rol de servicio para escribir los resultados de los datos consultados en la colaboración en el bucket de S3 especificado.

Hay dos formas de crear este rol de servicio:

  • Si tiene los permisos de IAM necesarios para crear un rol de servicio, utilice la AWS Clean Rooms consola para crear un rol de servicio.

  • Si no tiene iam:CreateRole iam:AttachRolePolicy permisos o desea crear iam:CreatePolicy los roles de IAM manualmente, realice una de las siguientes acciones:

    • Utilice el siguiente procedimiento para crear un rol de servicio mediante políticas de confianza personalizadas.

    • Pídale al administrador que cree el rol de servicio mediante el siguiente procedimiento.

nota

Usted o su administrador de IAM deben seguir este procedimiento únicamente si no tienen los permisos necesarios para crear un rol de servicio mediante la AWS Clean Rooms consola.

Para crear un rol de servicio para recibir resultados mediante políticas de confianza personalizadas

  1. Cree un rol mediante políticas de confianza personalizadas. Para obtener más información, consulte el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola) en la Guía del AWS Identity and Access Management usuario.

  2. Utilice la siguiente política de confianza personalizada de acuerdo con el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola).

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIfExternalIdMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {
                    "sts:ExternalId": "arn:aws:*:region:*:dbuser:*/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa*"
                }
            }
        },
        {
            "Sid": "AllowIfSourceArnMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ForAnyValue:ArnEquals": {
                    "aws:SourceArn": [
                        "arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa"
                    ]
                
                }
            }
        }
    ]
}

  3. Utilice la siguiente política de permisos de acuerdo con el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola).

    nota

    La siguiente política de ejemplo admite los permisos necesarios para leer los metadatos de AWS Glue y los datos de Amazon S3 correspondientes. No obstante, quizás tenga que modificar esta política en función de cómo haya configurado los datos de S3.

    Sus AWS Glue recursos y los recursos subyacentes de Amazon S3 deben estar en la Región de AWS misma posición que la AWS Clean Rooms colaboración.

    {

    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation", 
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount":"accountId"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name/optional_key_prefix/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount":"accountId"
                }
            }
        }
    ]
}

  4. Sustituya cada uno placeholder por su propia información:

    • region: nombre del Región de AWS. Por ejemplo, us-east-1.

    • a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa— El ID de membresía del miembro que puede realizar la consulta. Puede encontrar el ID de pertenencia en la pestaña Detalles de la colaboración. Esto garantiza AWS Clean Rooms que solo asuma el rol cuando este miembro ejecute el análisis en esta colaboración.

    • arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa— El ARN de membresía único del miembro que puede realizar la consulta. Puede encontrar el ARN de la pertenencia en la pestaña Detalles de la colaboración. Esto garantiza AWS Clean Rooms que solo asuma el rol cuando este miembro ejecute el análisis en esta colaboración.

    • bucket_name— El nombre de recurso de Amazon (ARN) del bucket de S3. Puede encontrar el Nombre de recurso de Amazon (ARN) en la pestaña Propiedades del bucket en Amazon S3.

    • accountId— El Cuenta de AWS ID en el que se encuentra el bucket de S3.

      bucket_name/optional_key_prefix— El nombre del recurso de Amazon (ARN) del destino de los resultados en Amazon S3. Puede encontrar el Nombre de recurso de Amazon (ARN) en la pestaña Propiedades del bucket en Amazon S3.

  5. Siga el procedimiento Creación de un rol mediante políticas de confianza personalizadas (consola) para crear el rol.