Configure las funciones de servicio para AWS Clean Rooms - AWS Clean Rooms
Creación de un usuario administradorCree un IAM rol para un miembro de la colaboraciónCreación de rol de servicio para leer datosCree un rol de servicio para recibir los resultados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configure las funciones de servicio para AWS Clean Rooms

Creación de un usuario administrador

Para AWS Clean Rooms utilizarlos, debe crear un usuario administrador para usted y añadir el usuario administrador a un grupo de administradores.

Para crear un usuario administrador, elija una de las siguientes opciones.

Elegir una forma de administrar el administrador Para Haga esto También puede
En IAM Identity Center

(recomendado)

 Usar credenciales a corto plazo para acceder a AWS.

Esto se ajusta a las prácticas recomendadas de seguridad. Para obtener información sobre las prácticas recomendadas, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.

 Siga las instrucciones en Introducción en la Guía del usuario de AWS IAM Identity Center . Configure el acceso mediante programación configurando el AWS CLI que se utilizará AWS IAM Identity Center en la Guía del AWS Command Line Interface usuario.
En IAM

(No recomendado)

 Usar credenciales a largo plazo para acceder a AWS. Siga las instrucciones de Cómo crear su primer usuario IAM administrador y grupo de usuarios de la Guía del IAM usuario. Configure el acceso mediante programación mediante la administración de las claves de acceso de IAM los usuarios en la Guía del IAM usuario.

Cree un IAM rol para un miembro de la colaboración

Un miembro es un AWS cliente que participa en una colaboración.

Para crear un IAM rol para un miembro de la colaboración

  1. Siga el procedimiento de creación de un rol para delegar permisos a un IAM usuario de la Guía del AWS Identity and Access Management usuario.

  2. Para el paso Crear una política, seleccione la JSONpestaña en el editor de políticas y, a continuación, añada políticas en función de las capacidades otorgadas al miembro de la colaboración.

    AWS Clean Rooms ofrece las siguientes políticas administradas basadas en casos de uso comunes:

    Si desea… Entonces use...
    Ver los recursos y metadatos AWS política gestionada: AWSCleanRoomsReadOnlyAccess
    Consultar AWS política gestionada: AWSCleanRoomsFullAccess
    Consultar y recibir resultados AWS política gestionada: AWSCleanRoomsFullAccess
    Administre los recursos de colaboración, pero no realice consultas AWS política gestionada: AWSCleanRoomsFullAccessNoQuerying

    Para obtener información sobre las diferentes políticas gestionadas que ofrece AWS Clean Rooms, consulte AWS políticas administradas para AWS Clean Rooms

Creación de rol de servicio para leer datos

AWS Clean Rooms utiliza un rol de servicio para leer los datos.

Hay dos formas de crear este rol de servicio:

Si... Entonces
Tiene los IAM permisos necesarios para crear un rol de servicio Utilice la AWS Clean Rooms consola para crear un rol de servicio.

No tienes iam:CreateRole iam:AttachRolePolicy permisos iam:CreatePolicy ni permisos

o

¿Desea crear los IAM roles manualmente

 Realice una de las siguientes acciones siguientes:

  • Utilice el siguiente procedimiento para crear un rol de servicio.

  • Pida al administrador que cree el rol de servicio mediante el siguiente procedimiento.
Para crear un rol de servicio para leer datos
nota

Usted o su IAM administrador solo deben seguir este procedimiento si no tienen los permisos necesarios para crear un rol de servicio mediante la AWS Clean Rooms consola.

  1. Siga el procedimiento de creación de un rol mediante políticas de confianza personalizadas (consola) de la Guía del AWS Identity and Access Management usuario.

  2. Utilice la siguiente política de confianza personalizada según el procedimiento de creación de un rol mediante políticas de confianza personalizadas (consola).

    nota

    Si desea asegurarse de que el rol solo se pueda utilizar en el contexto de una determinada pertenencia a la colaboración, puede delimitar aún más la política de confianza. Para obtener más información, consulte Prevención de la sustitución confusa entre servicios.

    { 

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyForCleanRoomsService",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
     ]
}

  3. Utilice la siguiente política de permisos según el procedimiento de creación de un rol mediante políticas de confianza personalizadas (consola).

    nota

    La siguiente política de ejemplo admite los permisos necesarios para leer los metadatos de AWS Glue y los datos de Amazon S3 correspondientes. No obstante, quizás tenga que modificar esta política en función de cómo haya configurado los datos de S3. Por ejemplo, si ha configurado una KMS clave personalizada para sus datos de S3, es posible que deba modificar esta política con AWS KMS permisos adicionales.

    Sus AWS Glue recursos y los recursos subyacentes de Amazon S3 deben estar en la Región de AWS misma posición que los de la AWS Clean Rooms colaboración.

    { 

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "NecessaryGluePermissions",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:aws-region:accountId:database/database",
                "arn:aws:glue:aws-region:accountId:table/table",
                "arn:aws:glue:aws-region:accountId:catalog"
            ]
        },
 	{
            "Effect": "Allow",
            "Action": [
                "glue:GetSchema",
                "glue:GetSchemaVersion"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "NecessaryS3BucketPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation", 
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "s3BucketOwnerAccountId"
                    ]
                }
            }
        },
        {
            "Sid": "NecessaryS3ObjectPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3::bucket/prefix/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "s3BucketOwnerAccountId"
                    ]
                }
            }
        }
        
    ]
}

  4. Sustituya cada uno placeholder con tu propia información.

  5. Siga el procedimiento de creación de un rol mediante políticas de confianza personalizadas (consola) para crear el rol.

Cree un rol de servicio para recibir los resultados

nota

Si usted es el miembro que solo puede recibir resultados (en la consola, las habilidades de su miembro son Solo recibir resultados), siga este procedimiento.

Si es un miembro que puede consultar y recibir resultados (en la consola, las habilidades de su miembro son consultar y recibir resultados), puede omitir este procedimiento.

Para los miembros de la colaboración que solo pueden recibir resultados, AWS Clean Rooms utiliza un rol de servicio para escribir los resultados de los datos consultados en la colaboración en el bucket de Amazon S3 especificado.

Hay dos formas de crear este rol de servicio:

Si... Entonces
Tiene los IAM permisos necesarios para crear un rol de servicio Utilice la AWS Clean Rooms consola para crear un rol de servicio.

No tienes iam:CreateRole iam:AttachRolePolicy permisos iam:CreatePolicy ni permisos

o

¿Desea crear los IAM roles manualmente

 Realice una de las siguientes acciones siguientes:

  • Utilice el siguiente procedimiento para crear un rol de servicio.

  • Pida al administrador que cree el rol de servicio mediante el siguiente procedimiento.
Para crear un rol de servicio para recibir los resultados
nota

Usted o su IAM administrador solo deben seguir este procedimiento si no tienen los permisos necesarios para crear un rol de servicio mediante la AWS Clean Rooms consola.

  1. Siga el procedimiento de creación de un rol mediante políticas de confianza personalizadas (consola) de la Guía del AWS Identity and Access Management usuario.

  2. Utilice la siguiente política de confianza personalizada según el procedimiento de creación de un rol mediante políticas de confianza personalizadas (consola).

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIfExternalIdMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {
                    "sts:ExternalId": "arn:aws:*:region:*:dbuser:*/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa*"
                }
            }
        },
        {
            "Sid": "AllowIfSourceArnMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ForAnyValue:ArnEquals": {
                    "aws:SourceArn": [
                        "arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa"
                    ]
                
                }
            }
        }
    ]
}

  3. Utilice la siguiente política de permisos según el procedimiento de creación de un rol mediante políticas de confianza personalizadas (consola).

    nota

    La siguiente política de ejemplo admite los permisos necesarios para leer los metadatos de AWS Glue y los datos de Amazon S3 correspondientes. No obstante, quizás tenga que modificar esta política en función de cómo haya configurado los datos de S3.

    Sus AWS Glue recursos y los recursos subyacentes de Amazon S3 deben estar en la Región de AWS misma posición que los de la AWS Clean Rooms colaboración.

    {

    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation", 
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount":"accountId"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name/optional_key_prefix/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount":"accountId"
                }
            }
        }
    ]
}

  4. Sustituya cada uno placeholder con tu propia información:

    • region — El nombre del Región de AWS. Por ejemplo, us-east-1.

    • a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa — El ID de membresía del miembro que puede realizar la consulta. Puede encontrar el ID de pertenencia en la pestaña Detalles de la colaboración. Esto garantiza AWS Clean Rooms que solo asuma el rol cuando este miembro ejecute el análisis en esta colaboración.

    • arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa — La membresía única ARN del miembro que puede realizar la consulta. La membresía ARN se encuentra en la pestaña Detalles de la colaboración. Esto garantiza AWS Clean Rooms que solo asuma el rol cuando este miembro ejecute el análisis en esta colaboración.

    • bucket_name — El nombre del recurso de Amazon (ARN) del bucket de S3. El nombre del recurso de Amazon (ARN) se encuentra en la pestaña Propiedades del bucket de Amazon S3.

    • accountId — El Cuenta de AWS ID en el que se encuentra el bucket de S3.

      bucket_name/optional_key_prefix — El nombre del recurso de Amazon (ARN) del destino de los resultados en S3. El nombre del recurso de Amazon (ARN) se encuentra en la pestaña Propiedades del bucket de Amazon S3.

  5. Siga el procedimiento de creación de un rol mediante políticas de confianza personalizadas (consola) para crear el rol.