IAMcomportements pour le AWS Clean Rooms ML - AWS Clean Rooms
Emplois multi-comptesTâches de balisageValidation des collaborateursAccès intercomptes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

IAMcomportements pour le AWS Clean Rooms ML

Emplois multi-comptes

Clean Rooms ML permet à une autre personne d'accéder en toute sécurité Compte AWS à certaines ressources créées par l'un sur son compte Compte AWS. Lorsqu'un client de Compte AWS A fait appel StartAudienceGenerationJob à une ConfiguredAudienceModel ressource appartenant à Compte AWS B, Clean Rooms ML en crée deux ARNs pour la tâche. L'un ARN en Compte AWS A et l'autre en Compte AWS B. Ils ARNs sont identiques sauf pour le leur Compte AWS.

Clean Rooms ML en crée deux ARNs pour les tâches afin que les deux comptes puissent appliquer leurs propres IAM politiques aux tâches. Par exemple, les deux comptes peuvent utiliser le contrôle d'accès basé sur des balises et appliquer les politiques de leur AWS organisation. La tâche traite les données des deux comptes, de sorte que les deux comptes peuvent supprimer la tâche et les données associées. Aucun des deux comptes ne peut empêcher l'autre compte de supprimer la tâche.

Il n'y a qu'une seule exécution de tâche et les deux comptes peuvent voir la tâche lorsqu'ils appellentListAudienceGenerationJobs. Les deux comptes peuvent appeler le GetDelete, et Export APIs au travail en utilisant le ARN avec leur propre Compte AWS identifiant.

Aucun des deux ne Compte AWS peut accéder à la tâche s'il utilise un identifiant ARN avec l'autre Compte AWS identifiant.

Le nom de la tâche doit être unique au sein d'un Compte AWS. Le nom en Compte AWS B est $accountA-$name. Le nom choisi par Compte AWS A est préfixé par Compte AWS A lorsque le travail est affiché dans B. Compte AWS

Pour qu'un compte croisé réussisse, Compte AWS B doit autoriser cette action StartAudienceGenerationJob à la fois sur la nouvelle tâche en Compte AWS B et sur la nouvelle tâche ConfiguredAudienceModel en Compte AWS B en utilisant une politique de ressources similaire à l'exemple suivant :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Clean-Rooms-<CAMA ID>",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "accountA" 
                ]
            },
            "Action": [
                "cleanrooms-ml:StartAudienceGenerationJob"
            ],
            "Resource": [
                "arn:aws:cleanrooms-ml:us-west-1:AccountB:configured-audience-model/id",
                "arn:aws:cleanrooms-ml:us-west-1:AccountB:audience-generation-job/*"
            ],
            // optional - always set by AWS Clean Rooms
"Condition":{"StringEquals":{"cleanrooms-ml:CollaborationId":"UUID"}}
        }
    ]
}

Si vous utilisez le AWS Clean Rooms ML API pour créer un modèle similaire configuré avec manageResourcePolicies défini sur true, AWS Clean Rooms crée cette politique pour vous.

De plus, la politique d'identité de l'appelant dans Compte AWS A doit être StartAudienceGenerationJob autorisée. arn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/* Il existe donc trois IAM ressources d'action StartAudienceGenerationJob : la tâche Compte AWS A, la tâche Compte AWS B et la tâche Compte AWS B. ConfiguredAudienceModel

Avertissement

La Compte AWS personne qui a démarré la tâche reçoit un événement du journal AWS CloudTrail d'audit concernant la tâche. Le Compte AWS propriétaire du ConfiguredAudienceModel ne reçoit aucun événement du journal d' AWS CloudTrail audit.

Tâches de balisage

Lorsque vous définissez le childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE paramètre deCreateConfiguredAudienceModel, toutes les tâches de génération de segments similaires de votre compte créées à partir de ce modèle de similarité configuré comportent par défaut les mêmes balises que le modèle de similarité configuré. Le modèle de similarité configuré est le parent et la tâche de génération de segments de similarité est l'enfant.

Si vous créez une tâche dans votre propre compte, les balises de requête de la tâche remplacent les balises parentes. Les offres d'emploi créées par d'autres comptes ne créent jamais de tags dans votre compte. Si vous définissez une tâche childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE et qu'un autre compte la crée, il existe deux copies de la tâche. La copie de votre compte contient les balises de ressource parent et la copie du compte de l'auteur de la tâche contient les balises de la demande.

Validation des collaborateurs

Lorsque vous accordez des autorisations à d'autres membres d'une AWS Clean Rooms collaboration, la politique de ressources doit inclure la clé de conditioncleanrooms-ml:CollaborationId. Cela garantit que le collaborationId paramètre est inclus dans la StartAudienceGenerationJobdemande. Lorsque le collaborationId paramètre est inclus dans la demande, Clean Rooms ML confirme que la collaboration existe, que l'auteur de la tâche est un membre actif de la collaboration et que le propriétaire du modèle similaire configuré est un membre actif de la collaboration.

Lorsque AWS Clean Rooms vous gérez la politique de ressources de votre modèle similaire configurée (le manageResourcePolicies paramètre est TRUE dans la CreateConfiguredAudienceModelAssociation demande), cette clé de condition sera définie dans la politique de ressources. Par conséquent, vous devez spécifier le collaborationId in StartAudienceGenerationJob.

Accès intercomptes

Ne StartAudienceGenerationJob peut être appelé que sur plusieurs comptes. Tous les autres Clean Rooms ML ne APIs peuvent être utilisés qu'avec les ressources de votre propre compte. Cela garantit la confidentialité de vos données d'entraînement, de la configuration de votre modèle similaire et d'autres informations.

Clean Rooms ML ne révèle jamais Amazon S3 ni les AWS Glue emplacements d'un compte à l'autre. L'emplacement des données de formation, l'emplacement de sortie du modèle similaire configuré et l'emplacement de départ des tâches pour la génération de segments similaires ne sont jamais visibles sur tous les comptes. À moins que la journalisation des requêtes ne soit activée dans la collaboration, les données initiales ne sont pas visibles sur tous les comptes, que les données initiales proviennent d'une SQL requête ou que la requête elle-même soit activée. Si vous avez Get une tâche de génération d'audience soumise par un autre compte, le service n'indique pas l'emplacement initial.