Configuration des rôles de service pour la modélisation des ressemblances Configuration des rôles de service pour une modélisation personnalisée

Configuration des rôles de service pour le AWS Clean Rooms ML

Les rôles nécessaires pour effectuer une modélisation similaire sont différents de ceux nécessaires pour utiliser un modèle personnalisé. Les sections suivantes décrivent les rôles nécessaires à l'exécution de chaque tâche.

Rubriques

Configuration des rôles de service pour la modélisation des ressemblances
Configuration des rôles de service pour une modélisation personnalisée

Configuration des rôles de service pour la modélisation des ressemblances

Rubriques

Création d'un rôle de service pour lire les données d'entraînement
Création d'un rôle de service pour écrire un segment similaire
Création d'un rôle de service pour lire les données de départ

Création d'un rôle de service pour lire les données d'entraînement

AWS Clean Rooms utilise un rôle de service pour lire les données d'entraînement. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des autorisations IAM nécessaires. Si vous ne disposez pas des CreateRole autorisations nécessaires, demandez à votre administrateur de créer le rôle de service.

Pour créer un rôle de service afin d'entraîner un ensemble de données

Connectez-vous à la console IAM (https://console.aws.amazon.com/iam/) avec votre compte administrateur.
Sous Access Management (Gestion des accès), choisissez Policies (politiques).
Choisissez Create Policy (Créer une politique).

Dans l'éditeur de stratégie, sélectionnez l'onglet JSON, puis copiez et collez la politique suivante.

Note

L'exemple de politique suivant prend en charge les autorisations nécessaires pour lire AWS Glue les métadonnées et les données Amazon S3 correspondantes. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données S3. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.

Vos AWS Glue ressources et les ressources Amazon S3 sous-jacentes doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartitions",
                "glue:GetPartition",
                "glue:BatchGetPartition", 
                "glue:GetUserDefinedFunctions"
            ],
            "Resource": [
                "arn:aws:glue:region:accountId:database/databases",
                "arn:aws:glue:region:accountId:table/databases/tables",
                "arn:aws:glue:region:accountId:catalog",
                "arn:aws:glue:region:accountId:database/default"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase"
            ],
            "Resource": [
                "arn:aws:glue:region:accountId:database/default"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::bucket"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        }
    ]
}

Si vous devez utiliser une clé KMS pour déchiffrer des données, ajoutez cette AWS KMS instruction au modèle précédent :


{
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
    ]
}

Remplacez chacune placeholder par vos propres informations :
- region : Le nom de Région AWS. Par exemple, us-east-1.
- accountId— L' Compte AWS ID dans lequel se trouve le compartiment S3.
- database/databases, table/databases/tablescatalog, et database/default — L'emplacement des données d'entraînement auxquelles il est AWS Clean Rooms nécessaire d'accéder.
- bucket— Le nom de ressource Amazon (ARN) du compartiment S3. Le nom de ressource Amazon (ARN) se trouve dans l'onglet Propriétés du compartiment dans Amazon S3.
- bucketFolders— Le nom des dossiers spécifiques du compartiment S3 auxquels il est AWS Clean Rooms nécessaire d'accéder.
Choisissez Suivant.
Pour Révision et création, entrez le nom et la description de la politique, puis consultez le résumé.
Choisissez Create Policy (Créer une politique).

Vous avez créé une politique pour AWS Clean Rooms.
Sous Access Management (Gestion des accès), choisissez Roles (Rôles).

Avec les rôles, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner Utilisateurs pour créer des informations d'identification à long terme.
Sélectionnez Créer un rôle.
Dans l'assistant de création de rôle, pour Type d'entité fiable, choisissez Politique de confiance personnalisée.

Copiez et collez la politique de confiance personnalisée suivante dans l'éditeur JSON.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": { 
                    "aws:SourceAccount": ["accountId"]
                },
                "StringLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:region:accountId:training-dataset/*"
                }
            }
        }
    ]
}

SourceAccountC'est toujours le vôtre Compte AWS. Ils SourceArn peuvent être limités à un ensemble de données d'entraînement spécifique, mais uniquement après la création de cet ensemble de données. Comme vous ne connaissez pas encore l'ARN du jeu de données d'entraînement, le caractère générique est spécifié ici.

accountIdest l'ID Compte AWS qui contient les données d'entraînement.

Choisissez Suivant et sous Ajouter des autorisations, entrez le nom de la politique que vous venez de créer. (Vous devrez peut-être recharger la page.)
Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez Next.
Dans Nom, révision et création, entrez le nom et la description du rôle.

Note
Le nom du rôle doit correspondre au modèle des passRole autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.
1. Passez en revue Sélectionnez les entités fiables et modifiez-les si nécessaire.
2. Passez en revue les autorisations dans Ajouter des autorisations et modifiez-les si nécessaire.
3. Passez en revue les balises et ajoutez-en si nécessaire.
4. Sélectionnez Créer un rôle.

Vous avez créé le rôle de service pour AWS Clean Rooms.

Création d'un rôle de service pour écrire un segment similaire

AWS Clean Rooms utilise un rôle de service pour écrire des segments similaires dans un compartiment. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des autorisations IAM nécessaires. Si vous ne disposez pas des CreateRole autorisations nécessaires, demandez à votre administrateur de créer le rôle de service.

Pour créer un rôle de service, pour écrire un segment similaire

Connectez-vous à la console IAM (https://console.aws.amazon.com/iam/) avec votre compte administrateur.
Sous Access Management (Gestion des accès), choisissez Policies (politiques).
Choisissez Create Policy (Créer une politique).

Dans l'éditeur de stratégie, sélectionnez l'onglet JSON, puis copiez et collez la politique suivante.

Note

L'exemple de politique suivant prend en charge les autorisations nécessaires pour lire AWS Glue les métadonnées et les données Amazon S3 correspondantes. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données Amazon S3. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.

Vos AWS Glue ressources et les ressources Amazon S3 sous-jacentes doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.


{
    "Version": "2012-10-17",
    "Statement": [
    {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::buckets"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        }
  ]
}

Si vous devez utiliser une clé KMS pour chiffrer des données, ajoutez cette AWS KMS instruction au modèle :


{
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey*",
                "kms:ReEncrypt*",
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
  ]
}

Remplacez chacune placeholder par vos propres informations :
- buckets— Le nom de ressource Amazon (ARN) du compartiment S3. Le nom de ressource Amazon (ARN) se trouve dans l'onglet Propriétés du compartiment dans Amazon S3.
- accountId— L' Compte AWS ID dans lequel se trouve le compartiment S3.
- bucketFolders— Le nom des dossiers spécifiques du compartiment S3 auxquels il est AWS Clean Rooms nécessaire d'accéder.
- region : Le nom de Région AWS. Par exemple, us-east-1.
- keyId— La clé KMS nécessaire pour chiffrer vos données.
Choisissez Suivant.
Pour Révision et création, entrez le nom et la description de la politique, puis consultez le résumé.
Choisissez Create Policy (Créer une politique).

Vous avez créé une politique pour AWS Clean Rooms.
Sous Access Management (Gestion des accès), choisissez Roles (Rôles).

Avec les rôles, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner Utilisateurs pour créer des informations d'identification à long terme.
Sélectionnez Créer un rôle.
Dans l'assistant de création de rôle, pour Type d'entité fiable, choisissez Politique de confiance personnalisée.

Copiez et collez la politique de confiance personnalisée suivante dans l'éditeur JSON.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": { 
                    "aws:SourceAccount": ["accountId"]

                },
                "StringLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:region:accountId:configured-audience-model/*"
                }
            }
        }
    ]
}

Choisissez Suivant.
Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez Next.
Dans Nom, révision et création, entrez le nom et la description du rôle.

Note
Le nom du rôle doit correspondre au modèle des passRole autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.
1. Passez en revue Sélectionnez les entités fiables et modifiez-les si nécessaire.
2. Passez en revue les autorisations dans Ajouter des autorisations et modifiez-les si nécessaire.
3. Passez en revue les balises et ajoutez-en si nécessaire.
4. Sélectionnez Créer un rôle.

Vous avez créé le rôle de service pour AWS Clean Rooms.

Création d'un rôle de service pour lire les données de départ

AWS Clean Rooms utilise un rôle de service pour lire les données de départ. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des autorisations IAM nécessaires. Si vous ne disposez pas des CreateRole autorisations nécessaires, demandez à votre administrateur de créer le rôle de service.

Créer un rôle de service pour lire les données de départ stockées dans un compartiment S3.

Connectez-vous à la console IAM (https://console.aws.amazon.com/iam/) avec votre compte administrateur.
Sous Access Management (Gestion des accès), choisissez Policies (politiques).
Choisissez Create Policy (Créer une politique).

Dans l'éditeur de politiques, sélectionnez l'onglet JSON, puis copiez-collez l'une des politiques suivantes.

Note

L'exemple de politique suivant prend en charge les autorisations nécessaires pour lire AWS Glue les métadonnées et les données Amazon S3 correspondantes. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données Amazon S3. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.

Vos AWS Glue ressources et les ressources Amazon S3 sous-jacentes doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.


{
    "Version": "2012-10-17",
    "Statement": [
    {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
            ],
            "Resource": [
                "arn:aws:s3:::buckets"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        }
  ]
}

Note

L'exemple de politique suivant prend en charge les autorisations nécessaires pour lire les résultats d'une requête SQL et les utiliser comme données d'entrée. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la structure de votre requête. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCleanRoomsStartQuery",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaborationAnalysisTemplate",
                "cleanrooms:GetSchema", 
                "cleanrooms:StartProtectedQuery"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCleanRoomsGetAndUpdateQuery",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetProtectedQuery", 
                "cleanrooms:UpdateProtectedQuery"
            ],
            "Resource": [
                "arn:aws:cleanrooms:region:queryRunnerAccountId:membership/queryRunnerMembershipId"
            ]
        }
    ]
}

Si vous devez utiliser une clé KMS pour déchiffrer des données, ajoutez cette AWS KMS instruction au modèle :


{
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
  ]
}

Remplacez chacune placeholder par vos propres informations :
- buckets— Le nom de ressource Amazon (ARN) du compartiment S3. Le nom de ressource Amazon (ARN) se trouve dans l'onglet Propriétés du compartiment dans Amazon S3.
- accountId— L' Compte AWS ID dans lequel se trouve le compartiment S3.
- bucketFolders— Le nom des dossiers spécifiques du compartiment S3 auxquels il est AWS Clean Rooms nécessaire d'accéder.
- region : Le nom de Région AWS. Par exemple, us-east-1.
- queryRunnerAccountId— L' Compte AWS ID du compte qui exécutera les requêtes.
- queryRunnerMembershipId— L'ID de membre du membre qui peut effectuer la demande. L'identifiant de membre se trouve dans l'onglet Détails de la collaboration. Cela garantit qu'il AWS Clean Rooms n'assume le rôle que lorsque ce membre exécute l'analyse dans le cadre de cette collaboration.
- keyId— La clé KMS nécessaire pour chiffrer vos données.
Choisissez Suivant.
Pour Révision et création, entrez le nom et la description de la politique, puis consultez le résumé.
Choisissez Create Policy (Créer une politique).

Vous avez créé une politique pour AWS Clean Rooms.
Sous Access Management (Gestion des accès), choisissez Roles (Rôles).

Avec les rôles, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner Utilisateurs pour créer des informations d'identification à long terme.
Sélectionnez Créer un rôle.
Dans l'assistant de création de rôle, pour Type d'entité fiable, choisissez Politique de confiance personnalisée.

Copiez et collez la politique de confiance personnalisée suivante dans l'éditeur JSON.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": {
                    "aws:SourceAccount": ["accountId"]

                },
                "StringLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:region:accountId:audience-generation-job/*"
                }
            }
        }
    ]
}

Choisissez Suivant.
Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez Next.
Dans Nom, révision et création, entrez le nom et la description du rôle.

Note
Le nom du rôle doit correspondre au modèle des passRole autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.
1. Passez en revue Sélectionnez les entités fiables et modifiez-les si nécessaire.
2. Passez en revue les autorisations dans Ajouter des autorisations et modifiez-les si nécessaire.
3. Passez en revue les balises et ajoutez-en si nécessaire.
4. Sélectionnez Créer un rôle.

Vous avez créé le rôle de service pour AWS Clean Rooms.

Configuration des rôles de service pour une modélisation personnalisée

Rubriques

Création d'un rôle de service pour la modélisation ML personnalisée - Configuration ML
Créez un rôle de service pour fournir un modèle de machine learning personnalisé
Création d'un rôle de service pour interroger un ensemble de données
Créez un rôle de service pour créer une association de tables configurée

Création d'un rôle de service pour la modélisation ML personnalisée - Configuration ML

AWS Clean Rooms utilise un rôle de service pour contrôler qui peut créer une configuration ML personnalisée. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des autorisations IAM nécessaires. Si vous ne disposez pas des CreateRole autorisations nécessaires, demandez à votre administrateur de créer le rôle de service.

Ce rôle vous permet d'utiliser l'MLConfiguration action Créer.

Pour créer un rôle de service afin de permettre la création d'une configuration ML personnalisée

Connectez-vous à la console IAM (https://console.aws.amazon.com/iam/) avec votre compte administrateur.
Sous Access Management (Gestion des accès), choisissez Policies (politiques).
Choisissez Create Policy (Créer une politique).

Dans l'éditeur de stratégie, sélectionnez l'onglet JSON, puis copiez et collez la politique suivante.

Note

L'exemple de politique suivant prend en charge les autorisations nécessaires pour accéder et écrire des données dans un compartiment S3 et pour publier CloudWatch des métriques. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données Amazon S3. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.

Vos ressources Amazon S3 doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowS3ObjectWriteForExport",
            "Effect": "Allow",
            "Action": ["s3:PutObject"],
            "Resource": [
                "arn:aws:s3:::bucket/*"
            ]
        },
        {
            "Sid": "AllowS3KMSEncryptForExport",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey*",
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ]
        },
        {
            "Sid": "AllowCloudWatchMetricsPublishingForTrainingJobs",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "arn:aws:cloudwatch:region:accountId:namespace/aws/cleanroomsml/*",
            "Resource": "*",
            "Effect": "Allow"
       },
       {
            "Sid": "AllowCloudWatchLogsPublishingForTrainingOrInferenceJobs",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",            
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ]
        }
   ]
}

Remplacez chacune placeholder par vos propres informations :
- bucket— Le nom de ressource Amazon (ARN) du compartiment S3. Le nom de ressource Amazon (ARN) se trouve dans l'onglet Propriétés du compartiment dans Amazon S3.
- region : Le nom de Région AWS. Par exemple, us-east-1.
- accountId— L' Compte AWS ID dans lequel se trouve le compartiment S3.
- keyId— La clé KMS nécessaire pour chiffrer vos données.
Choisissez Suivant.
Pour Révision et création, entrez le nom et la description de la politique, puis consultez le résumé.
Choisissez Create Policy (Créer une politique).

Vous avez créé une politique pour AWS Clean Rooms.
Sous Access Management (Gestion des accès), choisissez Roles (Rôles).

Avec les rôles, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner Utilisateurs pour créer des informations d'identification à long terme.
Sélectionnez Créer un rôle.
Dans l'assistant de création de rôle, pour Type d'entité fiable, choisissez Politique de confiance personnalisée.

Copiez et collez la politique de confiance personnalisée suivante dans l'éditeur JSON.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": { 
                    "aws:SourceAccount": "accountId"
                },
                "ArnLike": { 
                    "aws:SourceArn": "arn:aws:cleanrooms:region:accountId:membership/membershipID"
                }
            }
        }
    ]
}

Choisissez Suivant.
Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez Next.
Dans Nom, révision et création, entrez le nom et la description du rôle.

Note
Le nom du rôle doit correspondre au modèle des passRole autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.
1. Passez en revue Sélectionnez les entités fiables et modifiez-les si nécessaire.
2. Passez en revue les autorisations dans Ajouter des autorisations et modifiez-les si nécessaire.
3. Passez en revue les balises et ajoutez-en si nécessaire.
4. Sélectionnez Créer un rôle.

Vous avez créé le rôle de service pour AWS Clean Rooms.

Créez un rôle de service pour fournir un modèle de machine learning personnalisé

AWS Clean Rooms utilise un rôle de service pour contrôler qui peut créer un algorithme de modèle ML personnalisé. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des autorisations IAM nécessaires. Si vous ne disposez pas des CreateRole autorisations nécessaires, demandez à votre administrateur de créer le rôle de service.

Ce rôle vous permet d'utiliser l' CreateConfiguredModelAlgorithm action.

Pour créer un rôle de service permettant à un membre de fournir un modèle de machine learning personnalisé

Connectez-vous à la console IAM (https://console.aws.amazon.com/iam/) avec votre compte administrateur.
Sous Access Management (Gestion des accès), choisissez Policies (politiques).
Choisissez Create Policy (Créer une politique).
Dans l'éditeur de stratégie, sélectionnez l'onglet JSON, puis copiez et collez la politique suivante.

Note
L'exemple de politique suivant prend en charge les autorisations nécessaires pour récupérer l'image docker contenant l'algorithme du modèle. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données Amazon S3. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.
Vos ressources Amazon S3 doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowECRImageDownloadForTrainingAndInferenceJobs",
            "Effect": "Allow",
            "Action": [
                "ecr:BatchGetImage",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer"
            ],
            "Resource": "arn:aws:ecr:region:accountID:repository/repoName"
        }
    ]
}
```
Remplacez chacune placeholder par vos propres informations :
- region : Le nom de Région AWS. Par exemple, us-east-1.
- accountId— L' Compte AWS ID dans lequel se trouve le compartiment S3.
- repoName— Le nom du référentiel qui contient vos données.
Choisissez Suivant.
Pour Révision et création, entrez le nom et la description de la politique, puis consultez le résumé.
Choisissez Create Policy (Créer une politique).

Vous avez créé une politique pour AWS Clean Rooms.
Sous Access Management (Gestion des accès), choisissez Roles (Rôles).

Avec les rôles, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner Utilisateurs pour créer des informations d'identification à long terme.
Sélectionnez Créer un rôle.
Dans l'assistant de création de rôle, pour Type d'entité fiable, choisissez Politique de confiance personnalisée.
Copiez et collez la politique de confiance personnalisée suivante dans l'éditeur JSON.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```
SourceAccountC'est toujours votre. SourceArn Vous pouvez Compte AWS le limiter à un ensemble de données d'entraînement spécifique, mais uniquement après la création de cet ensemble de données. Comme vous ne connaissez pas encore l'ARN du jeu de données d'entraînement, le caractère générique est spécifié ici.
Choisissez Suivant.
Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez Next.
Dans Nom, révision et création, entrez le nom et la description du rôle.

Note
Le nom du rôle doit correspondre au modèle des passRole autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.
1. Passez en revue Sélectionnez les entités fiables et modifiez-les si nécessaire.
2. Passez en revue les autorisations dans Ajouter des autorisations et modifiez-les si nécessaire.
3. Passez en revue les balises et ajoutez-en si nécessaire.
4. Sélectionnez Créer un rôle.

Vous avez créé le rôle de service pour AWS Clean Rooms.

Création d'un rôle de service pour interroger un ensemble de données

AWS Clean Rooms utilise un rôle de service pour contrôler qui peut interroger un ensemble de données qui sera utilisé pour la modélisation ML personnalisée. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des autorisations IAM nécessaires. Si vous ne disposez pas des CreateRole autorisations nécessaires, demandez à votre administrateur de créer le rôle de service.

Ce rôle vous permet d'utiliser l'action Créer un MLInput canal.

Pour créer un rôle de service permettant à un membre d'interroger un ensemble de données

Connectez-vous à la console IAM (https://console.aws.amazon.com/iam/) avec votre compte administrateur.
Sous Access Management (Gestion des accès), choisissez Policies (politiques).
Choisissez Create Policy (Créer une politique).

Dans l'éditeur de stratégie, sélectionnez l'onglet JSON, puis copiez et collez la politique suivante.

Note

L'exemple de politique suivant prend en charge les autorisations nécessaires pour interroger un ensemble de données qui sera utilisé pour la modélisation ML personnalisée. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données Amazon S3. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.

Vos ressources Amazon S3 doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCleanRoomsStartQueryForMLInputChannel",
            "Effect": "Allow",
            "Action": "cleanrooms:StartProtectedQuery",
            "Resource": "*"
        },
        {
            "Sid": "AllowCleanRoomsGetSchemaForMLInputChannel",
            "Effect": "Allow",
            "Action": "cleanrooms:GetSchema",
            "Resource": "*"
        },
        {
            "Sid": "AllowCleanRoomsGetAndUpdateQueryForMLInputChannel",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetProtectedQuery", 
                "cleanrooms:UpdateProtectedQuery"
            ],
            "Resource": [
                "arn:aws:cleanrooms:region:queryRunnerAccountId:membership/queryRunnerMembershipId"
            ]
        }
    ]
}

Remplacez chacune placeholder par vos propres informations :
- region : Le nom de Région AWS. Par exemple, us-east-1.
- queryRunnerAccountId— L' Compte AWS ID du compte qui exécutera les requêtes.
- queryRunnerMembershipId— L'ID de membre du membre qui peut effectuer la demande. L'identifiant de membre se trouve dans l'onglet Détails de la collaboration. Cela garantit qu'il AWS Clean Rooms n'assume le rôle que lorsque ce membre exécute l'analyse dans le cadre de cette collaboration.
Choisissez Suivant.
Pour Révision et création, entrez le nom et la description de la politique, puis consultez le résumé.
Choisissez Create Policy (Créer une politique).

Vous avez créé une politique pour AWS Clean Rooms.
Sous Access Management (Gestion des accès), choisissez Roles (Rôles).

Avec les rôles, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner Utilisateurs pour créer des informations d'identification à long terme.
Sélectionnez Créer un rôle.
Dans l'assistant de création de rôle, pour Type d'entité fiable, choisissez Politique de confiance personnalisée.
Copiez et collez la politique de confiance personnalisée suivante dans l'éditeur JSON.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```
SourceAccountC'est toujours votre. SourceArn Vous pouvez Compte AWS le limiter à un ensemble de données d'entraînement spécifique, mais uniquement après la création de cet ensemble de données. Comme vous ne connaissez pas encore l'ARN du jeu de données d'entraînement, le caractère générique est spécifié ici.
Choisissez Suivant.
Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez Next.
Dans Nom, révision et création, entrez le nom et la description du rôle.

Note
Le nom du rôle doit correspondre au modèle des passRole autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.
1. Passez en revue Sélectionnez les entités fiables et modifiez-les si nécessaire.
2. Passez en revue les autorisations dans Ajouter des autorisations et modifiez-les si nécessaire.
3. Passez en revue les balises et ajoutez-en si nécessaire.
4. Sélectionnez Créer un rôle.

Vous avez créé le rôle de service pour AWS Clean Rooms.

Créez un rôle de service pour créer une association de tables configurée

AWS Clean Rooms utilise un rôle de service pour contrôler qui peut créer une association de tables configurée. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des autorisations IAM nécessaires. Si vous ne disposez pas des CreateRole autorisations nécessaires, demandez à votre administrateur de créer le rôle de service.

Ce rôle vous permet d'utiliser l' CreateConfiguredTableAssociation action.

Pour créer un rôle de service afin de permettre la création d'une association de tables configurée

Connectez-vous à la console IAM (https://console.aws.amazon.com/iam/) avec votre compte administrateur.
Sous Access Management (Gestion des accès), choisissez Policies (politiques).
Choisissez Create Policy (Créer une politique).

Dans l'éditeur de stratégie, sélectionnez l'onglet JSON, puis copiez et collez la politique suivante.

Note

L'exemple de politique suivant prend en charge la création d'une association de tables configurée. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données Amazon S3. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.

Vos ressources Amazon S3 doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "KMS key used to encrypt the S3 data",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "S3 bucket of Glue table",
            "Effect": "Allow"
        },
        {
            "Action": "s3:GetObject",
            "Resource": "S3 bucket of Glue table/*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartitions",
                "glue:GetPartition",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:region:accountID:catalog",
                "arn:aws:glue:region:accountID:database/Glue database name",
                "arn:aws:glue:region:accountID:table/Glue database name/Glue table name"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "glue:GetSchema",
                "glue:GetSchemaVersion"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Remplacez chacune placeholder par vos propres informations :
- KMS key used to encrypt the Amazon S3 data— La clé KMS utilisée pour chiffrer les données Amazon S3. Pour déchiffrer les données, vous devez fournir la même clé KMS que celle utilisée pour chiffrer les données.
- Amazon S3 bucket of AWS Glue table— Le nom du compartiment Amazon S3 qui contient la AWS Glue table contenant vos données.
- region : Le nom de Région AWS. Par exemple, us-east-1.
- accountId— L' Compte AWS identifiant du compte propriétaire des données.
- AWS Glue database name— Le nom de la AWS Glue base de données qui contient vos données.
- AWS Glue table name— Nom de la AWS Glue table contenant vos données.
Choisissez Suivant.
Pour Révision et création, entrez le nom et la description de la politique, puis consultez le résumé.
Choisissez Create Policy (Créer une politique).

Vous avez créé une politique pour AWS Clean Rooms.
Sous Access Management (Gestion des accès), choisissez Roles (Rôles).

Avec les rôles, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner Utilisateurs pour créer des informations d'identification à long terme.
Sélectionnez Créer un rôle.
Dans l'assistant de création de rôle, pour Type d'entité fiable, choisissez Politique de confiance personnalisée.
Copiez et collez la politique de confiance personnalisée suivante dans l'éditeur JSON.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
        }
    ]
}
```
SourceAccountC'est toujours votre. SourceArn Vous pouvez Compte AWS le limiter à un ensemble de données d'entraînement spécifique, mais uniquement après la création de cet ensemble de données. Comme vous ne connaissez pas encore l'ARN du jeu de données d'entraînement, le caractère générique est spécifié ici.
Choisissez Suivant.
Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez Next.
Dans Nom, révision et création, entrez le nom et la description du rôle.

Note
Le nom du rôle doit correspondre au modèle des passRole autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.
1. Passez en revue Sélectionnez les entités fiables et modifiez-les si nécessaire.
2. Passez en revue les autorisations dans Ajouter des autorisations et modifiez-les si nécessaire.
3. Passez en revue les balises et ajoutez-en si nécessaire.
4. Sélectionnez Créer un rôle.

Vous avez créé le rôle de service pour AWS Clean Rooms.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configurer les rôles de service pour AWS Clean Rooms

Collaborations et adhésions