AWS politiques gérées pour AWS Clean Rooms - AWS Clean Rooms
AWSCleanRoomsReadOnlyAccessAWSCleanRoomsFullAccessAWSCleanRoomsFullAccessNoQueryingAWSCleanRoomsMLReadOnlyAccessAWSCleanRoomsMLFullAccessMises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour AWS Clean Rooms

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.

Pour plus d’informations, consultez la section Politiques gérées par AWS dans le Guide de l’utilisateur IAM.

AWS politique gérée : AWSCleanRoomsReadOnlyAccess

Vous pouvez vous rattacher AWSCleanRoomsReadOnlyAccess à vos principaux IAM.

Cette politique accorde des autorisations en lecture seule aux ressources et aux métadonnées dans le cadre d'une AWSCleanRoomsReadOnlyAccess collaboration.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • CleanRoomsRead— Permet aux principaux d'accéder au service en lecture seule.

  • ConsoleDisplayTables— Permet aux principaux d'accéder en lecture seule aux AWS Glue métadonnées nécessaires pour afficher les données relatives aux AWS Glue tables sous-jacentes sur la console.

  • ConsoleLogSummaryQueryLogs— Permet aux principaux de consulter les journaux de requêtes.

  • ConsoleLogSummaryObtainLogs— Permet aux principaux de récupérer les résultats du journal.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "CleanRoomsRead",
			"Effect": "Allow",
			"Action": [
				"cleanrooms:BatchGet*",
				"cleanrooms:Get*",
				"cleanrooms:List*"
			],
			"Resource": "*"
		},
		{
			"Sid": "ConsoleDisplayTables",
			"Effect": "Allow",
			"Action": [
				"glue:GetDatabase",
				"glue:GetDatabases",
				"glue:GetTable",
				"glue:GetTables",
				"glue:GetPartition",
				"glue:GetPartitions",
				"glue:GetSchema",
				"glue:GetSchemaVersion",
				"glue:BatchGetPartition"
			],
			"Resource": "*"
		},
		{
			"Sid": "ConsoleLogSummaryQueryLogs",
			"Effect": "Allow",
			"Action": [
				"logs:StartQuery"
			],
			"Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*"
		},
		{
			"Sid": "ConsoleLogSummaryObtainLogs",
			"Effect": "Allow",
			"Action": [
				"logs:GetQueryResults"
			],
			"Resource": "*"
		}
	]
}

AWS politique gérée : AWSCleanRoomsFullAccess

Vous pouvez vous rattacher AWSCleanRoomsFullAccess à vos principaux IAM.

Cette politique accorde des autorisations administratives qui permettent un accès complet (lecture, écriture et mise à jour) aux ressources et aux métadonnées dans le cadre d'une AWS Clean Rooms collaboration. Cette politique inclut l'accès pour effectuer des requêtes.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • CleanRoomsAccess— Accorde un accès complet à toutes les actions sur toutes les ressources pour AWS Clean Rooms.

  • PassServiceRole— Accorde l'accès pour transmettre un rôle de service uniquement au service (PassedToServicecondition) dont le nom contient cleanrooms « ».

  • ListRolesToPickServiceRole— Permet aux directeurs de répertorier tous leurs rôles afin de choisir un rôle de service lors de l'utilisation AWS Clean Rooms.

  • GetRoleAndListRolePoliciesToInspectServiceRole— Permet aux principaux de voir le rôle du service et la politique correspondante dans IAM.

  • ListPoliciesToInspectServiceRolePolicy— Permet aux principaux de voir le rôle du service et la politique correspondante dans IAM.

  • GetPolicyToInspectServiceRolePolicy— Permet aux principaux de voir le rôle du service et la politique correspondante dans IAM.

  • ConsoleDisplayTables— Permet aux principaux d'accéder en lecture seule aux AWS Glue métadonnées nécessaires pour afficher les données relatives aux AWS Glue tables sous-jacentes sur la console.

  • ConsolePickQueryResultsBucketListAll— Permet aux principaux de choisir un compartiment Amazon S3 dans une liste de tous les compartiments S3 disponibles dans lesquels les résultats de leurs requêtes sont écrits.

  • SetQueryResultsBucket— Permet aux principaux de choisir un compartiment S3 dans lequel les résultats de leurs requêtes sont écrits.

  • ConsoleDisplayQueryResults— Permet aux principaux d'afficher les résultats de la requête au client, lus depuis le compartiment S3.

  • WriteQueryResults— Permet aux principaux d'écrire les résultats de la requête dans un compartiment S3 appartenant au client.

  • EstablishLogDeliveries— Permet aux principaux de fournir des journaux de requêtes au groupe de CloudWatch journaux Amazon Logs d'un client.

  • SetupLogGroupsDescribe— Permet aux principaux d'utiliser le processus de création de groupes de CloudWatch journaux Amazon Logs.

  • SetupLogGroupsCreate— Permet aux principaux de créer un groupe de CloudWatch journaux Amazon Logs.

  • SetupLogGroupsResourcePolicy— Permet aux principaux de définir une politique de ressources sur le groupe de CloudWatch journaux Amazon Logs.

  • ConsoleLogSummaryQueryLogs— Permet aux principaux de consulter les journaux de requêtes.

  • ConsoleLogSummaryObtainLogs— Permet aux principaux de récupérer les résultats du journal.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "CleanRoomsAccess",
			"Effect": "Allow",
			"Action": [
				"cleanrooms:*"
			],
			"Resource": "*"
		},
		{
			"Sid": "PassServiceRole",
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*",
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ListRolesToPickServiceRole",
			"Effect": "Allow",
			"Action": [
				"iam:ListRoles"
			],
			"Resource": "*"
		},
		{
			"Sid": "GetRoleAndListRolePoliciesToInspectServiceRole",
			"Effect": "Allow",
			"Action": [
				"iam:GetRole",
				"iam:ListRolePolicies",
				"iam:ListAttachedRolePolicies"
			],
			"Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*"
		},
		{
			"Sid": "ListPoliciesToInspectServiceRolePolicy",
			"Effect": "Allow",
			"Action": [
				"iam:ListPolicies"
			],
			"Resource": "*"
		},
		{
			"Sid": "GetPolicyToInspectServiceRolePolicy",
			"Effect": "Allow",
			"Action": [
				"iam:GetPolicy",
				"iam:GetPolicyVersion"
			],
			"Resource": "arn:aws:iam::*:policy/*cleanrooms*"
		},
		{
			"Sid": "ConsoleDisplayTables",
			"Effect": "Allow",
			"Action": [
				"glue:GetDatabase",
				"glue:GetDatabases",
				"glue:GetTable",
				"glue:GetTables",
				"glue:GetPartition",
				"glue:GetPartitions",
				"glue:GetSchema",
				"glue:GetSchemaVersion",
				"glue:BatchGetPartition"
			],
			"Resource": "*"
		},
		{
			"Sid": "ConsolePickQueryResultsBucketListAll",
			"Effect": "Allow",
			"Action": [
				"s3:ListAllMyBuckets"
			],
			"Resource": "*"
		},
		{
			"Sid": "SetQueryResultsBucket",
			"Effect": "Allow",
			"Action": [
				"s3:GetBucketLocation",
				"s3:ListBucketVersions"
			],
			"Resource": "arn:aws:s3:::cleanrooms-queryresults*"
		},
		{
			"Sid": "WriteQueryResults",
			"Effect": "Allow",
			"Action": [
				"s3:ListBucket",
				"s3:PutObject"
			],
			"Resource": "arn:aws:s3:::cleanrooms-queryresults*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ConsoleDisplayQueryResults",
			"Effect": "Allow",
			"Action": [
				"s3:GetObject"
			],
			"Resource": "arn:aws:s3:::cleanrooms-queryresults*"
		},
		{
			"Sid": "EstablishLogDeliveries",
			"Effect": "Allow",
			"Action": [
				"logs:CreateLogDelivery",
				"logs:GetLogDelivery",
				"logs:UpdateLogDelivery",
				"logs:DeleteLogDelivery",
				"logs:ListLogDeliveries"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "SetupLogGroupsDescribe",
			"Effect": "Allow",
			"Action": [
				"logs:DescribeLogGroups"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "SetupLogGroupsCreate",
			"Effect": "Allow",
			"Action": [
				"logs:CreateLogGroup"
			],
			"Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "SetupLogGroupsResourcePolicy",
			"Effect": "Allow",
			"Action": [
			  "logs:DescribeResourcePolicies",
				"logs:PutResourcePolicy"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ConsoleLogSummaryQueryLogs",
			"Effect": "Allow",
			"Action": [
				"logs:StartQuery"
			],
			"Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*"
		},
		{
			"Sid": "ConsoleLogSummaryObtainLogs",
			"Effect": "Allow",
			"Action": [
				"logs:GetQueryResults"
			],
			"Resource": "*"
		}
	]
}

AWS politique gérée : AWSCleanRoomsFullAccessNoQuerying

Vous pouvez joindre AWSCleanRoomsFullAccessNoQuerying à votreIAM principals.

Cette politique accorde des autorisations administratives qui permettent un accès complet (lecture, écriture et mise à jour) aux ressources et aux métadonnées dans le cadre d'une AWS Clean Rooms collaboration. Cette politique exclut l'accès pour effectuer des requêtes.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • CleanRoomsAccess— Accorde un accès complet à toutes les actions sur toutes les ressources AWS Clean Rooms, à l'exception des requêtes dans le cadre de collaborations.

  • CleanRoomsNoQuerying— Refuse explicitement StartProtectedQuery et UpdateProtectedQuery empêche les requêtes.

  • PassServiceRole— Accorde l'accès pour transmettre un rôle de service uniquement au service (PassedToServicecondition) dont le nom contient cleanrooms « ».

  • ListRolesToPickServiceRole— Permet aux directeurs de répertorier tous leurs rôles afin de choisir un rôle de service lors de l'utilisation AWS Clean Rooms.

  • GetRoleAndListRolePoliciesToInspectServiceRole— Permet aux principaux de voir le rôle du service et la politique correspondante dans IAM.

  • ListPoliciesToInspectServiceRolePolicy— Permet aux principaux de voir le rôle du service et la politique correspondante dans IAM.

  • GetPolicyToInspectServiceRolePolicy— Permet aux principaux de voir le rôle du service et la politique correspondante dans IAM.

  • ConsoleDisplayTables— Permet aux principaux d'accéder en lecture seule aux AWS Glue métadonnées nécessaires pour afficher les données relatives aux AWS Glue tables sous-jacentes sur la console.

  • EstablishLogDeliveries— Permet aux principaux de fournir des journaux de requêtes au groupe de CloudWatch journaux Amazon Logs d'un client.

  • SetupLogGroupsDescribe— Permet aux principaux d'utiliser le processus de création de groupes de CloudWatch journaux Amazon Logs.

  • SetupLogGroupsCreate— Permet aux principaux de créer un groupe de CloudWatch journaux Amazon Logs.

  • SetupLogGroupsResourcePolicy— Permet aux principaux de définir une politique de ressources sur le groupe de CloudWatch journaux Amazon Logs.

  • ConsoleLogSummaryQueryLogs— Permet aux principaux de consulter les journaux de requêtes.

  • ConsoleLogSummaryObtainLogs— Permet aux principaux de récupérer les résultats du journal.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "CleanRoomsAccess",
			"Effect": "Allow",
			"Action": [
				"cleanrooms:BatchGetCollaborationAnalysisTemplate",
				"cleanrooms:BatchGetSchema",
				"cleanrooms:CreateAnalysisTemplate",
				"cleanrooms:CreateCollaboration",
				"cleanrooms:CreateConfiguredTable",
				"cleanrooms:CreateConfiguredTableAnalysisRule",
				"cleanrooms:CreateConfiguredTableAssociation",
				"cleanrooms:CreateMembership",
				"cleanrooms:DeleteAnalysisTemplate",
				"cleanrooms:DeleteCollaboration",
				"cleanrooms:DeleteConfiguredTable",
				"cleanrooms:DeleteConfiguredTableAnalysisRule",
				"cleanrooms:DeleteConfiguredTableAssociation",
				"cleanrooms:DeleteMember",
				"cleanrooms:DeleteMembership",
				"cleanrooms:GetAnalysisTemplate",
				"cleanrooms:GetCollaboration",
				"cleanrooms:GetCollaborationAnalysisTemplate",
				"cleanrooms:GetConfiguredTable",
				"cleanrooms:GetConfiguredTableAnalysisRule",
				"cleanrooms:GetConfiguredTableAssociation",
				"cleanrooms:GetMembership",
				"cleanrooms:GetProtectedQuery",
				"cleanrooms:GetSchema",
				"cleanrooms:GetSchemaAnalysisRule",
				"cleanrooms:ListAnalysisTemplates",
				"cleanrooms:ListCollaborationAnalysisTemplates",
				"cleanrooms:ListCollaborations",
				"cleanrooms:ListConfiguredTableAssociations",
				"cleanrooms:ListConfiguredTables",
				"cleanrooms:ListMembers",
				"cleanrooms:ListMemberships",
				"cleanrooms:ListProtectedQueries",
				"cleanrooms:ListSchemas",
				"cleanrooms:UpdateAnalysisTemplate",
				"cleanrooms:UpdateCollaboration",
				"cleanrooms:UpdateConfiguredTable",
				"cleanrooms:UpdateConfiguredTableAnalysisRule",
				"cleanrooms:UpdateConfiguredTableAssociation",
				"cleanrooms:UpdateMembership",
				"cleanrooms:ListTagsForResource",
				"cleanrooms:UntagResource",
				"cleanrooms:TagResource"
			],
			"Resource": "*"
		},
		{
			"Sid": "CleanRoomsNoQuerying",
			"Effect": "Deny",
			"Action": [
				"cleanrooms:StartProtectedQuery",
				"cleanrooms:UpdateProtectedQuery"
			],
			"Resource": "*"
		},
		{
			"Sid": "PassServiceRole",
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*",
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ListRolesToPickServiceRole",
			"Effect": "Allow",
			"Action": [
				"iam:ListRoles"
			],
			"Resource": "*"
		},
		{
			"Sid": "GetRoleAndListRolePoliciesToInspectServiceRole",
			"Effect": "Allow",
			"Action": [
				"iam:GetRole",
				"iam:ListRolePolicies",
				"iam:ListAttachedRolePolicies"
			],
			"Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*"
		},
		{
			"Sid": "ListPoliciesToInspectServiceRolePolicy",
			"Effect": "Allow",
			"Action": [
				"iam:ListPolicies"
			],
			"Resource": "*"
		},
		{
			"Sid": "GetPolicyToInspectServiceRolePolicy",
			"Effect": "Allow",
			"Action": [
				"iam:GetPolicy",
				"iam:GetPolicyVersion"
			],
			"Resource": "arn:aws:iam::*:policy/*cleanrooms*"
		},
		{
			"Sid": "ConsoleDisplayTables",
			"Effect": "Allow",
			"Action": [
				"glue:GetDatabase",
				"glue:GetDatabases",
				"glue:GetTable",
				"glue:GetTables",
				"glue:GetPartition",
				"glue:GetPartitions",
				"glue:GetSchema",
				"glue:GetSchemaVersion",
				"glue:BatchGetPartition"
			],
			"Resource": "*"
		},
		{
			"Sid": "EstablishLogDeliveries",
			"Effect": "Allow",
			"Action": [
				"logs:CreateLogDelivery",
				"logs:GetLogDelivery",
				"logs:UpdateLogDelivery",
				"logs:DeleteLogDelivery",
				"logs:ListLogDeliveries"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "SetupLogGroupsDescribe",
			"Effect": "Allow",
			"Action": [
				"logs:DescribeLogGroups"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "SetupLogGroupsCreate",
			"Effect": "Allow",
			"Action": [
				"logs:CreateLogGroup"
			],
			"Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "SetupLogGroupsResourcePolicy",
			"Effect": "Allow",
			"Action": [
			  "logs:DescribeResourcePolicies",
				"logs:PutResourcePolicy"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ConsoleLogSummaryQueryLogs",
			"Effect": "Allow",
			"Action": [
				"logs:StartQuery"
			],
			"Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*"
		},
		{
			"Sid": "ConsoleLogSummaryObtainLogs",
			"Effect": "Allow",
			"Action": [
				"logs:GetQueryResults"
			],
			"Resource": "*"
		}
	]
}

AWS politique gérée : AWSCleanRoomsMLReadOnlyAccess

Vous pouvez vous rattacher AWSCleanRoomsMLReadOnlyAccess à vos principaux IAM.

Cette politique accorde des autorisations en lecture seule aux ressources et aux métadonnées dans le cadre d'une AWSCleanRoomsMLReadOnlyAccess collaboration.

Cette politique inclut les autorisations suivantes :

  • CleanRoomsConsoleNavigation— Permet d'accéder aux écrans de la AWS Clean Rooms console.

  • CleanRoomsMLRead— Permet aux principaux d'accéder en lecture seule au service Clean Rooms ML.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CleanRoomsConsoleNavigation",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaboration",
                "cleanrooms:GetConfiguredAudienceModelAssociation",
                "cleanrooms:GetMembership",
                "cleanrooms:ListAnalysisTemplates",
                "cleanrooms:ListCollaborationAnalysisTemplates",
                "cleanrooms:ListCollaborationConfiguredAudienceModelAssociations",
                "cleanrooms:ListCollaborations",
                "cleanrooms:ListConfiguredTableAssociations",
                "cleanrooms:ListConfiguredTables",
                "cleanrooms:ListMembers",
                "cleanrooms:ListMemberships",
                "cleanrooms:ListProtectedQueries",
                "cleanrooms:ListSchemas",
                "cleanrooms:ListTagsForResource"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CleanRoomsMLRead",
            "Effect": "Allow",
            "Action": [
                "cleanrooms-ml:Get*",
                "cleanrooms-ml:List*"
            ],
            "Resource": "*"
        }
    ]
}

AWS politique gérée : AWSCleanRoomsMLFullAccess

Vous pouvez vous rattacher AWSCleanRoomsMLFullAcces à vos principaux IAM. Cette politique accorde des autorisations administratives qui permettent un accès complet (lecture, écriture et mise à jour) aux ressources et aux métadonnées nécessaires à Clean Rooms ML.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • CleanRoomsMLFullAccess— Accorde l'accès à toutes les actions de Clean Rooms ML.

  • PassServiceRole— Accorde l'accès pour transmettre un rôle de service uniquement au service (PassedToServicecondition) dont le nom contient cleanrooms-ml « ».

  • CleanRoomsConsoleNavigation— Permet d'accéder aux écrans de la AWS Clean Rooms console.

  • CollaborationMembershipCheck— Lorsque vous lancez une tâche de génération d'audience (segment similaire) dans le cadre d'une collaboration, le service Clean Rooms ML appelle ListMembers pour vérifier que la collaboration est valide, que l'appelant est un membre actif et que le propriétaire du modèle d'audience configuré est un membre actif. Cette autorisation est toujours requise ; le SID de navigation dans la console n'est requis que pour les utilisateurs de la console.

  • AssociateModels— Permet aux directeurs d'associer un modèle Clean Rooms ML à votre collaboration.

  • TagAssociations— Permet aux principaux d'ajouter des balises à l'association entre un modèle similaire et une collaboration.

  • ListRolesToPickServiceRole— Permet aux directeurs de répertorier tous leurs rôles afin de choisir un rôle de service lors de l'utilisation AWS Clean Rooms.

  • GetRoleAndListRolePoliciesToInspectServiceRole— Permet aux principaux de voir le rôle du service et la politique correspondante dans IAM.

  • ListPoliciesToInspectServiceRolePolicy— Permet aux principaux de voir le rôle du service et la politique correspondante dans IAM.

  • GetPolicyToInspectServiceRolePolicy— Permet aux principaux de voir le rôle du service et la politique correspondante dans IAM.

  • ConsoleDisplayTables— Permet aux principaux d'accéder en lecture seule aux AWS Glue métadonnées nécessaires pour afficher les données relatives aux AWS Glue tables sous-jacentes sur la console.

  • ConsolePickOutputBucket— Permet aux principaux de sélectionner des compartiments Amazon S3 pour les sorties du modèle d'audience configurées.

  • ConsolePickS3Location— Permet aux principaux de sélectionner l'emplacement dans un compartiment pour les sorties du modèle d'audience configurées.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CleanRoomsMLFullAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms-ml:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PassServiceRole",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/cleanrooms-ml*"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "cleanrooms-ml.amazonaws.com"
                }
            }
        },
        {
            "Sid": "CleanRoomsConsoleNavigation",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaboration",
                "cleanrooms:GetConfiguredAudienceModelAssociation",
                "cleanrooms:GetMembership",
                "cleanrooms:ListAnalysisTemplates",
                "cleanrooms:ListCollaborationAnalysisTemplates",
                "cleanrooms:ListCollaborationConfiguredAudienceModelAssociations",
                "cleanrooms:ListCollaborations",
                "cleanrooms:ListConfiguredTableAssociations",
                "cleanrooms:ListConfiguredTables",
                "cleanrooms:ListMembers",
                "cleanrooms:ListMemberships",
                "cleanrooms:ListProtectedQueries",
                "cleanrooms:ListSchemas",
                "cleanrooms:ListTagsForResource"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CollaborationMembershipCheck",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:ListMembers"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": ["cleanrooms-ml.amazonaws.com"]
                }
            }
        },
        {
            "Sid": "AssociateModels",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:CreateConfiguredAudienceModelAssociation"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TagAssociations",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:TagResource"
            ],
            "Resource": "arn:aws:cleanrooms:*:*:membership/*/configuredaudiencemodelassociation/*"
        },
        {
            "Sid": "ListRolesToPickServiceRole", 
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GetRoleAndListRolePoliciesToInspectServiceRole",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListRolePolicies",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:iam::*:role/service-role/cleanrooms-ml*",
                "arn:aws:iam::*:role/role/cleanrooms-ml*"
            ]
        },
        {
            "Sid": "ListPoliciesToInspectServiceRolePolicy",
            "Effect": "Allow",
            "Action": [
                "iam:ListPolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GetPolicyToInspectServiceRolePolicy",
            "Effect": "Allow",
            "Action": [
                "iam:GetPolicy",
                "iam:GetPolicyVersion"
            ],
            "Resource": "arn:aws:iam::*:policy/*cleanroomsml*"
        },
        {
            "Sid": "ConsoleDisplayTables", 
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:GetSchema",
                "glue:GetSchemaVersion",
                "glue:BatchGetPartition"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ConsolePickOutputBucket",
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ConsolePickS3Location",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::*cleanrooms-ml*"
        }
    ]
}

AWS Clean Rooms mises à jour des politiques AWS gérées

Consultez les détails des mises à jour des politiques AWS gérées AWS Clean Rooms depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du AWS Clean Rooms document.

Modification Description Date
AWSCleanRoomsFullAccess – Mise à jour de la politique existante L'ID AWSCleanRoomsFullAccess de déclaration a été mis ConsolePickQueryResultsBucket à jour SetQueryResultsBucket dans cette politique afin de mieux représenter les autorisations, car celles-ci sont nécessaires pour définir le compartiment des résultats des requêtes avec et sans la console. 21 mars 2024

AWSCleanRoomsMLReadOnlyAccess : nouvelle politique

AWSCleanRoomsMLFullAccess : nouvelle politique

Ajouté AWSCleanRoomsMLReadOnlyAccess et AWSCleanRoomsMLFullAccess pour prendre en charge le AWS Clean Rooms ML.

 29 novembre 2023
AWSCleanRoomsFullAccessNoQuerying – Mise à jour de la politique existante Ajout de cleanrooms:CreateAnalysisTemplatecleanrooms:GetAnalysisTemplate,cleanrooms:UpdateAnalysisTemplate, cleanrooms:DeleteAnalysisTemplate,cleanrooms:ListAnalysisTemplates,cleanrooms:GetCollaborationAnalysisTemplate,cleanrooms:BatchGetCollaborationAnalysisTemplate, et cleanrooms:ListCollaborationAnalysisTemplates CleanRoomsAccess pour activer la nouvelle fonctionnalité de modèles d'analyse. 31 juillet 2023
AWSCleanRoomsFullAccessNoQuerying – Mise à jour de la politique existante Ajoutécleanrooms:ListTagsForResource,cleanrooms:UntagResource, et cleanrooms:TagResource pour CleanRoomsAccess activer le balisage des ressources. 21 mars 2023

AWS Clean Rooms a commencé à suivre les modifications

AWS Clean Rooms a commencé à suivre les modifications apportées AWS à ses politiques gérées.

 12 janvier 2023