AWS politiques gérées pour AWS Clean Rooms - AWS Clean Rooms
AWSCleanRoomsReadOnlyAccessAWSCleanRoomsFullAccessAWSCleanRoomsFullAccessNoQueryingAWSCleanRoomsMLReadOnlyAccessAWSCleanRoomsMLFullAccessMises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour AWS Clean Rooms

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.

Pour plus d’informations, consultez Politiques gérées par AWS dans le Guide de l’utilisateur IAM.

AWS politique gérée : AWSCleanRoomsReadOnlyAccess

Vous pouvez vous rattacher AWSCleanRoomsReadOnlyAccess à vos principaux IAM.

Cette politique accorde des autorisations en lecture seule aux ressources et aux métadonnées dans le cadre d'une AWSCleanRoomsReadOnlyAccess collaboration.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • CleanRoomsRead— Permet aux principaux d'accéder au service en lecture seule.

  • ConsoleDisplayTables— Permet aux principaux d'accéder en lecture seule aux AWS Glue métadonnées nécessaires pour afficher les données relatives aux AWS Glue tables sous-jacentes sur la console.

  • ConsoleLogSummaryQueryLogs— Permet aux principaux de consulter les journaux de requêtes.

  • ConsoleLogSummaryObtainLogs— Permet aux principaux de récupérer les résultats du journal.

Pour obtenir une liste JSON des détails de la politique, consultez AWSCleanRoomsReadOnlyAccessle Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSCleanRoomsFullAccess

Vous pouvez vous rattacher AWSCleanRoomsFullAccess à vos principaux IAM.

Cette politique accorde des autorisations administratives qui permettent un accès complet (lecture, écriture et mise à jour) aux ressources et aux métadonnées d'une AWS Clean Rooms collaboration. Cette politique inclut l'accès pour effectuer des requêtes.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • CleanRoomsAccess— Accorde un accès complet à toutes les actions sur toutes les ressources pour AWS Clean Rooms.

  • PassServiceRole— Accorde l'accès pour transmettre un rôle de service uniquement au service (PassedToServicecondition) qui a »cleanrooms« dans son nom.

  • ListRolesToPickServiceRole— Permet aux directeurs de répertorier tous leurs rôles afin de choisir un rôle de service lors de l'utilisation AWS Clean Rooms.

  • GetRoleAndListRolePoliciesToInspectServiceRole— Permet aux principaux de voir le rôle du service et la politique correspondante dans IAM.

  • ListPoliciesToInspectServiceRolePolicy— Permet aux principaux de voir le rôle du service et la politique correspondante dans IAM.

  • GetPolicyToInspectServiceRolePolicy— Permet aux principaux de voir le rôle du service et la politique correspondante dans IAM.

  • ConsoleDisplayTables— Permet aux principaux d'accéder en lecture seule aux AWS Glue métadonnées nécessaires pour afficher les données relatives aux AWS Glue tables sous-jacentes sur la console.

  • ConsolePickQueryResultsBucketListAll— Permet aux principaux de choisir un compartiment Amazon S3 dans une liste de tous les compartiments S3 disponibles dans lesquels les résultats de leurs requêtes sont écrits.

  • SetQueryResultsBucket— Permet aux principaux de choisir un compartiment S3 dans lequel les résultats de leurs requêtes sont écrits.

  • ConsoleDisplayQueryResults— Permet aux principaux d'afficher les résultats de la requête au client, lus depuis le compartiment S3.

  • WriteQueryResults— Permet aux principaux d'écrire les résultats de la requête dans un compartiment S3 appartenant au client.

  • EstablishLogDeliveries— Permet aux principaux de fournir des journaux de requêtes au groupe de CloudWatch journaux Amazon Logs d'un client.

  • SetupLogGroupsDescribe— Permet aux principaux d'utiliser le processus de création de groupes de CloudWatch journaux Amazon Logs.

  • SetupLogGroupsCreate— Permet aux principaux de créer un groupe de CloudWatch journaux Amazon Logs.

  • SetupLogGroupsResourcePolicy— Permet aux principaux de définir une politique de ressources sur le groupe de CloudWatch journaux Amazon Logs.

  • ConsoleLogSummaryQueryLogs— Permet aux principaux de consulter les journaux de requêtes.

  • ConsoleLogSummaryObtainLogs— Permet aux principaux de récupérer les résultats du journal.

Pour obtenir une liste JSON des détails de la politique, consultez AWSCleanRoomsFullAccessle Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSCleanRoomsFullAccessNoQuerying

Vous pouvez joindre AWSCleanRoomsFullAccessNoQuerying à votre IAM principals.

Cette politique accorde des autorisations administratives qui permettent un accès complet (lecture, écriture et mise à jour) aux ressources et aux métadonnées d'une AWS Clean Rooms collaboration. Cette politique exclut l'accès pour effectuer des requêtes.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • CleanRoomsAccess— Accorde un accès complet à toutes les actions sur toutes les ressources AWS Clean Rooms, à l'exception des requêtes dans le cadre de collaborations.

  • CleanRoomsNoQuerying— Refuse explicitement StartProtectedQuery et UpdateProtectedQuery empêche les requêtes.

  • PassServiceRole— Accorde l'accès pour transmettre un rôle de service uniquement au service (PassedToServicecondition) qui a »cleanrooms« dans son nom.

  • ListRolesToPickServiceRole— Permet aux directeurs de répertorier tous leurs rôles afin de choisir un rôle de service lors de l'utilisation AWS Clean Rooms.

  • GetRoleAndListRolePoliciesToInspectServiceRole— Permet aux principaux de voir le rôle du service et la politique correspondante dans IAM.

  • ListPoliciesToInspectServiceRolePolicy— Permet aux principaux de voir le rôle du service et la politique correspondante dans IAM.

  • GetPolicyToInspectServiceRolePolicy— Permet aux principaux de voir le rôle du service et la politique correspondante dans IAM.

  • ConsoleDisplayTables— Permet aux principaux d'accéder en lecture seule aux AWS Glue métadonnées nécessaires pour afficher les données relatives aux AWS Glue tables sous-jacentes sur la console.

  • EstablishLogDeliveries— Permet aux principaux de fournir des journaux de requêtes au groupe de CloudWatch journaux Amazon Logs d'un client.

  • SetupLogGroupsDescribe— Permet aux principaux d'utiliser le processus de création de groupes de CloudWatch journaux Amazon Logs.

  • SetupLogGroupsCreate— Permet aux principaux de créer un groupe de CloudWatch journaux Amazon Logs.

  • SetupLogGroupsResourcePolicy— Permet aux principaux de définir une politique de ressources sur le groupe de CloudWatch journaux Amazon Logs.

  • ConsoleLogSummaryQueryLogs— Permet aux principaux de consulter les journaux de requêtes.

  • ConsoleLogSummaryObtainLogs— Permet aux principaux de récupérer les résultats du journal.

  • cleanrooms— Gérez les collaborations, les modèles d'analyse, les tables configurées, les adhésions et les ressources associées au sein du AWS Clean Rooms service. Effectuez diverses opérations telles que la création, la mise à jour, la suppression, la liste et la récupération d'informations sur ces ressources.

  • iam— Transmettez les rôles de service dont les noms contiennent cleanrooms « » au AWS Clean Rooms service. Répertoriez les rôles, les politiques et inspectez les rôles de service et les politiques liés au AWS Clean Rooms service.

  • glue— Récupérez des informations sur les bases de données, les tables, les partitions et les schémas à partir de AWS Glue. Cela est nécessaire pour que le AWS Clean Rooms service affiche et interagisse avec les sources de données sous-jacentes.

  • logs— Gérez les livraisons de journaux, les groupes de journaux et les politiques de ressources pour les CloudWatch journaux. Interrogez et récupérez les journaux relatifs au AWS Clean Rooms service. Ces autorisations sont nécessaires à des fins de surveillance, d'audit et de dépannage au sein du service.

La politique refuse également explicitement les actions cleanrooms:StartProtectedQuery et empêche les utilisateurs cleanrooms:UpdateProtectedQuery d'exécuter ou de mettre à jour directement les requêtes protégées, ce qui doit être fait par le biais des mécanismes AWS Clean Rooms contrôlés.

Pour obtenir une liste JSON des détails de la politique, consultez AWSCleanRoomsFullAccessNoQueryingle Guide de référence des politiques AWS gérées.

AWS politique gérée : AWSCleanRoomsMLReadOnlyAccess

Vous pouvez vous rattacher AWSCleanRoomsMLReadOnlyAccess à vos principaux IAM.

Cette politique accorde des autorisations en lecture seule aux ressources et aux métadonnées dans le cadre d'une AWSCleanRoomsMLReadOnlyAccess collaboration.

Cette politique inclut les autorisations suivantes :

  • CleanRoomsConsoleNavigation— Autorise l'accès à l'affichage des écrans de la AWS Clean Rooms console.

  • CleanRoomsMLRead— Permet aux principaux d'accéder en lecture seule au service Clean Rooms ML.

  • PassCleanRoomsResources— Accorde l'accès pour transmettre AWS Clean Rooms des ressources spécifiées.

Pour une liste JSON des détails de la politique, voir AWSCleanRooms MLRead OnlyAccess dans le AWS Managed Policy Reference Guide.

AWS politique gérée : AWSCleanRoomsMLFullAccess

Vous pouvez vous rattacher AWSCleanRoomsMLFullAcces à vos principaux IAM. Cette politique accorde des autorisations administratives qui permettent un accès complet (lecture, écriture et mise à jour) aux ressources et aux métadonnées nécessaires à Clean Rooms ML.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • CleanRoomsMLFullAccess— Accorde l'accès à toutes les actions de Clean Rooms ML.

  • PassServiceRole— Accorde l'accès pour transmettre un rôle de service uniquement au service (PassedToServicecondition) qui a »cleanrooms-ml« dans son nom.

  • CleanRoomsConsoleNavigation— Autorise l'accès à l'affichage des écrans de la AWS Clean Rooms console.

  • CollaborationMembershipCheck— Lorsque vous lancez une tâche de génération d'audience (segment similaire) dans le cadre d'une collaboration, le service Clean Rooms ML appelle ListMembers pour vérifier que la collaboration est valide, que l'appelant est un membre actif et que le propriétaire du modèle d'audience configuré est un membre actif. Cette autorisation est toujours requise ; le SID de navigation dans la console n'est requis que pour les utilisateurs de la console.

  • PassCleanRoomsResources— Accorde l'accès pour transmettre AWS Clean Rooms des ressources spécifiées.

  • AssociateModels— Permet aux directeurs d'associer un modèle Clean Rooms ML à votre collaboration.

  • TagAssociations— Permet aux principaux d'ajouter des balises à l'association entre un modèle similaire et une collaboration.

  • ListRolesToPickServiceRole— Permet aux directeurs de répertorier tous leurs rôles afin de choisir un rôle de service lors de l'utilisation AWS Clean Rooms.

  • GetRoleAndListRolePoliciesToInspectServiceRole— Permet aux principaux de voir le rôle du service et la politique correspondante dans IAM.

  • ListPoliciesToInspectServiceRolePolicy— Permet aux principaux de voir le rôle du service et la politique correspondante dans IAM.

  • GetPolicyToInspectServiceRolePolicy— Permet aux principaux de voir le rôle du service et la politique correspondante dans IAM.

  • ConsoleDisplayTables— Permet aux principaux d'accéder en lecture seule aux AWS Glue métadonnées nécessaires pour afficher les données relatives aux AWS Glue tables sous-jacentes sur la console.

  • ConsolePickOutputBucket— Permet aux principaux de sélectionner des compartiments Amazon S3 pour les sorties du modèle d'audience configurées.

  • ConsolePickS3Location— Permet aux principaux de sélectionner l'emplacement dans un compartiment pour les sorties du modèle d'audience configurées.

  • ConsoleDescribeECRRepositories— Permet aux principaux de décrire les référentiels et les images Amazon ECR.

Pour une liste JSON des détails de la politique, voir AWSCleanRooms MLFull Access dans le AWS Managed Policy Reference Guide.

AWS Clean Rooms mises à jour des politiques AWS gérées

Consultez les détails des mises à jour des politiques AWS gérées AWS Clean Rooms depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du AWS Clean Rooms document.

Modification Description Date

AWSCleanRoomsMLReadOnlyAccess – Mise à jour de la politique existante

AWSCleanRoomsMLFullAccess – Mise à jour de la politique existante

Ajouté PassCleanRoomsResources to AWSCleanRoomsMLReadOnlyAccess. Ajouté PassCleanRoomsResources and ConsoleDescribeECRRepositories to AWSCleanRoomsMLFullAccess.

 10 janvier 2025
AWSCleanRoomsFullAccessNoQuerying – Mise à jour de la politique existante Ajouté cleanrooms:BatchGetSchemaAnalysisRule to CleanRoomsAccess. 13 mai 2024
AWSCleanRoomsFullAccess – Mise à jour de la politique existante L'ID du relevé a été mis à jour dans AWSCleanRoomsFullAccess from ConsolePickQueryResultsBucket to SetQueryResultsBucket dans cette politique afin de mieux représenter les autorisations, car celles-ci sont nécessaires pour définir le compartiment des résultats de la requête avec et sans la console. 21 mars 2024

AWSCleanRoomsMLReadOnlyAccess : nouvelle politique

AWSCleanRoomsMLFullAccess : nouvelle politique

Ajouté AWSCleanRoomsMLReadOnlyAccess and AWSCleanRoomsMLFullAccess pour soutenir le AWS Clean Rooms ML.

 29 novembre 2023
AWSCleanRoomsFullAccessNoQuerying – Mise à jour de la politique existante Ajouté cleanrooms:CreateAnalysisTemplate, cleanrooms:GetAnalysisTemplate, cleanrooms:UpdateAnalysisTemplate, cleanrooms:DeleteAnalysisTemplate, cleanrooms:ListAnalysisTemplates, cleanrooms:GetCollaborationAnalysisTemplate, cleanrooms:BatchGetCollaborationAnalysisTemplate, et cleanrooms:ListCollaborationAnalysisTemplates to CleanRoomsAccess pour activer la nouvelle fonctionnalité de modèles d'analyse. 31 juillet 2023
AWSCleanRoomsFullAccessNoQuerying – Mise à jour de la politique existante Ajouté cleanrooms:ListTagsForResource, cleanrooms:UntagResource, et cleanrooms:TagResource to CleanRoomsAccess pour activer le balisage des ressources. 21 mars 2023

AWS Clean Rooms a commencé à suivre les modifications

AWS Clean Rooms a commencé à suivre les modifications apportées AWS à ses politiques gérées.

 12 janvier 2023