Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
IAMperilaku untuk AWS Clean Rooms ML
Lowongan kerja lintas akun
Clean Rooms ML memungkinkan sumber daya tertentu yang dibuat oleh satu Akun AWS untuk diakses dengan aman di akun mereka oleh orang lain Akun AWS. Ketika seorang klien di Akun AWS Panggilan StartAudienceGenerationJob
pada ConfiguredAudienceModel
sumber daya yang dimiliki oleh Akun AWS B, Clean Rooms MLmenciptakan dua ARNs untuk pekerjaan itu. Satu ARN di Akun AWS A dan lainnya di Akun AWS B. Identik kecuali ARNs Akun AWS.
Clean Rooms MS menciptakan dua ARNs untuk pekerjaan tersebut untuk memastikan bahwa kedua akun dapat menerapkan IAM kebijakan mereka sendiri untuk pekerjaan tersebut. Misalnya, kedua akun dapat menggunakan kontrol akses berbasis tag dan menerapkan kebijakan dari AWS organisasi. Pekerjaan memproses data dari kedua akun, sehingga kedua akun dapat menghapus pekerjaan dan data terkait. Tidak ada akun yang dapat memblokir akun lain dari menghapus pekerjaan.
Hanya ada satu eksekusi pekerjaan dan kedua akun dapat melihat pekerjaan ketika mereka meneleponListAudienceGenerationJobs
. Kedua akun dapat memanggilGet
,Delete
, dan Export
APIs di tempat kerja menggunakan ARN dengan mereka sendiri Akun AWS ID.
Tidak juga Akun AWS dapat mengakses pekerjaan saat menggunakan ARN dengan yang lain Akun AWS ID.
Nama pekerjaan harus unik dalam Akun AWS. Nama di Akun AWS B adalah $accountA-$name
. Nama yang dipilih oleh Akun AWS A diawali dengan Akun AWS
A ketika pekerjaan dilihat di Akun AWS B.
Agar cross-account StartAudienceGenerationJob
berhasil, Akun AWS B harus mengizinkan tindakan itu pada kedua pekerjaan baru di Akun AWS B dan ConfiguredAudienceModel
di Akun AWS B menggunakan kebijakan sumber daya yang mirip dengan contoh berikut:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Clean-Rooms-<CAMA ID>", "Effect": "Allow", "Principal": { "AWS": [ "
accountA
" ] }, "Action": [ "cleanrooms-ml:StartAudienceGenerationJob" ], "Resource": [ "arn:aws:cleanrooms-ml:us-west-1:AccountB
:configured-audience-model/id
", "arn:aws:cleanrooms-ml:us-west-1:AccountB
:audience-generation-job/*" ], // optional - always set by AWS Clean Rooms "Condition":{"StringEquals":{"cleanrooms-ml:CollaborationId":"UUID
"}} } ] }
Jika Anda menggunakan AWS Clean Rooms ML API untuk membuat model mirip yang dikonfigurasi dengan manageResourcePolicies
disetel ke true, AWS Clean Rooms membuat kebijakan ini untuk Anda.
Selain itu, kebijakan identitas penelepon di Akun AWS A membutuhkan StartAudienceGenerationJob
izin padaarn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/*
. Jadi ada tiga IAM Sumber Daya untuk TindakanStartAudienceGenerationJob
: Akun AWS Sebuah pekerjaan, Akun AWS B pekerjaan, dan Akun AWS BConfiguredAudienceModel
.
Awas
Bagian Akun AWS yang memulai pekerjaan menerima AWS CloudTrail audit log peristiwa tentang pekerjaan. Bagian Akun AWS yang memiliki ConfiguredAudienceModel
tidak menerima AWS CloudTrail
peristiwa log audit.
Lowongan kerja Tagging
Saat Anda menyetel childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE
parameterCreateConfiguredAudienceModel
, semua pekerjaan pembuatan segmen mirip dalam akun Anda yang dibuat dari model mirip mirip yang dikonfigurasi secara default untuk memiliki tag yang sama dengan model mirip yang dikonfigurasi. Model mirip yang dikonfigurasi adalah induknya dan pekerjaan pembuatan segmen yang mirip adalah anak.
Jika Anda membuat pekerjaan di dalam akun Anda sendiri, tag permintaan pekerjaan akan menggantikan tag induk. Pekerjaan yang dibuat oleh akun lain tidak pernah membuat tag di akun Anda. Jika Anda menetapkan childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE
dan akun lain membuat pekerjaan, ada dua salinan pekerjaan. Salinan di akun Anda memiliki tag sumber daya induk dan salinan di akun pengirim pekerjaan memiliki tag dari permintaan.
Memvalidasi kolaborator
Saat memberikan izin kepada anggota lain dari sebuah AWS Clean Rooms kolaborasi, kebijakan sumber daya harus menyertakan kunci kondisicleanrooms-ml:CollaborationId
. Ini memberlakukan bahwa collaborationId
parameter disertakan dalam StartAudienceGenerationJobpermintaan. Ketika collaborationId
parameter disertakan dalam permintaan, Clean Rooms MS memvalidasi bahwa kolaborasi ada, pengirim pekerjaan adalah anggota aktif kolaborasi, dan pemilik model mirip yang dikonfigurasi adalah anggota aktif kolaborasi.
Saat AWS Clean Rooms mengelola kebijakan sumber daya model mirip yang dikonfigurasi (manageResourcePolicies
parameternya TRUE
dalam CreateConfiguredAudienceModelAssociation permintaan), kunci kondisi ini akan disetel dalam kebijakan sumber daya. Oleh karena itu, Anda harus menentukan collaborationId
in StartAudienceGenerationJob.
Akses lintas akun
Hanya StartAudienceGenerationJob
dapat dipanggil di seluruh akun. Semua Clean Rooms ML lainnya hanya APIs dapat digunakan dengan sumber daya di akun Anda sendiri. Ini memastikan bahwa data pelatihan Anda, konfigurasi model yang mirip, dan informasi lainnya tetap pribadi.
Clean Rooms MLtidak pernah mengungkapkan Amazon S3 atau AWS Glue lokasi di seluruh akun. Lokasi data pelatihan, lokasi keluaran model mirip yang dikonfigurasi, dan lokasi benih pekerjaan pembuatan segmen yang mirip tidak pernah terlihat di seluruh akun. Kecuali pencatatan kueri diaktifkan dalam kolaborasi, apakah data benih berasal dari SQL kueri dan kueri itu sendiri tidak terlihat di seluruh akun. Jika Anda Get
memiliki pekerjaan pembuatan audiens yang dikirimkan oleh akun lain, layanan tidak menampilkan lokasi benih.