Perilaku IAM untuk AWS Clean Rooms MS - AWS Clean Rooms
Lowongan kerja lintas akunLowongan kerja TaggingMemvalidasi kolaboratorAkses lintas akun

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perilaku IAM untuk AWS Clean Rooms MS

Lowongan kerja lintas akun

Clean Rooms ML memungkinkan sumber daya tertentu yang dibuat oleh satu orang Akun AWS untuk diakses dengan aman di akun mereka oleh yang lain Akun AWS. Ketika klien di Akun AWS A memanggil StartAudienceGenerationJob ConfiguredAudienceModel sumber daya yang dimiliki oleh Akun AWS B, Clean Rooms MLmenciptakan dua ARNs untuk pekerjaan itu. Satu ARN di Akun AWS A dan satu lagi di B. Akun AWS ARNs Mereka identik kecuali untuk mereka Akun AWS.

Clean Rooms MS menciptakan dua ARNs untuk pekerjaan tersebut untuk memastikan bahwa kedua akun dapat menerapkan kebijakan IAM mereka sendiri untuk pekerjaan tersebut. Misalnya, kedua akun dapat menggunakan kontrol akses berbasis tag dan menerapkan kebijakan dari AWS organisasi mereka. Pekerjaan memproses data dari kedua akun, sehingga kedua akun dapat menghapus pekerjaan dan data terkait. Tidak ada akun yang dapat memblokir akun lain dari menghapus pekerjaan.

Hanya ada satu eksekusi pekerjaan dan kedua akun dapat melihat pekerjaan ketika mereka meneleponListAudienceGenerationJobs. Kedua akun dapat memanggilGet,Delete, dan Export APIs di tempat kerja menggunakan ARN dengan ID mereka sendiri Akun AWS .

Tidak ada yang Akun AWS dapat mengakses pekerjaan saat menggunakan ARN dengan ID lainnya Akun AWS .

Nama pekerjaan harus unik dalam sebuah Akun AWS. Nama dalam Akun AWS B adalah$accountA-$name. Nama yang dipilih oleh Akun AWS A diawali dengan Akun AWS A ketika pekerjaan dilihat di Akun AWS B.

Agar lintas akun StartAudienceGenerationJob berhasil, Akun AWS B harus mengizinkan tindakan tersebut pada pekerjaan baru di Akun AWS B dan ConfiguredAudienceModel di Akun AWS B menggunakan kebijakan sumber daya yang mirip dengan contoh berikut:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Clean-Rooms-CAMA-ID",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "111122223333" 
                ]
            },
            "Action": [
                "cleanrooms-ml:StartAudienceGenerationJob"
            ],
            "Resource": [
                "arn:aws:cleanrooms-ml:us-east-1:444455556666:configured-audience-model/id",
                "arn:aws:cleanrooms-ml:us-east-1:444455556666:audience-generation-job/*"
            ],
            "Condition":{"StringEquals":{"cleanrooms-ml:CollaborationId":"UUID"}}
        }
    ]
}
catatan

Kebijakan sumber daya AWS Clean Rooms ML ini mereferensikan dua hal yang berbeda Akun AWS IDs untuk mendukung pembuatan audiens lintas akun:

  • 111122223333 - Ini adalah akun yang berisi prinsipal (pengguna, peran, atau layanan) yang berwenang untuk memulai pekerjaan generasi audiens. Akun ini memulai alur kerja pemrosesan ML.

  • 444455556666 - Ini adalah akun yang memiliki sumber daya AWS Clean Rooms ML (model audiens yang dikonfigurasi dan pekerjaan generasi audiens). Akun ini menghosting model ML dan mengelola eksekusi pekerjaan.

Catatan Konfigurasi Tambahan:

  • Statement ID (Sid): Ganti CAMA-ID dengan pengenal AWS Clean Rooms Audience Model Application (CAMA) Anda yang sebenarnya untuk membuat pernyataan kebijakan mudah diidentifikasi.

  • Sumber Daya IDs: Ganti id dengan ID aktual model audiens yang dikonfigurasi, dan UUID dengan ID kolaborasi spesifik Anda.

  • Kondisi: cleanrooms-ml:CollaborationId Kondisi ini memastikan bahwa pekerjaan generasi audiens hanya dapat dimulai dalam konteks AWS Clean Rooms kolaborasi yang ditentukan, memberikan batas keamanan tambahan.

Konfigurasi lintas akun ini memungkinkan skenario di mana satu organisasi mengelola model dan infrastruktur ML sambil memungkinkan mitra resmi untuk memulai proses pembuatan audiens dalam batas-batas perjanjian kolaborasi mereka.

Jika Anda menggunakan AWS Clean Rooms MLAPI untuk membuat model mirip yang dikonfigurasi dengan manageResourcePolicies disetel ke true, AWS Clean Rooms buat kebijakan ini untuk Anda.

Selain itu, kebijakan identitas penelepon di Akun AWS A memerlukan StartAudienceGenerationJob izin. arn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/* Jadi ada tiga Sumber Daya IAM untuk TindakanStartAudienceGenerationJob: pekerjaan Akun AWS A, pekerjaan Akun AWS B, dan Akun AWS BConfiguredAudienceModel.

Awas

Akun AWS Yang memulai pekerjaan menerima peristiwa log AWS CloudTrail audit tentang pekerjaan itu. Akun AWS Yang memiliki ConfiguredAudienceModel tidak menerima peristiwa log AWS CloudTrail audit.

Lowongan kerja Tagging

Saat Anda menyetel childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE parameterCreateConfiguredAudienceModel, semua pekerjaan pembuatan segmen mirip dalam akun Anda yang dibuat dari model mirip mirip yang dikonfigurasi secara default untuk memiliki tag yang sama dengan model mirip yang dikonfigurasi. Model mirip yang dikonfigurasi adalah induk dan pekerjaan pembuatan segmen yang mirip adalah anak.

Jika Anda membuat pekerjaan di dalam akun Anda sendiri, tag permintaan pekerjaan akan menggantikan tag induk. Pekerjaan yang dibuat oleh akun lain tidak pernah membuat tag di akun Anda. Jika Anda menetapkan childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE dan akun lain membuat pekerjaan, ada dua salinan pekerjaan. Salinan di akun Anda memiliki tag sumber daya induk dan salinan di akun pengirim pekerjaan memiliki tag dari permintaan.

Memvalidasi kolaborator

Saat memberikan izin kepada anggota AWS Clean Rooms kolaborasi lainnya, kebijakan sumber daya harus menyertakan kunci kondisi. cleanrooms-ml:CollaborationId Ini memberlakukan bahwa collaborationId parameter disertakan dalam StartAudienceGenerationJobpermintaan. Ketika collaborationId parameter disertakan dalam permintaan, Clean Rooms MS memvalidasi bahwa kolaborasi ada, pengirim pekerjaan adalah anggota aktif kolaborasi, dan pemilik model mirip yang dikonfigurasi adalah anggota aktif kolaborasi.

Saat AWS Clean Rooms mengelola kebijakan sumber daya model mirip mirip yang dikonfigurasi (manageResourcePoliciesparameternya TRUE dalam CreateConfiguredAudienceModelAssociation permintaan), kunci kondisi ini akan disetel dalam kebijakan sumber daya. Oleh karena itu, Anda harus menentukan collaborationId in StartAudienceGenerationJob.

Akses lintas akun

Hanya StartAudienceGenerationJob dapat dipanggil di seluruh akun. Semua Clean Rooms ML lainnya hanya APIs dapat digunakan dengan sumber daya di akun Anda sendiri. Ini memastikan bahwa data pelatihan Anda, konfigurasi model yang mirip, dan informasi lainnya tetap pribadi.

Clean Rooms MS tidak pernah mengungkapkan Amazon S3 atau AWS Glue lokasi di seluruh akun. Lokasi data pelatihan, lokasi keluaran model mirip yang dikonfigurasi, dan lokasi benih pekerjaan pembuatan segmen yang mirip tidak pernah terlihat di seluruh akun. Kecuali pencatatan kueri diaktifkan dalam kolaborasi, apakah data benih berasal dari kueri SQL dan kueri itu sendiri tidak terlihat di seluruh akun. Jika Anda Get memiliki pekerjaan pembuatan audiens yang dikirimkan oleh akun lain, layanan tidak menampilkan lokasi benih.