Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Perilaku IAM untuk AWS Clean Rooms MS
Lowongan kerja lintas akun
Clean Rooms ML memungkinkan sumber daya tertentu yang dibuat oleh satu orang Akun AWS untuk diakses dengan aman di akun mereka oleh yang lain Akun AWS. Ketika klien di Akun AWS A memanggil StartAudienceGenerationJob
ConfiguredAudienceModel
sumber daya yang dimiliki oleh Akun AWS B, Clean Rooms MLmenciptakan dua ARNs untuk pekerjaan itu. Satu ARN di Akun AWS A dan satu lagi di B. Akun AWS ARNs Mereka identik kecuali untuk mereka Akun AWS.
Clean Rooms MS menciptakan dua ARNs untuk pekerjaan tersebut untuk memastikan bahwa kedua akun dapat menerapkan kebijakan IAM mereka sendiri untuk pekerjaan tersebut. Misalnya, kedua akun dapat menggunakan kontrol akses berbasis tag dan menerapkan kebijakan dari AWS organisasi mereka. Pekerjaan memproses data dari kedua akun, sehingga kedua akun dapat menghapus pekerjaan dan data terkait. Tidak ada akun yang dapat memblokir akun lain dari menghapus pekerjaan.
Hanya ada satu eksekusi pekerjaan dan kedua akun dapat melihat pekerjaan ketika mereka meneleponListAudienceGenerationJobs
. Kedua akun dapat memanggilGet
,Delete
, dan Export
APIs di tempat kerja menggunakan ARN dengan ID mereka sendiri Akun AWS .
Tidak ada yang Akun AWS dapat mengakses pekerjaan saat menggunakan ARN dengan ID lainnya Akun AWS .
Nama pekerjaan harus unik dalam sebuah Akun AWS. Nama dalam Akun AWS B adalah$accountA-$name
. Nama yang dipilih oleh Akun AWS A diawali dengan Akun AWS
A ketika pekerjaan dilihat di Akun AWS B.
Agar lintas akun StartAudienceGenerationJob
berhasil, Akun AWS B harus mengizinkan tindakan tersebut pada pekerjaan baru di Akun AWS B dan ConfiguredAudienceModel
di Akun AWS B menggunakan kebijakan sumber daya yang mirip dengan contoh berikut:
catatan
Kebijakan sumber daya AWS Clean Rooms ML ini mereferensikan dua hal yang berbeda Akun AWS IDs untuk mendukung pembuatan audiens lintas akun:
-
111122223333 - Ini adalah akun yang berisi prinsipal (pengguna, peran, atau layanan) yang berwenang untuk memulai pekerjaan generasi audiens. Akun ini memulai alur kerja pemrosesan ML.
-
444455556666 - Ini adalah akun yang memiliki sumber daya AWS Clean Rooms ML (model audiens yang dikonfigurasi dan pekerjaan generasi audiens). Akun ini menghosting model ML dan mengelola eksekusi pekerjaan.
Catatan Konfigurasi Tambahan:
-
Statement ID (Sid): Ganti
CAMA-ID
dengan pengenal AWS Clean Rooms Audience Model Application (CAMA) Anda yang sebenarnya untuk membuat pernyataan kebijakan mudah diidentifikasi. -
Sumber Daya IDs: Ganti
id
dengan ID aktual model audiens yang dikonfigurasi, danUUID
dengan ID kolaborasi spesifik Anda. -
Kondisi:
cleanrooms-ml:CollaborationId
Kondisi ini memastikan bahwa pekerjaan generasi audiens hanya dapat dimulai dalam konteks AWS Clean Rooms kolaborasi yang ditentukan, memberikan batas keamanan tambahan.
Konfigurasi lintas akun ini memungkinkan skenario di mana satu organisasi mengelola model dan infrastruktur ML sambil memungkinkan mitra resmi untuk memulai proses pembuatan audiens dalam batas-batas perjanjian kolaborasi mereka.
Jika Anda menggunakan AWS Clean Rooms MLAPI untuk membuat model mirip yang dikonfigurasi dengan manageResourcePolicies
disetel ke true, AWS Clean Rooms buat kebijakan ini untuk Anda.
Selain itu, kebijakan identitas penelepon di Akun AWS A memerlukan StartAudienceGenerationJob
izin. arn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/*
Jadi ada tiga Sumber Daya IAM untuk TindakanStartAudienceGenerationJob
: pekerjaan Akun AWS A, pekerjaan Akun AWS B, dan Akun AWS BConfiguredAudienceModel
.
Awas
Akun AWS Yang memulai pekerjaan menerima peristiwa log AWS CloudTrail audit tentang pekerjaan itu. Akun AWS Yang memiliki ConfiguredAudienceModel
tidak menerima peristiwa log AWS CloudTrail
audit.
Lowongan kerja Tagging
Saat Anda menyetel childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE
parameterCreateConfiguredAudienceModel
, semua pekerjaan pembuatan segmen mirip dalam akun Anda yang dibuat dari model mirip mirip yang dikonfigurasi secara default untuk memiliki tag yang sama dengan model mirip yang dikonfigurasi. Model mirip yang dikonfigurasi adalah induk dan pekerjaan pembuatan segmen yang mirip adalah anak.
Jika Anda membuat pekerjaan di dalam akun Anda sendiri, tag permintaan pekerjaan akan menggantikan tag induk. Pekerjaan yang dibuat oleh akun lain tidak pernah membuat tag di akun Anda. Jika Anda menetapkan childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE
dan akun lain membuat pekerjaan, ada dua salinan pekerjaan. Salinan di akun Anda memiliki tag sumber daya induk dan salinan di akun pengirim pekerjaan memiliki tag dari permintaan.
Memvalidasi kolaborator
Saat memberikan izin kepada anggota AWS Clean Rooms kolaborasi lainnya, kebijakan sumber daya harus menyertakan kunci kondisi. cleanrooms-ml:CollaborationId
Ini memberlakukan bahwa collaborationId
parameter disertakan dalam StartAudienceGenerationJobpermintaan. Ketika collaborationId
parameter disertakan dalam permintaan, Clean Rooms MS memvalidasi bahwa kolaborasi ada, pengirim pekerjaan adalah anggota aktif kolaborasi, dan pemilik model mirip yang dikonfigurasi adalah anggota aktif kolaborasi.
Saat AWS Clean Rooms mengelola kebijakan sumber daya model mirip mirip yang dikonfigurasi (manageResourcePolicies
parameternya TRUE
dalam CreateConfiguredAudienceModelAssociation permintaan), kunci kondisi ini akan disetel dalam kebijakan sumber daya. Oleh karena itu, Anda harus menentukan collaborationId
in StartAudienceGenerationJob.
Akses lintas akun
Hanya StartAudienceGenerationJob
dapat dipanggil di seluruh akun. Semua Clean Rooms ML lainnya hanya APIs dapat digunakan dengan sumber daya di akun Anda sendiri. Ini memastikan bahwa data pelatihan Anda, konfigurasi model yang mirip, dan informasi lainnya tetap pribadi.
Clean Rooms MS tidak pernah mengungkapkan Amazon S3 atau AWS Glue lokasi di seluruh akun. Lokasi data pelatihan, lokasi keluaran model mirip yang dikonfigurasi, dan lokasi benih pekerjaan pembuatan segmen yang mirip tidak pernah terlihat di seluruh akun. Kecuali pencatatan kueri diaktifkan dalam kolaborasi, apakah data benih berasal dari kueri SQL dan kueri itu sendiri tidak terlihat di seluruh akun. Jika Anda Get
memiliki pekerjaan pembuatan audiens yang dikirimkan oleh akun lain, layanan tidak menampilkan lokasi benih.