Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menyiapkan peran layanan untuk AWS Clean Rooms ML
Topik
Membuat peran layanan untuk membaca data pelatihan
AWS Clean Rooms menggunakan peran layanan untuk membaca data pelatihan. Anda dapat membuat peran ini menggunakan konsol jika Anda memiliki izin IAM yang diperlukan. Jika Anda tidak memiliki CreateRole izin, minta administrator Anda untuk membuat peran layanan.
Untuk membuat peran layanan untuk melatih kumpulan data
-
Masuk ke konsol IAM (https://console.aws.amazon.com/iam/
) dengan akun administrator Anda. -
Di bagian Manajemen akses, pilih Kebijakan.
-
Pilih Buat kebijakan.
-
Di editor Kebijakan, pilih tab JSON, lalu salin dan tempel kebijakan berikut.
catatan
Kebijakan contoh berikut mendukung izin yang diperlukan untuk membaca AWS Glue metadata dan data Amazon S3 yang sesuai. Namun, Anda mungkin perlu mengubah kebijakan ini tergantung pada cara Anda mengatur data S3. Kebijakan ini tidak menyertakan kunci KMS untuk mendekripsi data.
AWS Glue Sumber daya Anda dan sumber daya Amazon S3 yang mendasarinya harus Wilayah AWS sama dengan kolaborasi. AWS Clean Rooms
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartitions", "glue:GetPartition", "glue:BatchGetPartition", "glue:GetUserDefinedFunctions" ], "Resource": [ "arn:aws:glue:region:accountId:database/databases", "arn:aws:glue:region:accountId:table/databases/tables", "arn:aws:glue:region:accountId:catalog", "arn:aws:glue:region:accountId:database/default" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase" ], "Resource": [ "arn:aws:glue:region:accountId:database/default" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::bucket" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }Jika Anda perlu menggunakan kunci KMS untuk mendekripsi data, tambahkan AWS KMS pernyataan ini ke template sebelumnya:
{ "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
Pilih Selanjutnya.
-
Untuk meninjau dan membuat, masukkan nama Kebijakan dan Deskripsi, dan tinjau Ringkasan.
-
Pilih Buat kebijakan.
Anda telah membuat kebijakan untuk AWS Clean Rooms.
-
Di bawah Manajemen akses, pilih Peran.
Dengan Peran, Anda dapat membuat kredensyal jangka pendek, yang direkomendasikan untuk meningkatkan keamanan. Anda juga dapat memilih Pengguna untuk membuat kredensi jangka panjang.
-
Pilih Buat peran.
-
Di wizard Buat peran, untuk jenis entitas Tepercaya, pilih Kebijakan kepercayaan khusus.
-
Salin dan tempel kebijakan kepercayaan khusus berikut ke editor JSON.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:training-dataset/*" } } } ] }SourceAccountItu selalu AWS akun Anda. IniSourceArndapat dibatasi pada kumpulan data pelatihan tertentu, tetapi hanya setelah kumpulan data itu dibuat. Karena Anda tidak dapat mengetahui sebelumnya kumpulan data pelatihan ARN, wildcard ditentukan di sini. -
Pilih Berikutnya dan di bawah Tambahkan izin, masukkan nama kebijakan yang baru saja Anda buat. (Anda mungkin perlu memuat ulang halaman.)
-
Pilih kotak centang di samping nama kebijakan yang Anda buat, lalu pilih Berikutnya.
-
Untuk Nama, tinjau, dan buat, masukkan nama Peran dan Deskripsi.
catatan
Nama Peran harus cocok dengan pola dalam
passRoleizin yang diberikan kepada anggota yang dapat melakukan kueri dan menerima hasil dan peran anggota.-
Tinjau Pilih entitas tepercaya, dan edit jika perlu.
-
Tinjau izin di Tambahkan izin, dan edit jika perlu.
-
Tinjau Tag, dan tambahkan tag jika perlu.
-
Pilih Buat peran.
-
-
Peran layanan untuk AWS Clean Rooms telah dibuat.
Buat peran layanan untuk menulis segmen yang mirip
AWS Clean Rooms menggunakan peran layanan untuk menulis segmen yang mirip ke ember. Anda dapat membuat peran ini menggunakan konsol jika Anda memiliki izin IAM yang diperlukan. Jika Anda tidak memiliki CreateRole izin, minta administrator Anda untuk membuat peran layanan.
Untuk membuat peran layanan untuk menulis segmen mirip
-
Masuk ke konsol IAM (https://console.aws.amazon.com/iam/
) dengan akun administrator Anda. -
Di bagian Manajemen akses, pilih Kebijakan.
-
Pilih Buat kebijakan.
-
Di editor Kebijakan, pilih tab JSON, lalu salin dan tempel kebijakan berikut.
catatan
Kebijakan contoh berikut mendukung izin yang diperlukan untuk membaca AWS Glue metadata dan data Amazon S3 yang sesuai. Namun, Anda mungkin perlu mengubah kebijakan ini tergantung pada cara Anda mengatur data S3. Kebijakan ini tidak menyertakan kunci KMS untuk mendekripsi data.
AWS Glue Sumber daya Anda dan sumber daya Amazon S3 yang mendasarinya harus Wilayah AWS sama dengan kolaborasi. AWS Clean Rooms
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::buckets" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }Jika Anda perlu menggunakan kunci KMS untuk mengenkripsi data, tambahkan AWS KMS pernyataan ini ke template:
{ "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] }Jika Anda perlu menggunakan kunci KMS untuk mendekripsi data, tambahkan AWS KMS pernyataan ini ke template:
{ "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
Pilih Selanjutnya.
-
Untuk meninjau dan membuat, masukkan nama Kebijakan dan Deskripsi, dan tinjau Ringkasan.
-
Pilih Buat kebijakan.
Anda telah membuat kebijakan untuk AWS Clean Rooms.
-
Di bawah Manajemen akses, pilih Peran.
Dengan Peran, Anda dapat membuat kredensyal jangka pendek, yang direkomendasikan untuk meningkatkan keamanan. Anda juga dapat memilih Pengguna untuk membuat kredensi jangka panjang.
-
Pilih Buat peran.
-
Di wizard Buat peran, untuk jenis entitas Tepercaya, pilih Kebijakan kepercayaan khusus.
-
Salin dan tempel kebijakan kepercayaan khusus berikut ke editor JSON.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:configured-audience-model/*" } } } ] }SourceAccountItu selalu AWS akun Anda. IniSourceArndapat dibatasi pada kumpulan data pelatihan tertentu, tetapi hanya setelah kumpulan data itu dibuat. Karena Anda tidak dapat mengetahui sebelumnya kumpulan data pelatihan ARN, wildcard ditentukan di sini. -
Pilih Selanjutnya.
-
Pilih kotak centang di samping nama kebijakan yang Anda buat, lalu pilih Berikutnya.
-
Untuk Nama, tinjau, dan buat, masukkan nama Peran dan Deskripsi.
catatan
Nama Peran harus cocok dengan pola dalam
passRoleizin yang diberikan kepada anggota yang dapat melakukan kueri dan menerima hasil dan peran anggota.-
Tinjau Pilih entitas tepercaya, dan edit jika perlu.
-
Tinjau izin di Tambahkan izin, dan edit jika perlu.
-
Tinjau Tag, dan tambahkan tag jika perlu.
-
Pilih Buat peran.
-
-
Peran layanan untuk AWS Clean Rooms telah dibuat.
Buat peran layanan untuk membaca data benih
AWS Clean Rooms menggunakan peran layanan untuk membaca data benih. Anda dapat membuat peran ini menggunakan konsol jika Anda memiliki izin IAM yang diperlukan. Jika Anda tidak memiliki CreateRole izin, minta administrator Anda untuk membuat peran layanan.
Untuk membuat peran layanan untuk membaca data benih
-
Masuk ke konsol IAM (https://console.aws.amazon.com/iam/
) dengan akun administrator Anda. -
Di bagian Manajemen akses, pilih Kebijakan.
-
Pilih Buat kebijakan.
-
Di editor Kebijakan, pilih tab JSON, lalu salin dan tempel kebijakan berikut.
catatan
Kebijakan contoh berikut mendukung izin yang diperlukan untuk membaca AWS Glue metadata dan data Amazon S3 yang sesuai. Namun, Anda mungkin perlu mengubah kebijakan ini tergantung pada cara Anda mengatur data S3. Kebijakan ini tidak menyertakan kunci KMS untuk mendekripsi data.
AWS Glue Sumber daya Anda dan sumber daya Amazon S3 yang mendasarinya harus Wilayah AWS sama dengan kolaborasi. AWS Clean Rooms
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", ], "Resource": [ "arn:aws:s3:::buckets" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }Jika Anda perlu menggunakan kunci KMS untuk mendekripsi data, tambahkan AWS KMS pernyataan ini ke template:
{ "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
Pilih Selanjutnya.
-
Untuk meninjau dan membuat, masukkan nama Kebijakan dan Deskripsi, dan tinjau Ringkasan.
-
Pilih Buat kebijakan.
Anda telah membuat kebijakan untuk AWS Clean Rooms.
-
Di bawah Manajemen akses, pilih Peran.
Dengan Peran, Anda dapat membuat kredensyal jangka pendek, yang direkomendasikan untuk meningkatkan keamanan. Anda juga dapat memilih Pengguna untuk membuat kredensi jangka panjang.
-
Pilih Buat peran.
-
Di wizard Buat peran, untuk jenis entitas Tepercaya, pilih Kebijakan kepercayaan khusus.
-
Salin dan tempel kebijakan kepercayaan khusus berikut ke editor JSON.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:audience-generation-job/*" } } } ] }SourceAccountItu selalu AWS akun Anda. IniSourceArndapat dibatasi pada kumpulan data pelatihan tertentu, tetapi hanya setelah kumpulan data itu dibuat. Karena Anda tidak dapat mengetahui sebelumnya kumpulan data pelatihan ARN, wildcard ditentukan di sini. -
Pilih Selanjutnya.
-
Pilih kotak centang di samping nama kebijakan yang Anda buat, lalu pilih Berikutnya.
-
Untuk Nama, tinjau, dan buat, masukkan nama Peran dan Deskripsi.
catatan
Nama Peran harus cocok dengan pola dalam
passRoleizin yang diberikan kepada anggota yang dapat melakukan kueri dan menerima hasil dan peran anggota.-
Tinjau Pilih entitas tepercaya, dan edit jika perlu.
-
Tinjau izin di Tambahkan izin, dan edit jika perlu.
-
Tinjau Tag, dan tambahkan tag jika perlu.
-
Pilih Buat peran.
-
-
Peran layanan untuk AWS Clean Rooms telah dibuat.
