AWS kebijakan terkelola untuk AWS Clean Rooms - AWS Clean Rooms
AWSCleanRoomsReadOnlyAccessAWSCleanRoomsFullAccessAWSCleanRoomsFullAccessNoQueryingAWSCleanRoomsMLReadOnlyAccessAWSCleanRoomsMLFullAccessPembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk AWS Clean Rooms

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pemutakhiran akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat AWS kebijakan yang dikelola dalam Panduan Pengguna IAM.

AWS kebijakan terkelola: AWSCleanRoomsReadOnlyAccess

Anda dapat melampirkan AWSCleanRoomsReadOnlyAccess ke kepala IAM Anda.

Kebijakan ini memberikan izin hanya-baca untuk sumber daya dan metadata dalam kolaborasi. AWSCleanRoomsReadOnlyAccess

Detail izin

Kebijakan ini mencakup izin berikut:

  • CleanRoomsRead— Memungkinkan kepala sekolah akses hanya-baca ke layanan.

  • ConsoleDisplayTables— Memungkinkan akses hanya-baca prinsipal ke AWS Glue metadata yang diperlukan untuk menampilkan data tentang tabel yang mendasarinya di konsol. AWS Glue

  • ConsoleLogSummaryQueryLogs— Memungkinkan kepala sekolah untuk melihat log kueri.

  • ConsoleLogSummaryObtainLogs— Memungkinkan kepala sekolah untuk mengambil hasil log.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "CleanRoomsRead",
			"Effect": "Allow",
			"Action": [
				"cleanrooms:BatchGet*",
				"cleanrooms:Get*",
				"cleanrooms:List*"
			],
			"Resource": "*"
		},
		{
			"Sid": "ConsoleDisplayTables",
			"Effect": "Allow",
			"Action": [
				"glue:GetDatabase",
				"glue:GetDatabases",
				"glue:GetTable",
				"glue:GetTables",
				"glue:GetPartition",
				"glue:GetPartitions",
				"glue:GetSchema",
				"glue:GetSchemaVersion",
				"glue:BatchGetPartition"
			],
			"Resource": "*"
		},
		{
			"Sid": "ConsoleLogSummaryQueryLogs",
			"Effect": "Allow",
			"Action": [
				"logs:StartQuery"
			],
			"Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*"
		},
		{
			"Sid": "ConsoleLogSummaryObtainLogs",
			"Effect": "Allow",
			"Action": [
				"logs:GetQueryResults"
			],
			"Resource": "*"
		}
	]
}

AWS kebijakan terkelola: AWSCleanRoomsFullAccess

Anda dapat melampirkan AWSCleanRoomsFullAccess ke kepala IAM Anda.

Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh (baca, tulis, dan perbarui) ke sumber daya dan metadata dalam suatu kolaborasi. AWS Clean Rooms Kebijakan ini mencakup akses untuk melakukan kueri.

Detail izin

Kebijakan ini mencakup izin berikut:

  • CleanRoomsAccess— Memberikan akses penuh ke semua tindakan pada semua sumber daya untuk AWS Clean Rooms.

  • PassServiceRole— Memberikan akses untuk meneruskan peran layanan hanya ke layanan (PassedToServicekondisi) yang memiliki "cleanrooms" dalam namanya.

  • ListRolesToPickServiceRole— Memungkinkan kepala sekolah untuk membuat daftar semua peran mereka untuk memilih peran layanan saat menggunakan. AWS Clean Rooms

  • GetRoleAndListRolePoliciesToInspectServiceRole— Memungkinkan kepala sekolah untuk melihat peran layanan dan kebijakan terkait di IAM.

  • ListPoliciesToInspectServiceRolePolicy— Memungkinkan kepala sekolah untuk melihat peran layanan dan kebijakan terkait di IAM.

  • GetPolicyToInspectServiceRolePolicy— Memungkinkan kepala sekolah untuk melihat peran layanan dan kebijakan terkait di IAM.

  • ConsoleDisplayTables— Memungkinkan akses hanya-baca prinsipal ke AWS Glue metadata yang diperlukan untuk menampilkan data tentang tabel yang mendasarinya di konsol. AWS Glue

  • ConsolePickQueryResultsBucketListAll— Memungkinkan kepala sekolah memilih bucket Amazon S3 dari daftar semua bucket S3 yang tersedia di mana hasil kueri mereka ditulis.

  • SetQueryResultsBucket— Memungkinkan kepala sekolah untuk memilih bucket S3 di mana hasil kueri mereka ditulis.

  • ConsoleDisplayQueryResults— Memungkinkan kepala sekolah untuk menunjukkan hasil kueri kepada pelanggan, baca dari bucket S3.

  • WriteQueryResults— Memungkinkan kepala sekolah untuk menulis hasil kueri ke dalam bucket S3 milik pelanggan.

  • EstablishLogDeliveries— Memungkinkan prinsipal mengirimkan log kueri ke grup CloudWatch log Amazon Logs pelanggan.

  • SetupLogGroupsDescribe— Memungkinkan kepala sekolah untuk menggunakan proses pembuatan grup CloudWatch log Amazon Logs.

  • SetupLogGroupsCreate— Memungkinkan kepala sekolah untuk membuat grup CloudWatch log Amazon Logs.

  • SetupLogGroupsResourcePolicy— Memungkinkan prinsipal untuk menyiapkan kebijakan sumber daya di grup CloudWatch log Amazon Logs.

  • ConsoleLogSummaryQueryLogs— Memungkinkan kepala sekolah untuk melihat log kueri.

  • ConsoleLogSummaryObtainLogs— Memungkinkan kepala sekolah untuk mengambil hasil log.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "CleanRoomsAccess",
			"Effect": "Allow",
			"Action": [
				"cleanrooms:*"
			],
			"Resource": "*"
		},
		{
			"Sid": "PassServiceRole",
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*",
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ListRolesToPickServiceRole",
			"Effect": "Allow",
			"Action": [
				"iam:ListRoles"
			],
			"Resource": "*"
		},
		{
			"Sid": "GetRoleAndListRolePoliciesToInspectServiceRole",
			"Effect": "Allow",
			"Action": [
				"iam:GetRole",
				"iam:ListRolePolicies",
				"iam:ListAttachedRolePolicies"
			],
			"Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*"
		},
		{
			"Sid": "ListPoliciesToInspectServiceRolePolicy",
			"Effect": "Allow",
			"Action": [
				"iam:ListPolicies"
			],
			"Resource": "*"
		},
		{
			"Sid": "GetPolicyToInspectServiceRolePolicy",
			"Effect": "Allow",
			"Action": [
				"iam:GetPolicy",
				"iam:GetPolicyVersion"
			],
			"Resource": "arn:aws:iam::*:policy/*cleanrooms*"
		},
		{
			"Sid": "ConsoleDisplayTables",
			"Effect": "Allow",
			"Action": [
				"glue:GetDatabase",
				"glue:GetDatabases",
				"glue:GetTable",
				"glue:GetTables",
				"glue:GetPartition",
				"glue:GetPartitions",
				"glue:GetSchema",
				"glue:GetSchemaVersion",
				"glue:BatchGetPartition"
			],
			"Resource": "*"
		},
		{
			"Sid": "ConsolePickQueryResultsBucketListAll",
			"Effect": "Allow",
			"Action": [
				"s3:ListAllMyBuckets"
			],
			"Resource": "*"
		},
		{
			"Sid": "SetQueryResultsBucket",
			"Effect": "Allow",
			"Action": [
				"s3:GetBucketLocation",
				"s3:ListBucketVersions"
			],
			"Resource": "arn:aws:s3:::cleanrooms-queryresults*"
		},
		{
			"Sid": "WriteQueryResults",
			"Effect": "Allow",
			"Action": [
				"s3:ListBucket",
				"s3:PutObject"
			],
			"Resource": "arn:aws:s3:::cleanrooms-queryresults*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ConsoleDisplayQueryResults",
			"Effect": "Allow",
			"Action": [
				"s3:GetObject"
			],
			"Resource": "arn:aws:s3:::cleanrooms-queryresults*"
		},
		{
			"Sid": "EstablishLogDeliveries",
			"Effect": "Allow",
			"Action": [
				"logs:CreateLogDelivery",
				"logs:GetLogDelivery",
				"logs:UpdateLogDelivery",
				"logs:DeleteLogDelivery",
				"logs:ListLogDeliveries"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "SetupLogGroupsDescribe",
			"Effect": "Allow",
			"Action": [
				"logs:DescribeLogGroups"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "SetupLogGroupsCreate",
			"Effect": "Allow",
			"Action": [
				"logs:CreateLogGroup"
			],
			"Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "SetupLogGroupsResourcePolicy",
			"Effect": "Allow",
			"Action": [
			  "logs:DescribeResourcePolicies",
				"logs:PutResourcePolicy"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ConsoleLogSummaryQueryLogs",
			"Effect": "Allow",
			"Action": [
				"logs:StartQuery"
			],
			"Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*"
		},
		{
			"Sid": "ConsoleLogSummaryObtainLogs",
			"Effect": "Allow",
			"Action": [
				"logs:GetQueryResults"
			],
			"Resource": "*"
		}
	]
}

AWS kebijakan terkelola: AWSCleanRoomsFullAccessNoQuerying

Anda dapat melampirkan AWSCleanRoomsFullAccessNoQuerying ke AndaIAM principals.

Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh (baca, tulis, dan perbarui) ke sumber daya dan metadata dalam suatu kolaborasi. AWS Clean Rooms Kebijakan ini mengecualikan akses untuk melakukan kueri.

Detail izin

Kebijakan ini mencakup izin berikut:

  • CleanRoomsAccess— Memberikan akses penuh ke semua tindakan pada semua sumber daya untuk AWS Clean Rooms, kecuali untuk kueri dalam kolaborasi.

  • CleanRoomsNoQuerying— Secara eksplisit menyangkal StartProtectedQuery dan UpdateProtectedQuery mencegah kueri.

  • PassServiceRole— Memberikan akses untuk meneruskan peran layanan hanya ke layanan (PassedToServicekondisi) yang memiliki "cleanrooms" dalam namanya.

  • ListRolesToPickServiceRole— Memungkinkan kepala sekolah untuk membuat daftar semua peran mereka untuk memilih peran layanan saat menggunakan. AWS Clean Rooms

  • GetRoleAndListRolePoliciesToInspectServiceRole— Memungkinkan kepala sekolah untuk melihat peran layanan dan kebijakan terkait di IAM.

  • ListPoliciesToInspectServiceRolePolicy— Memungkinkan kepala sekolah untuk melihat peran layanan dan kebijakan terkait di IAM.

  • GetPolicyToInspectServiceRolePolicy— Memungkinkan kepala sekolah untuk melihat peran layanan dan kebijakan terkait di IAM.

  • ConsoleDisplayTables— Memungkinkan akses hanya-baca prinsipal ke AWS Glue metadata yang diperlukan untuk menampilkan data tentang tabel yang mendasarinya di konsol. AWS Glue

  • EstablishLogDeliveries— Memungkinkan prinsipal mengirimkan log kueri ke grup CloudWatch log Amazon Logs pelanggan.

  • SetupLogGroupsDescribe— Memungkinkan kepala sekolah untuk menggunakan proses pembuatan grup CloudWatch log Amazon Logs.

  • SetupLogGroupsCreate— Memungkinkan kepala sekolah untuk membuat grup CloudWatch log Amazon Logs.

  • SetupLogGroupsResourcePolicy— Memungkinkan prinsipal untuk menyiapkan kebijakan sumber daya di grup CloudWatch log Amazon Logs.

  • ConsoleLogSummaryQueryLogs— Memungkinkan kepala sekolah untuk melihat log kueri.

  • ConsoleLogSummaryObtainLogs— Memungkinkan kepala sekolah untuk mengambil hasil log.

  • cleanrooms— Kelola kolaborasi, templat analisis, tabel yang dikonfigurasi, keanggotaan, dan sumber daya terkait dalam layanan. AWS Clean Rooms Lakukan berbagai operasi seperti membuat, memperbarui, menghapus, mencantumkan, dan mengambil informasi tentang sumber daya ini.

  • iam— Lulus peran layanan dengan nama yang berisi cleanrooms "" ke AWS Clean Rooms layanan. Buat daftar peran, kebijakan, dan periksa peran dan kebijakan layanan yang terkait dengan AWS Clean Rooms layanan.

  • glue— Mengambil informasi tentang database, tabel, partisi, dan skema dari. AWS Glue Ini diperlukan agar AWS Clean Rooms layanan dapat menampilkan dan berinteraksi dengan sumber data yang mendasarinya.

  • logs— Mengelola pengiriman log, grup log, dan kebijakan sumber daya untuk CloudWatch Log. Kueri dan ambil log yang terkait dengan AWS Clean Rooms layanan. Izin ini diperlukan untuk tujuan pemantauan, audit, dan pemecahan masalah dalam layanan.

Kebijakan ini juga secara eksplisit menyangkal tindakan cleanrooms:StartProtectedQuery dan cleanrooms:UpdateProtectedQuery untuk mencegah pengguna mengeksekusi atau memperbarui kueri yang dilindungi secara langsung, yang harus dilakukan melalui mekanisme yang dikendalikan. AWS Clean Rooms 

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "CleanRoomsAccess",
			"Effect": "Allow",
			"Action": [
				"cleanrooms:BatchGetCollaborationAnalysisTemplate",
				"cleanrooms:BatchGetSchema",
				"cleanrooms:BatchGetSchemaAnalysisRule",
				"cleanrooms:CreateAnalysisTemplate",
				"cleanrooms:CreateCollaboration",
				"cleanrooms:CreateConfiguredTable",
				"cleanrooms:CreateConfiguredTableAnalysisRule",
				"cleanrooms:CreateConfiguredTableAssociation",
				"cleanrooms:CreateMembership",
				"cleanrooms:DeleteAnalysisTemplate",
				"cleanrooms:DeleteCollaboration",
				"cleanrooms:DeleteConfiguredTable",
				"cleanrooms:DeleteConfiguredTableAnalysisRule",
				"cleanrooms:DeleteConfiguredTableAssociation",
				"cleanrooms:DeleteMember",
				"cleanrooms:DeleteMembership",
				"cleanrooms:GetAnalysisTemplate",
				"cleanrooms:GetCollaboration",
				"cleanrooms:GetCollaborationAnalysisTemplate",
				"cleanrooms:GetConfiguredTable",
				"cleanrooms:GetConfiguredTableAnalysisRule",
				"cleanrooms:GetConfiguredTableAssociation",
				"cleanrooms:GetMembership",
				"cleanrooms:GetProtectedQuery",
				"cleanrooms:GetSchema",
				"cleanrooms:GetSchemaAnalysisRule",
				"cleanrooms:ListAnalysisTemplates",
				"cleanrooms:ListCollaborationAnalysisTemplates",
				"cleanrooms:ListCollaborations",
				"cleanrooms:ListConfiguredTableAssociations",
				"cleanrooms:ListConfiguredTables",
				"cleanrooms:ListMembers",
				"cleanrooms:ListMemberships",
				"cleanrooms:ListProtectedQueries",
				"cleanrooms:ListSchemas",
				"cleanrooms:UpdateAnalysisTemplate",
				"cleanrooms:UpdateCollaboration",
				"cleanrooms:UpdateConfiguredTable",
				"cleanrooms:UpdateConfiguredTableAnalysisRule",
				"cleanrooms:UpdateConfiguredTableAssociation",
				"cleanrooms:UpdateMembership",
				"cleanrooms:ListTagsForResource",
				"cleanrooms:UntagResource",
				"cleanrooms:TagResource"
			],
			"Resource": "*"
		},
		{
			"Sid": "CleanRoomsNoQuerying",
			"Effect": "Deny",
			"Action": [
				"cleanrooms:StartProtectedQuery",
				"cleanrooms:UpdateProtectedQuery"
			],
			"Resource": "*"
		},
		{
			"Sid": "PassServiceRole",
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*",
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ListRolesToPickServiceRole",
			"Effect": "Allow",
			"Action": [
				"iam:ListRoles"
			],
			"Resource": "*"
		},
		{
			"Sid": "GetRoleAndListRolePoliciesToInspectServiceRole",
			"Effect": "Allow",
			"Action": [
				"iam:GetRole",
				"iam:ListRolePolicies",
				"iam:ListAttachedRolePolicies"
			],
			"Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*"
		},
		{
			"Sid": "ListPoliciesToInspectServiceRolePolicy",
			"Effect": "Allow",
			"Action": [
				"iam:ListPolicies"
			],
			"Resource": "*"
		},
		{
			"Sid": "GetPolicyToInspectServiceRolePolicy",
			"Effect": "Allow",
			"Action": [
				"iam:GetPolicy",
				"iam:GetPolicyVersion"
			],
			"Resource": "arn:aws:iam::*:policy/*cleanrooms*"
		},
		{
			"Sid": "ConsoleDisplayTables",
			"Effect": "Allow",
			"Action": [
				"glue:GetDatabase",
				"glue:GetDatabases",
				"glue:GetTable",
				"glue:GetTables",
				"glue:GetPartition",
				"glue:GetPartitions",
				"glue:GetSchema",
				"glue:GetSchemaVersion",
				"glue:BatchGetPartition"
			],
			"Resource": "*"
		},
		{
			"Sid": "EstablishLogDeliveries",
			"Effect": "Allow",
			"Action": [
				"logs:CreateLogDelivery",
				"logs:GetLogDelivery",
				"logs:UpdateLogDelivery",
				"logs:DeleteLogDelivery",
				"logs:ListLogDeliveries"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "SetupLogGroupsDescribe",
			"Effect": "Allow",
			"Action": [
				"logs:DescribeLogGroups"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "SetupLogGroupsCreate",
			"Effect": "Allow",
			"Action": [
				"logs:CreateLogGroup"
			],
			"Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "SetupLogGroupsResourcePolicy",
			"Effect": "Allow",
			"Action": [
			  "logs:DescribeResourcePolicies",
				"logs:PutResourcePolicy"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": "cleanrooms.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ConsoleLogSummaryQueryLogs",
			"Effect": "Allow",
			"Action": [
				"logs:StartQuery"
			],
			"Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*"
		},
		{
			"Sid": "ConsoleLogSummaryObtainLogs",
			"Effect": "Allow",
			"Action": [
				"logs:GetQueryResults"
			],
			"Resource": "*"
		}
	]
}

AWS kebijakan terkelola: AWSCleanRoomsMLReadOnlyAccess

Anda dapat melampirkan AWSCleanRoomsMLReadOnlyAccess ke kepala IAM Anda.

Kebijakan ini memberikan izin hanya-baca untuk sumber daya dan metadata dalam kolaborasi. AWSCleanRoomsMLReadOnlyAccess

Kebijakan ini mencakup izin berikut:

  • CleanRoomsConsoleNavigation— Memberikan akses untuk melihat layar AWS Clean Rooms konsol.

  • CleanRoomsMLRead— Memungkinkan akses hanya-baca kepala sekolah ke layanan Clean Rooms MS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CleanRoomsConsoleNavigation",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaboration",
                "cleanrooms:GetConfiguredAudienceModelAssociation",
                "cleanrooms:GetMembership",
                "cleanrooms:ListAnalysisTemplates",
                "cleanrooms:ListCollaborationAnalysisTemplates",
                "cleanrooms:ListCollaborationConfiguredAudienceModelAssociations",
                "cleanrooms:ListCollaborations",
                "cleanrooms:ListConfiguredTableAssociations",
                "cleanrooms:ListConfiguredTables",
                "cleanrooms:ListMembers",
                "cleanrooms:ListMemberships",
                "cleanrooms:ListProtectedQueries",
                "cleanrooms:ListSchemas",
                "cleanrooms:ListTagsForResource"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CleanRoomsMLRead",
            "Effect": "Allow",
            "Action": [
                "cleanrooms-ml:Get*",
                "cleanrooms-ml:List*"
            ],
            "Resource": "*"
        }
    ]
}

AWS kebijakan terkelola: AWSCleanRoomsMLFullAccess

Anda dapat melampirkan AWSCleanRoomsMLFullAcces ke kepala IAM Anda. Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh (baca, tulis, dan perbarui) ke sumber daya dan metadata yang dibutuhkan oleh Clean Rooms.

Detail izin

Kebijakan ini mencakup izin berikut:

  • CleanRoomsMLFullAccess— Memberikan akses ke semua tindakan Clean Rooms MS.

  • PassServiceRole— Memberikan akses untuk meneruskan peran layanan hanya ke layanan (PassedToServicekondisi) yang memiliki "cleanrooms-ml" dalam namanya.

  • CleanRoomsConsoleNavigation— Memberikan akses untuk melihat layar AWS Clean Rooms konsol.

  • CollaborationMembershipCheck— Saat Anda memulai pekerjaan pembuatan audiens (segmen mirip) dalam sebuah kolaborasi, layanan Clean Rooms MS memanggil ListMembers untuk memeriksa apakah kolaborasi tersebut valid, pemanggil adalah anggota aktif, dan pemilik model audiens yang dikonfigurasi adalah anggota aktif. Izin ini selalu diperlukan; SID navigasi konsol hanya diperlukan untuk pengguna konsol.

  • AssociateModels— Memungkinkan kepala sekolah untuk mengaitkan model Clean Rooms MS dengan kolaborasi Anda.

  • TagAssociations— Memungkinkan prinsipal untuk menambahkan tag ke asosiasi antara model mirip dan kolaborasi.

  • ListRolesToPickServiceRole— Memungkinkan kepala sekolah untuk membuat daftar semua peran mereka untuk memilih peran layanan saat menggunakan. AWS Clean Rooms

  • GetRoleAndListRolePoliciesToInspectServiceRole— Memungkinkan kepala sekolah untuk melihat peran layanan dan kebijakan terkait di IAM.

  • ListPoliciesToInspectServiceRolePolicy— Memungkinkan kepala sekolah untuk melihat peran layanan dan kebijakan terkait di IAM.

  • GetPolicyToInspectServiceRolePolicy— Memungkinkan kepala sekolah untuk melihat peran layanan dan kebijakan terkait di IAM.

  • ConsoleDisplayTables— Memungkinkan akses hanya-baca prinsipal ke AWS Glue metadata yang diperlukan untuk menampilkan data tentang tabel yang mendasarinya di konsol. AWS Glue

  • ConsolePickOutputBucket— Memungkinkan kepala sekolah memilih bucket Amazon S3 untuk output model audiens yang dikonfigurasi.

  • ConsolePickS3Location— Memungkinkan kepala sekolah untuk memilih lokasi dalam ember untuk output model audiens yang dikonfigurasi.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CleanRoomsMLFullAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms-ml:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PassServiceRole",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/cleanrooms-ml*"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "cleanrooms-ml.amazonaws.com"
                }
            }
        },
        {
            "Sid": "CleanRoomsConsoleNavigation",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaboration",
                "cleanrooms:GetConfiguredAudienceModelAssociation",
                "cleanrooms:GetMembership",
                "cleanrooms:ListAnalysisTemplates",
                "cleanrooms:ListCollaborationAnalysisTemplates",
                "cleanrooms:ListCollaborationConfiguredAudienceModelAssociations",
                "cleanrooms:ListCollaborations",
                "cleanrooms:ListConfiguredTableAssociations",
                "cleanrooms:ListConfiguredTables",
                "cleanrooms:ListMembers",
                "cleanrooms:ListMemberships",
                "cleanrooms:ListProtectedQueries",
                "cleanrooms:ListSchemas",
                "cleanrooms:ListTagsForResource"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CollaborationMembershipCheck",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:ListMembers"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": ["cleanrooms-ml.amazonaws.com"]
                }
            }
        },
        {
            "Sid": "AssociateModels",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:CreateConfiguredAudienceModelAssociation"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TagAssociations",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:TagResource"
            ],
            "Resource": "arn:aws:cleanrooms:*:*:membership/*/configuredaudiencemodelassociation/*"
        },
        {
            "Sid": "ListRolesToPickServiceRole", 
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GetRoleAndListRolePoliciesToInspectServiceRole",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListRolePolicies",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:iam::*:role/service-role/cleanrooms-ml*",
                "arn:aws:iam::*:role/role/cleanrooms-ml*"
            ]
        },
        {
            "Sid": "ListPoliciesToInspectServiceRolePolicy",
            "Effect": "Allow",
            "Action": [
                "iam:ListPolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GetPolicyToInspectServiceRolePolicy",
            "Effect": "Allow",
            "Action": [
                "iam:GetPolicy",
                "iam:GetPolicyVersion"
            ],
            "Resource": "arn:aws:iam::*:policy/*cleanroomsml*"
        },
        {
            "Sid": "ConsoleDisplayTables", 
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:GetSchema",
                "glue:GetSchemaVersion",
                "glue:BatchGetPartition"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ConsolePickOutputBucket",
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ConsolePickS3Location",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::*cleanrooms-ml*"
        }
    ]
}

AWS Clean Rooms pembaruan kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola AWS Clean Rooms sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat AWS Clean Rooms dokumen.

Perubahan Deskripsi Tanggal
AWSCleanRoomsFullAccessNoQuerying – Pembaruan ke kebijakan yang sudah ada Menambahkan cleanrooms:BatchGetSchemaAnalysisRule ke CleanRoomsAccess. 13 Mei 2024
AWSCleanRoomsFullAccess – Pembaruan ke kebijakan yang sudah ada Memperbarui ID Pernyataan AWSCleanRoomsFullAccess dari ConsolePickQueryResultsBucket ke SetQueryResultsBucket dalam kebijakan ini untuk merepresentasikan izin dengan lebih baik karena izin diperlukan untuk menyetel bucket hasil kueri baik dengan maupun tanpa konsol. Maret 21, 2024

AWSCleanRoomsMLReadOnlyAccess – Kebijakan baru

AWSCleanRoomsMLFullAccess – Kebijakan baru

Ditambahkan AWSCleanRoomsMLReadOnlyAccess dan AWSCleanRoomsMLFullAccess untuk mendukung AWS Clean Rooms ML.

 November 29, 2023
AWSCleanRoomsFullAccessNoQuerying – Pembaruan ke kebijakan yang sudah ada Ditambahkan cleanrooms:CreateAnalysisTemplatecleanrooms:GetAnalysisTemplate,cleanrooms:UpdateAnalysisTemplate, cleanrooms:DeleteAnalysisTemplate,cleanrooms:ListAnalysisTemplates,cleanrooms:GetCollaborationAnalysisTemplate,cleanrooms:BatchGetCollaborationAnalysisTemplate,, dan cleanrooms:ListCollaborationAnalysisTemplates CleanRoomsAccess untuk mengaktifkan fitur template analisis baru. 31 Juli 2023
AWSCleanRoomsFullAccessNoQuerying – Pembaruan ke kebijakan yang sudah ada Ditambahkancleanrooms:ListTagsForResource,cleanrooms:UntagResource, dan cleanrooms:TagResource CleanRoomsAccess untuk mengaktifkan penandaan sumber daya. 21 Maret 2023

AWS Clean Rooms mulai melacak perubahan

AWS Clean Rooms mulai melacak perubahan untuk kebijakan AWS terkelolanya.

 Januari 12, 2023