Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menyiapkan peran layanan untuk AWS Clean Rooms
Topik
Buat pengguna administrator
Untuk menggunakannya AWS Clean Rooms, Anda perlu membuat pengguna administrator untuk diri sendiri dan menambahkan pengguna administrator ke grup administrator.
Untuk membuat pengguna administrator, pilih salah satu opsi berikut.
Pilih salah satu cara untuk mengelola administrator Anda | Untuk | Oleh | Anda juga bisa |
---|---|---|---|
Di Pusat IAM Identitas (Direkomendasikan) |
Gunakan kredensi jangka pendek untuk mengakses. AWS Ini sejalan dengan praktik terbaik keamanan. Untuk informasi tentang praktik terbaik, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna. |
Mengikuti petunjuk di Memulai di Panduan AWS IAM Identity Center Pengguna. | Konfigurasikan akses terprogram dengan Mengonfigurasi AWS CLI yang akan digunakan AWS IAM Identity Center dalam AWS Command Line Interface Panduan Pengguna. |
Di IAM (Tidak direkomendasikan) |
Gunakan kredensi jangka panjang untuk mengakses. AWS | Mengikuti petunjuk dalam Membuat pengguna IAM admin pertama dan grup pengguna Anda di Panduan IAM Pengguna. | Konfigurasikan akses terprogram dengan Mengelola kunci akses untuk IAM pengguna di Panduan IAM Pengguna. |
Buat IAM peran untuk anggota kolaborasi
Anggota adalah AWS pelanggan yang merupakan peserta dalam kolaborasi.
Untuk membuat IAM peran bagi anggota kolaborasi
-
Ikuti Membuat peran untuk mendelegasikan izin ke prosedur IAM pengguna di Panduan AWS Identity and Access Management Pengguna.
-
Untuk langkah Buat kebijakan, pilih JSONtab di editor Kebijakan, lalu tambahkan kebijakan tergantung pada kemampuan yang diberikan kepada anggota kolaborasi.
AWS Clean Rooms menawarkan kebijakan terkelola berikut berdasarkan kasus penggunaan umum:
Jika Anda ingin... Kemudian gunakan... Lihat sumber daya dan metadata AWS kebijakan terkelola: AWSCleanRoomsReadOnlyAccess Kueri AWS kebijakan terkelola: AWSCleanRoomsFullAccess Kueri dan terima hasil AWS kebijakan terkelola: AWSCleanRoomsFullAccess Kelola sumber daya kolaborasi tetapi jangan kueri AWS kebijakan terkelola: AWSCleanRoomsFullAccessNoQuerying Untuk informasi tentang berbagai kebijakan terkelola yang ditawarkan oleh AWS Clean Rooms, lihat AWS kebijakan terkelola untuk AWS Clean Rooms
Membuat peran layanan untuk membaca data
AWS Clean Rooms menggunakan peran layanan untuk membaca data.
Ada dua cara untuk membuat peran layanan ini:
Jika... | Maka |
---|---|
Anda memiliki IAM izin yang diperlukan untuk membuat peran layanan | Gunakan AWS Clean Rooms konsol untuk membuat peran layanan. |
Anda tidak memiliki atau Anda ingin membuat IAM peran secara manual |
Lakukan salah satu hal berikut ini:
|
Untuk membuat peran layanan untuk membaca data
catatan
Anda atau IAM administrator Anda hanya harus mengikuti prosedur ini jika Anda tidak memiliki izin yang diperlukan untuk membuat peran layanan menggunakan AWS Clean Rooms konsol.
-
Ikuti prosedur Membuat peran menggunakan kebijakan kepercayaan kustom (konsol) di Panduan AWS Identity and Access Management Pengguna.
-
Gunakan kebijakan kepercayaan kustom berikut sesuai dengan prosedur Membuat peran menggunakan kebijakan kepercayaan kustom (konsol).
catatan
Jika Anda ingin memastikan bahwa peran tersebut hanya dapat digunakan dalam konteks keanggotaan kolaborasi tertentu, Anda dapat mencakup kebijakan kepercayaan lebih lanjut. Untuk informasi selengkapnya, lihat Pencegahan confused deputy lintas layanan.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RoleTrustPolicyForCleanRoomsService", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
Gunakan kebijakan izin berikut sesuai dengan prosedur Membuat peran menggunakan kebijakan kepercayaan kustom (konsol).
catatan
Kebijakan contoh berikut mendukung izin yang diperlukan untuk membaca AWS Glue metadata dan data Amazon S3 yang sesuai. Namun, Anda mungkin perlu mengubah kebijakan ini tergantung pada cara Anda menyiapkan data S3. Misalnya, jika Anda telah menyiapkan KMS kunci khusus untuk data S3, Anda mungkin perlu mengubah kebijakan ini dengan izin tambahan AWS KMS .
AWS Glue Sumber daya Anda dan sumber daya Amazon S3 yang mendasarinya harus Wilayah AWS sama dengan kolaborasi. AWS Clean Rooms
{ "Version": "2012-10-17", "Statement": [ { "Sid": "NecessaryGluePermissions", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "arn:aws:glue:
aws-region
:accountId
:database
/database
", "arn:aws:glue:aws-region
:accountId
:table
/table
", "arn:aws:glue:aws-region
:accountId
:catalog
" ] }, { "Effect": "Allow", "Action": [ "glue:GetSchema", "glue:GetSchemaVersion" ], "Resource": [ "*" ] }, { "Sid": "NecessaryS3BucketPermissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket
" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "s3BucketOwnerAccountId
" ] } } }, { "Sid": "NecessaryS3ObjectPermissions", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3::bucket
/prefix
/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "s3BucketOwnerAccountId
" ] } } } ] } -
Ganti masing-masing
placeholder
dengan informasi Anda sendiri. -
Terus ikuti prosedur Membuat peran menggunakan kebijakan kepercayaan khusus (konsol) untuk membuat peran.
Buat peran layanan untuk menerima hasil
catatan
Jika Anda adalah anggota yang hanya dapat menerima hasil (di konsol, kemampuan anggota Anda hanya Terima hasil), ikuti prosedur ini.
Jika Anda adalah anggota yang dapat menanyakan dan menerima hasil (di konsol, Kemampuan anggota Anda adalah hasil Kueri dan Terima), Anda dapat melewati prosedur ini.
Untuk anggota kolaborasi yang hanya dapat menerima hasil, AWS Clean Rooms gunakan peran layanan untuk menulis hasil data kueri dalam kolaborasi ke bucket Amazon S3 yang ditentukan.
Ada dua cara untuk membuat peran layanan ini:
Jika... | Maka |
---|---|
Anda memiliki IAM izin yang diperlukan untuk membuat peran layanan | Gunakan AWS Clean Rooms konsol untuk membuat peran layanan. |
Anda tidak memiliki atau Anda ingin membuat IAM peran secara manual |
Lakukan salah satu hal berikut ini:
|
Untuk membuat peran layanan untuk menerima hasil
catatan
Anda atau IAM administrator Anda hanya harus mengikuti prosedur ini jika Anda tidak memiliki izin yang diperlukan untuk membuat peran layanan menggunakan AWS Clean Rooms konsol.
-
Ikuti prosedur Membuat peran menggunakan kebijakan kepercayaan kustom (konsol) di Panduan AWS Identity and Access Management Pengguna.
-
Gunakan kebijakan kepercayaan kustom berikut sesuai dengan prosedur Membuat peran menggunakan kebijakan kepercayaan kustom (konsol).
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIfExternalIdMatches", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "sts:ExternalId": "arn:aws:*:
region
:*:dbuser:*/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa
*" } } }, { "Sid": "AllowIfSourceArnMatches", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ForAnyValue:ArnEquals": { "aws:SourceArn": [ "arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa
" ] } } } ] } -
Gunakan kebijakan izin berikut sesuai dengan prosedur Membuat peran menggunakan kebijakan kepercayaan kustom (konsol).
catatan
Kebijakan contoh berikut mendukung izin yang diperlukan untuk membaca AWS Glue metadata dan data Amazon S3 yang sesuai. Namun, Anda mungkin perlu mengubah kebijakan ini tergantung pada cara Anda menyiapkan data S3.
AWS Glue Sumber daya Anda dan sumber daya Amazon S3 yang mendasarinya harus Wilayah AWS sama dengan kolaborasi. AWS Clean Rooms
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::
bucket_name
" ], "Condition": { "StringEquals": { "aws:ResourceAccount":"accountId
" } } }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket_name/optional_key_prefix/*
" ], "Condition": { "StringEquals": { "aws:ResourceAccount":"accountId
" } } } ] } -
Ganti masing-masing
placeholder
dengan informasi Anda sendiri:-
region
- Nama Wilayah AWS. Misalnya,us-east-1
. -
a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa
— ID Keanggotaan anggota yang dapat melakukan query. ID Keanggotaan dapat ditemukan di tab Detail kolaborasi. Ini memastikan bahwa AWS Clean Rooms mengasumsikan peran hanya ketika anggota ini menjalankan analisis dalam kolaborasi ini. -
arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa
— ARNKeanggotaan tunggal anggota yang dapat menanyakan. Keanggotaan ARN dapat ditemukan di tab Detail kolaborasi. AWS Clean Rooms Ini memastikan mengasumsikan peran hanya ketika anggota ini menjalankan analisis dalam kolaborasi ini. -
bucket_name
— Nama Sumber Daya Amazon (ARN) dari ember S3. Nama Sumber Daya Amazon (ARN) dapat ditemukan di tab Properties bucket di Amazon S3. -
accountId
— Akun AWS ID tempat bucket S3 berada.bucket_name/optional_key_prefix
— Nama Sumber Daya Amazon (ARN) dari tujuan hasil di S3. Nama Sumber Daya Amazon (ARN) dapat ditemukan di tab Properties bucket di Amazon S3.
-
-
Terus ikuti prosedur Membuat peran menggunakan kebijakan kepercayaan khusus (konsol) untuk membuat peran.