Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
IAMcomportamenti per AWS Clean Rooms ML
Lavori su più account
Clean Rooms ML consente la creazione di determinate risorse da uno Account AWS a cui un altro utente possa accedere in modo sicuro nel proprio account Account AWS. Quando un cliente entra Account AWS A richiama StartAudienceGenerationJob una ConfiguredAudienceModel risorsa di proprietà di Account AWS B, Clean Rooms ML ne crea due ARNs per il lavoro. Uno ARN su Account AWS A e un altro dentro Account AWS B. ARNs Sono identici tranne per i loro Account AWS.
Clean Rooms ML ne crea due ARNs per il job per garantire che entrambi gli account possano applicare IAM le proprie politiche ai lavori. Ad esempio, entrambi gli account possono utilizzare il controllo degli accessi basato su tag e applicare le politiche dei rispettivi AWS organizzazione. Il job elabora i dati di entrambi gli account, in modo che entrambi gli account possano eliminare il lavoro e i dati associati. Nessuno degli account può impedire all'altro account di eliminare il lavoro.
Esiste una sola esecuzione del lavoro ed entrambi gli account possono vedere il lavoro quando ListAudienceGenerationJobs chiamano. Entrambi gli account possono chiamare il GetDelete, e Export APIs sul posto di lavoro utilizzarlo ARN con i propri Account AWS ID.
Nemmeno Account AWS può accedere al lavoro quando ne utilizza uno ARN con l'altro Account AWS ID.
Il nome del lavoro deve essere univoco all'interno di un Account AWS. Il nome in Account AWS B è $accountA-$name. Il nome scelto da Account AWS A ha il prefisso Account AWS
A quando il lavoro viene visualizzato in Account AWS B.
Affinché un account multiplo StartAudienceGenerationJob abbia successo, Account AWS B deve consentire tale azione sia sul nuovo lavoro che Account AWS B e il ConfiguredAudienceModel padrone Account AWS B utilizzando una politica delle risorse simile all'esempio seguente:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Clean-Rooms-<CAMA ID>", "Effect": "Allow", "Principal": { "AWS": [ "accountA" ] }, "Action": [ "cleanrooms-ml:StartAudienceGenerationJob" ], "Resource": [ "arn:aws:cleanrooms-ml:us-west-1:AccountB:configured-audience-model/id", "arn:aws:cleanrooms-ml:us-west-1:AccountB:audience-generation-job/*" ], // optional - always set by AWS Clean Rooms "Condition":{"StringEquals":{"cleanrooms-ml:CollaborationId":"UUID"}} } ] }
Se si utilizza il AWS Clean Rooms ML API per creare un modello simile configurato con manageResourcePolicies set to true, AWS Clean Rooms crea questa politica per te.
Inoltre, la politica di identità del chiamante in Account AWS A necessita StartAudienceGenerationJob dell'autorizzazione. arn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/* Quindi ci sono tre IAM risorse per l'azioneStartAudienceGenerationJob: il Account AWS Un lavoro, il Account AWS Un lavoro, e il Account AWS ConfiguredAudienceModelB.
avvertimento
Il Account AWS che è iniziato il lavoro riceve un AWS CloudTrail evento del registro di controllo relativo al lavoro. Il Account AWS che possiede o ConfiguredAudienceModel non riceve un AWS CloudTrail
evento del registro di controllo.
Etichettatura dei lavori
Quando imposti il childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE parametro diCreateConfiguredAudienceModel, tutti i lavori di generazione di segmenti simili all'interno del tuo account e creati a partire da quel modello di somiglianza configurato hanno per impostazione predefinita gli stessi tag del modello di somiglianza configurato. Il modello di somiglianza configurato è il genitore e il processo di generazione di segmenti simili è il processo secondario.
Se stai creando un lavoro all'interno del tuo account, i tag di richiesta del lavoro sostituiscono i tag principali. Le offerte di lavoro create da altri account non creano mai tag nel tuo account. Se imposti childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE e un altro account crea un lavoro, ci sono due copie del lavoro. La copia nel tuo account contiene i tag delle risorse principali e la copia nell'account di chi ha inviato il lavoro contiene i tag della richiesta.
Convalida dei collaboratori
Quando si concedono autorizzazioni ad altri membri di un AWS Clean Rooms collaborazione, la politica delle risorse dovrebbe includere la chiave di condizione. cleanrooms-ml:CollaborationId Ciò impone che il collaborationId parametro sia incluso nella StartAudienceGenerationJobrichiesta. Quando il collaborationId parametro è incluso nella richiesta, Clean Rooms ML verifica che la collaborazione esista, chi ha inviato il lavoro sia un membro attivo della collaborazione e il proprietario del modello simile configurato sia un membro attivo della collaborazione.
Quando AWS Clean Rooms gestisce la politica delle risorse del modello Lookalike configurata (il manageResourcePolicies parametro è CreateConfiguredAudienceModelAssociation richiesto), questa chiave di condizione verrà impostata TRUE nella politica delle risorse. Pertanto, è necessario specificare il collaborationId in. StartAudienceGenerationJob
Accesso multi-account
StartAudienceGenerationJobPuò essere chiamato solo da un account all'altro. Tutti gli altri Clean Rooms ML APIs possono essere utilizzati solo con le risorse del proprio account. Ciò garantisce che i dati di allenamento, la configurazione del modello simile e altre informazioni rimangano private.
Clean Rooms ML non rivela mai Amazon S3 o AWS Glue sedi tra account. La posizione dei dati di formazione, la posizione di output del modello Lookalike configurato e la posizione iniziale dei lavori di generazione di segmenti simili non sono mai visibili su tutti gli account. A meno che la registrazione delle query non sia abilitata nella collaborazione, il fatto che i dati iniziali provengano da una SQL query e la query stessa non sono visibili su tutti gli account. Se si tratta di Get un lavoro di generazione di audience inviato da un altro account, il servizio non mostra la posizione iniziale.
