Imposta i ruoli di servizio per la modellazione con somiglianza Configura i ruoli di servizio per la modellazione personalizzata

Configura i ruoli di servizio per il machine AWS Clean Rooms learning

I ruoli necessari per eseguire la modellazione simile differiscono da quelli necessari per utilizzare un modello personalizzato. Le sezioni seguenti descrivono i ruoli necessari per eseguire ogni attività.

Argomenti

Imposta i ruoli di servizio per la modellazione con somiglianza
Configura i ruoli di servizio per la modellazione personalizzata

Imposta i ruoli di servizio per la modellazione con somiglianza

Argomenti

Crea un ruolo di servizio per leggere i dati di addestramento
Crea un ruolo di servizio per scrivere un segmento simile
Crea un ruolo di servizio per leggere i dati iniziali

Crea un ruolo di servizio per leggere i dati di addestramento

AWS Clean Rooms utilizza un ruolo di servizio per leggere i dati di addestramento. Puoi creare questo ruolo utilizzando la console se disponi delle autorizzazioni IAM necessarie. Se non disponi CreateRole delle autorizzazioni, chiedi all'amministratore di creare il ruolo di servizio.

Per creare un ruolo di servizio per addestrare un set di dati

Accedi alla console IAM (https://console.aws.amazon.com/iam/) con il tuo account amministratore.
In Gestione accessi scegli Policy.
Seleziona Create Policy (Crea policy).

Nell'editor delle politiche, seleziona la scheda JSON, quindi copia e incolla la seguente politica.

Nota

La seguente policy di esempio supporta le autorizzazioni necessarie per leggere AWS Glue i metadati e i dati Amazon S3 corrispondenti. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati S3. Questa politica non include una chiave KMS per decrittografare i dati.

AWS Glue Le tue risorse e le risorse Amazon S3 sottostanti devono essere le Regione AWS stesse della AWS Clean Rooms collaborazione.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartitions",
                "glue:GetPartition",
                "glue:BatchGetPartition", 
                "glue:GetUserDefinedFunctions"
            ],
            "Resource": [
                "arn:aws:glue:region:accountId:database/databases",
                "arn:aws:glue:region:accountId:table/databases/tables",
                "arn:aws:glue:region:accountId:catalog",
                "arn:aws:glue:region:accountId:database/default"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase"
            ],
            "Resource": [
                "arn:aws:glue:region:accountId:database/default"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::bucket"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        }
    ]
}

Se devi usare una chiave KMS per decrittografare i dati, aggiungi questa AWS KMS dichiarazione al modello precedente:


{
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
    ]
}

Sostituisci ognuna placeholder con le tue informazioni:
- region: nome della Regione AWS. Ad esempio us-east-1.
- accountId— L' Account AWS ID in cui si trova il bucket S3.
- database/databases, table/databases/tablescatalog, e database/default — La posizione dei dati di addestramento a cui è AWS Clean Rooms necessario accedere.
- bucket— L'Amazon Resource Name (ARN) del bucket S3. L'Amazon Resource Name (ARN) è disponibile nella scheda Proprietà del bucket in Amazon S3.
- bucketFolders— Il nome di cartelle specifiche nel bucket S3 a cui è necessario accedere. AWS Clean Rooms
Scegli Next (Successivo).
Per Revisione e creazione, inserisci il nome e la descrizione della politica e consulta il riepilogo.
Scegli Create Policy (Crea policy).

Hai creato una politica per AWS Clean Rooms.
In Access management (Gestione accessi), scegli Roles (Ruoli).

Con Roles, puoi creare credenziali a breve termine, operazione consigliata per una maggiore sicurezza. Puoi anche scegliere Utenti per creare credenziali a lungo termine.
Scegliere Crea ruolo.
Nella procedura guidata di creazione del ruolo, per il tipo di entità attendibile, scegli Criteri di attendibilità personalizzati.

Copia e incolla la seguente politica di fiducia personalizzata nell'editor JSON.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": { 
                    "aws:SourceAccount": ["accountId"]
                },
                "StringLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:region:accountId:training-dataset/*"
                }
            }
        }
    ]
}

SourceAccountÈ sempre tuo. Account AWSSourceArnPuò essere limitato a un set di dati di addestramento specifico, ma solo dopo la creazione di tale set di dati. Poiché non conosci ancora l'ARN del set di dati di addestramento, qui viene specificata la wildcard.

accountIdè l'ID Account AWS che contiene i dati di allenamento.

Scegli Avanti e in Aggiungi autorizzazioni, inserisci il nome della politica che hai appena creato. (Potrebbe essere necessario ricaricare la pagina.)
Seleziona la casella di controllo accanto al nome della politica che hai creato, quindi scegli Avanti.
Per Nome, revisione e creazione, inserisci il nome e la descrizione del ruolo.

Nota
Il nome del ruolo deve corrispondere allo schema delle passRole autorizzazioni concesse al membro che può interrogare e ricevere risultati e ruoli dei membri.
1. Rivedi Seleziona entità attendibili e, se necessario, apporta le modifiche.
2. Controlla le autorizzazioni in Aggiungi autorizzazioni e modificale se necessario.
3. Controlla i tag e aggiungi i tag se necessario.
4. Scegliere Crea ruolo.

Hai creato il ruolo di servizio per AWS Clean Rooms.

Crea un ruolo di servizio per scrivere un segmento simile

AWS Clean Rooms utilizza un ruolo di servizio per scrivere segmenti simili in un bucket. Puoi creare questo ruolo utilizzando la console se disponi delle autorizzazioni IAM necessarie. Se non disponi CreateRole delle autorizzazioni, chiedi all'amministratore di creare il ruolo di servizio.

Per creare un ruolo di servizio, scrivere un segmento simile

Accedi alla console IAM (https://console.aws.amazon.com/iam/) con il tuo account amministratore.
In Gestione accessi scegli Policy.
Seleziona Create Policy (Crea policy).

Nell'editor delle politiche, seleziona la scheda JSON, quindi copia e incolla la seguente politica.

Nota

La seguente policy di esempio supporta le autorizzazioni necessarie per leggere AWS Glue i metadati e i dati Amazon S3 corrispondenti. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati di Amazon S3. Questa politica non include una chiave KMS per decrittografare i dati.

AWS Glue Le tue risorse e le risorse Amazon S3 sottostanti devono essere le Regione AWS stesse della AWS Clean Rooms collaborazione.


{
    "Version": "2012-10-17",
    "Statement": [
    {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::buckets"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        }
  ]
}

Se devi utilizzare una chiave KMS per crittografare i dati, aggiungi questa AWS KMS dichiarazione al modello:


{
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey*",
                "kms:ReEncrypt*",
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
  ]
}

Sostituisci ognuna placeholder con le tue informazioni:
- buckets— L'Amazon Resource Name (ARN) del bucket S3. L'Amazon Resource Name (ARN) è disponibile nella scheda Proprietà del bucket in Amazon S3.
- accountId— L' Account AWS ID in cui si trova il bucket S3.
- bucketFolders— Il nome di cartelle specifiche nel bucket S3 a cui AWS Clean Rooms è necessario accedere.
- region: nome della Regione AWS. Ad esempio us-east-1.
- keyId— La chiave KMS necessaria per crittografare i dati.
Scegli Next (Successivo).
Per Revisione e creazione, inserisci il nome e la descrizione della politica e consulta il riepilogo.
Scegli Create Policy (Crea policy).

Hai creato una politica per AWS Clean Rooms.
In Access management (Gestione accessi), scegli Roles (Ruoli).

Con Roles, puoi creare credenziali a breve termine, operazione consigliata per una maggiore sicurezza. Puoi anche scegliere Utenti per creare credenziali a lungo termine.
Scegliere Crea ruolo.
Nella procedura guidata di creazione del ruolo, per il tipo di entità attendibile, scegli Criteri di attendibilità personalizzati.

Copia e incolla la seguente politica di fiducia personalizzata nell'editor JSON.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": { 
                    "aws:SourceAccount": ["accountId"]

                },
                "StringLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:region:accountId:configured-audience-model/*"
                }
            }
        }
    ]
}

Scegli Next (Successivo).
Seleziona la casella di controllo accanto al nome della policy che hai creato, quindi scegli Avanti.
Per Nome, revisione e creazione, inserisci il nome e la descrizione del ruolo.

Nota
Il nome del ruolo deve corrispondere allo schema delle passRole autorizzazioni concesse al membro che può interrogare e ricevere risultati e ruoli dei membri.
1. Rivedi Seleziona entità attendibili e, se necessario, apporta le modifiche.
2. Controlla le autorizzazioni in Aggiungi autorizzazioni e modificale se necessario.
3. Controlla i tag e aggiungi i tag se necessario.
4. Scegliere Crea ruolo.

Hai creato il ruolo di servizio per AWS Clean Rooms.

Crea un ruolo di servizio per leggere i dati iniziali

AWS Clean Rooms utilizza un ruolo di servizio per leggere i dati iniziali. Puoi creare questo ruolo utilizzando la console se disponi delle autorizzazioni IAM necessarie. Se non disponi CreateRole delle autorizzazioni, chiedi all'amministratore di creare il ruolo di servizio.

Per creare un ruolo di servizio per leggere i dati iniziali archiviati in un bucket S3.

Accedi alla console IAM (https://console.aws.amazon.com/iam/) con il tuo account amministratore.
In Gestione accessi scegli Policy.
Seleziona Create Policy (Crea policy).

Nell'editor delle politiche, seleziona la scheda JSON, quindi copia e incolla una delle seguenti politiche.

Nota

La seguente policy di esempio supporta le autorizzazioni necessarie per leggere AWS Glue i metadati e i dati Amazon S3 corrispondenti. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati di Amazon S3. Questa politica non include una chiave KMS per decrittografare i dati.

AWS Glue Le tue risorse e le risorse Amazon S3 sottostanti devono essere le Regione AWS stesse della AWS Clean Rooms collaborazione.


{
    "Version": "2012-10-17",
    "Statement": [
    {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
            ],
            "Resource": [
                "arn:aws:s3:::buckets"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        }
  ]
}

Nota

La seguente policy di esempio supporta le autorizzazioni necessarie per leggere i risultati di una query SQL e utilizzarli come dati di input. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come è strutturata la query. Questa politica non include una chiave KMS per decrittografare i dati.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCleanRoomsStartQuery",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaborationAnalysisTemplate",
                "cleanrooms:GetSchema", 
                "cleanrooms:StartProtectedQuery"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCleanRoomsGetAndUpdateQuery",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetProtectedQuery", 
                "cleanrooms:UpdateProtectedQuery"
            ],
            "Resource": [
                "arn:aws:cleanrooms:region:queryRunnerAccountId:membership/queryRunnerMembershipId"
            ]
        }
    ]
}

Se devi usare una chiave KMS per decrittografare i dati, aggiungi questa dichiarazione al modello: AWS KMS


{
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
  ]
}

Sostituisci ognuna placeholder con le tue informazioni:
- buckets— L'Amazon Resource Name (ARN) del bucket S3. L'Amazon Resource Name (ARN) è disponibile nella scheda Proprietà del bucket in Amazon S3.
- accountId— L' Account AWS ID in cui si trova il bucket S3.
- bucketFolders— Il nome di cartelle specifiche nel bucket S3 a cui AWS Clean Rooms è necessario accedere.
- region: nome della Regione AWS. Ad esempio us-east-1.
- queryRunnerAccountId— L' Account AWS ID dell'account che eseguirà le query.
- queryRunnerMembershipId— L'ID di iscrizione del membro che può effettuare la richiesta. L'ID di iscrizione è disponibile nella scheda Dettagli della collaborazione. Ciò garantisce che AWS Clean Rooms assuma il ruolo solo quando questo membro esegue l'analisi nell'ambito di questa collaborazione.
- keyId— La chiave KMS necessaria per crittografare i dati.
Scegli Next (Successivo).
Per Revisione e creazione, inserisci il nome e la descrizione della politica e consulta il riepilogo.
Scegli Create Policy (Crea policy).

Hai creato una politica per AWS Clean Rooms.
In Access management (Gestione accessi), scegli Roles (Ruoli).

Con Roles, puoi creare credenziali a breve termine, operazione consigliata per una maggiore sicurezza. Puoi anche scegliere Utenti per creare credenziali a lungo termine.
Scegliere Crea ruolo.
Nella procedura guidata di creazione del ruolo, per il tipo di entità attendibile, scegli Criteri di attendibilità personalizzati.

Copia e incolla la seguente politica di fiducia personalizzata nell'editor JSON.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": {
                    "aws:SourceAccount": ["accountId"]

                },
                "StringLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:region:accountId:audience-generation-job/*"
                }
            }
        }
    ]
}

Scegli Next (Successivo).
Seleziona la casella di controllo accanto al nome della policy che hai creato, quindi scegli Avanti.
Per Nome, revisione e creazione, inserisci il nome e la descrizione del ruolo.

Nota
Il nome del ruolo deve corrispondere allo schema delle passRole autorizzazioni concesse al membro che può interrogare e ricevere risultati e ruoli dei membri.
1. Rivedi Seleziona entità attendibili e, se necessario, apporta le modifiche.
2. Controlla le autorizzazioni in Aggiungi autorizzazioni e modificale se necessario.
3. Controlla i tag e aggiungi i tag se necessario.
4. Scegliere Crea ruolo.

Hai creato il ruolo di servizio per AWS Clean Rooms.

Configura i ruoli di servizio per la modellazione personalizzata

Argomenti

Crea un ruolo di servizio per la modellazione ML personalizzata - Configurazione ML
Crea un ruolo di servizio per fornire un modello di machine learning personalizzato
Crea un ruolo di servizio per interrogare un set di dati
Crea un ruolo di servizio per creare un'associazione di tabelle configurata

Crea un ruolo di servizio per la modellazione ML personalizzata - Configurazione ML

AWS Clean Rooms utilizza un ruolo di servizio per controllare chi può creare una configurazione ML personalizzata. Puoi creare questo ruolo utilizzando la console se disponi delle autorizzazioni IAM necessarie. Se non disponi CreateRole delle autorizzazioni, chiedi all'amministratore di creare il ruolo di servizio.

Questo ruolo consente di utilizzare l'MLConfiguration azione Crea.

Creare un ruolo di servizio che consenta la creazione di una configurazione ML personalizzata

Accedi alla console IAM (https://console.aws.amazon.com/iam/) con il tuo account amministratore.
In Gestione accessi scegli Policy.
Seleziona Create Policy (Crea policy).

Nell'editor delle politiche, seleziona la scheda JSON, quindi copia e incolla la seguente politica.

Nota

La seguente policy di esempio supporta le autorizzazioni necessarie per accedere e scrivere dati in un bucket S3 e per pubblicare metriche. CloudWatch Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati di Amazon S3. Questa politica non include una chiave KMS per decrittografare i dati.

Le tue risorse Amazon S3 devono coincidere con quelle utilizzate per la Regione AWS collaborazione. AWS Clean Rooms


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowS3ObjectWriteForExport",
            "Effect": "Allow",
            "Action": ["s3:PutObject"],
            "Resource": [
                "arn:aws:s3:::bucket/*"
            ]
        },
        {
            "Sid": "AllowS3KMSEncryptForExport",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey*",
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ]
        },
        {
            "Sid": "AllowCloudWatchMetricsPublishingForTrainingJobs",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "arn:aws:cloudwatch:region:accountId:namespace/aws/cleanroomsml/*",
            "Resource": "*",
            "Effect": "Allow"
       },
       {
            "Sid": "AllowCloudWatchLogsPublishingForTrainingOrInferenceJobs",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",            
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ]
        }
   ]
}

Sostituisci placeholder ognuna con le tue informazioni:
- bucket— L'Amazon Resource Name (ARN) del bucket S3. L'Amazon Resource Name (ARN) è disponibile nella scheda Proprietà del bucket in Amazon S3.
- region: nome della Regione AWS. Ad esempio us-east-1.
- accountId— L' Account AWS ID in cui si trova il bucket S3.
- keyId— La chiave KMS necessaria per crittografare i dati.
Scegli Next (Successivo).
Per Revisione e creazione, inserisci il nome e la descrizione della politica e consulta il riepilogo.
Scegli Create Policy (Crea policy).

Hai creato una politica per AWS Clean Rooms.
In Access management (Gestione accessi), scegli Roles (Ruoli).

Con Roles, puoi creare credenziali a breve termine, operazione consigliata per una maggiore sicurezza. Puoi anche scegliere Utenti per creare credenziali a lungo termine.
Scegliere Crea ruolo.
Nella procedura guidata di creazione del ruolo, per il tipo di entità attendibile, scegli Criteri di attendibilità personalizzati.

Copia e incolla la seguente politica di fiducia personalizzata nell'editor JSON.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": { 
                    "aws:SourceAccount": "accountId"
                },
                "ArnLike": { 
                    "aws:SourceArn": "arn:aws:cleanrooms:region:accountId:membership/membershipID"
                }
            }
        }
    ]
}

Scegli Next (Successivo).
Seleziona la casella di controllo accanto al nome della policy che hai creato, quindi scegli Avanti.
Per Nome, revisione e creazione, inserisci il nome e la descrizione del ruolo.

Nota
Il nome del ruolo deve corrispondere allo schema delle passRole autorizzazioni concesse al membro che può interrogare e ricevere risultati e ruoli dei membri.
1. Rivedi Seleziona entità attendibili e, se necessario, apporta le modifiche.
2. Controlla le autorizzazioni in Aggiungi autorizzazioni e modificale se necessario.
3. Controlla i tag e aggiungi i tag se necessario.
4. Scegliere Crea ruolo.

Hai creato il ruolo di servizio per AWS Clean Rooms.

Crea un ruolo di servizio per fornire un modello di machine learning personalizzato

AWS Clean Rooms utilizza un ruolo di servizio per controllare chi può creare un algoritmo di modello ML personalizzato. Puoi creare questo ruolo utilizzando la console se disponi delle autorizzazioni IAM necessarie. Se non disponi CreateRole delle autorizzazioni, chiedi all'amministratore di creare il ruolo di servizio.

Questo ruolo ti consente di utilizzare l' CreateConfiguredModelAlgorithm azione.

Creare un ruolo di servizio per consentire a un membro di fornire un modello di machine learning personalizzato

Accedi alla console IAM (https://console.aws.amazon.com/iam/) con il tuo account amministratore.
In Gestione accessi scegli Policy.
Seleziona Create Policy (Crea policy).
Nell'editor delle politiche, seleziona la scheda JSON, quindi copia e incolla la seguente politica.

Nota
La seguente politica di esempio supporta le autorizzazioni necessarie per recuperare l'immagine docker che contiene l'algoritmo del modello. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati di Amazon S3. Questa politica non include una chiave KMS per decrittografare i dati.
Le tue risorse Amazon S3 devono coincidere con quelle utilizzate per la Regione AWS collaborazione. AWS Clean Rooms
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowECRImageDownloadForTrainingAndInferenceJobs",
            "Effect": "Allow",
            "Action": [
                "ecr:BatchGetImage",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer"
            ],
            "Resource": "arn:aws:ecr:region:accountID:repository/repoName"
        }
    ]
}
```
Sostituisci placeholder ognuna con le tue informazioni:
- region: nome della Regione AWS. Ad esempio us-east-1.
- accountId— L' Account AWS ID in cui si trova il bucket S3.
- repoName— Il nome del repository che contiene i tuoi dati.
Scegli Next (Successivo).
Per Revisione e creazione, inserisci il nome e la descrizione della politica e consulta il riepilogo.
Scegli Create Policy (Crea policy).

Hai creato una politica per AWS Clean Rooms.
In Access management (Gestione accessi), scegli Roles (Ruoli).

Con Roles, puoi creare credenziali a breve termine, operazione consigliata per una maggiore sicurezza. Puoi anche scegliere Utenti per creare credenziali a lungo termine.
Scegliere Crea ruolo.
Nella procedura guidata di creazione del ruolo, per il tipo di entità attendibile, scegli Criteri di attendibilità personalizzati.
Copia e incolla la seguente politica di fiducia personalizzata nell'editor JSON.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```
The SourceAccount is always your Account AWS The SourceArn può essere limitato a un set di dati di addestramento specifico, ma solo dopo la creazione di tale set di dati. Poiché non conosci ancora l'ARN del set di dati di addestramento, qui viene specificata la wildcard.
Scegli Next (Successivo).
Seleziona la casella di controllo accanto al nome della policy che hai creato, quindi scegli Avanti.
Per Nome, revisione e creazione, inserisci il nome e la descrizione del ruolo.

Nota
Il nome del ruolo deve corrispondere allo schema delle passRole autorizzazioni concesse al membro che può interrogare e ricevere risultati e ruoli dei membri.
1. Rivedi Seleziona entità attendibili e, se necessario, apporta le modifiche.
2. Controlla le autorizzazioni in Aggiungi autorizzazioni e modificale se necessario.
3. Controlla i tag e aggiungi i tag se necessario.
4. Scegliere Crea ruolo.

Hai creato il ruolo di servizio per AWS Clean Rooms.

Crea un ruolo di servizio per interrogare un set di dati

AWS Clean Rooms utilizza un ruolo di servizio per controllare chi può interrogare un set di dati che verrà utilizzato per la modellazione ML personalizzata. Puoi creare questo ruolo utilizzando la console se disponi delle autorizzazioni IAM necessarie. Se non disponi CreateRole delle autorizzazioni, chiedi all'amministratore di creare il ruolo di servizio.

Questo ruolo ti consente di utilizzare l'azione Crea MLInput canale.

Per creare un ruolo di servizio che consenta a un membro di interrogare un set di dati

Accedi alla console IAM (https://console.aws.amazon.com/iam/) con il tuo account amministratore.
In Gestione accessi scegli Policy.
Seleziona Create Policy (Crea policy).

Nell'editor delle politiche, seleziona la scheda JSON, quindi copia e incolla la seguente politica.

Nota

La seguente politica di esempio supporta le autorizzazioni necessarie per interrogare un set di dati che verrà utilizzato per la modellazione ML personalizzata. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati di Amazon S3. Questa politica non include una chiave KMS per decrittografare i dati.

Le tue risorse Amazon S3 devono coincidere con quelle utilizzate per la Regione AWS collaborazione. AWS Clean Rooms


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCleanRoomsStartQueryForMLInputChannel",
            "Effect": "Allow",
            "Action": "cleanrooms:StartProtectedQuery",
            "Resource": "*"
        },
        {
            "Sid": "AllowCleanRoomsGetSchemaForMLInputChannel",
            "Effect": "Allow",
            "Action": "cleanrooms:GetSchema",
            "Resource": "*"
        },
        {
            "Sid": "AllowCleanRoomsGetAndUpdateQueryForMLInputChannel",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetProtectedQuery", 
                "cleanrooms:UpdateProtectedQuery"
            ],
            "Resource": [
                "arn:aws:cleanrooms:region:queryRunnerAccountId:membership/queryRunnerMembershipId"
            ]
        }
    ]
}

Sostituisci placeholder ognuna con le tue informazioni:
- region: nome della Regione AWS. Ad esempio us-east-1.
- queryRunnerAccountId— L' Account AWS ID dell'account che eseguirà le query.
- queryRunnerMembershipId— L'ID di iscrizione del membro che può effettuare la richiesta. L'ID di iscrizione è disponibile nella scheda Dettagli della collaborazione. Ciò garantisce che AWS Clean Rooms assuma il ruolo solo quando questo membro esegue l'analisi nell'ambito di questa collaborazione.
Scegli Next (Successivo).
Per Revisione e creazione, inserisci il nome e la descrizione della politica e consulta il riepilogo.
Scegli Create Policy (Crea policy).

Hai creato una politica per AWS Clean Rooms.
In Access management (Gestione accessi), scegli Roles (Ruoli).

Con Roles, puoi creare credenziali a breve termine, operazione consigliata per una maggiore sicurezza. Puoi anche scegliere Utenti per creare credenziali a lungo termine.
Scegliere Crea ruolo.
Nella procedura guidata di creazione del ruolo, per il tipo di entità attendibile, scegli Criteri di attendibilità personalizzati.
Copia e incolla la seguente politica di fiducia personalizzata nell'editor JSON.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```
The SourceAccount is always your Account AWS The SourceArn può essere limitato a un set di dati di addestramento specifico, ma solo dopo la creazione di tale set di dati. Poiché non conosci ancora l'ARN del set di dati di addestramento, qui viene specificata la wildcard.
Scegli Next (Successivo).
Seleziona la casella di controllo accanto al nome della policy che hai creato, quindi scegli Avanti.
Per Nome, revisione e creazione, inserisci il nome e la descrizione del ruolo.

Nota
Il nome del ruolo deve corrispondere allo schema delle passRole autorizzazioni concesse al membro che può interrogare e ricevere risultati e ruoli dei membri.
1. Rivedi Seleziona entità attendibili e, se necessario, apporta le modifiche.
2. Controlla le autorizzazioni in Aggiungi autorizzazioni e modificale se necessario.
3. Controlla i tag e aggiungi i tag se necessario.
4. Scegliere Crea ruolo.

Hai creato il ruolo di servizio per AWS Clean Rooms.

Crea un ruolo di servizio per creare un'associazione di tabelle configurata

AWS Clean Rooms utilizza un ruolo di servizio per controllare chi può creare un'associazione di tabelle configurata. Puoi creare questo ruolo utilizzando la console se disponi delle autorizzazioni IAM necessarie. Se non disponi CreateRole delle autorizzazioni, chiedi all'amministratore di creare il ruolo di servizio.

Questo ruolo ti consente di utilizzare l' CreateConfiguredTableAssociation azione.

Creare un ruolo di servizio che consenta la creazione di un'associazione di tabelle configurata

Accedi alla console IAM (https://console.aws.amazon.com/iam/) con il tuo account amministratore.
In Gestione accessi scegli Policy.
Seleziona Create Policy (Crea policy).

Nell'editor delle politiche, seleziona la scheda JSON, quindi copia e incolla la seguente politica.

Nota

La seguente politica di esempio supporta la creazione di un'associazione di tabelle configurata. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati di Amazon S3. Questa politica non include una chiave KMS per decrittografare i dati.

Le tue risorse Amazon S3 devono coincidere con quelle utilizzate per la Regione AWS collaborazione. AWS Clean Rooms


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "KMS key used to encrypt the S3 data",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "S3 bucket of Glue table",
            "Effect": "Allow"
        },
        {
            "Action": "s3:GetObject",
            "Resource": "S3 bucket of Glue table/*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartitions",
                "glue:GetPartition",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:region:accountID:catalog",
                "arn:aws:glue:region:accountID:database/Glue database name",
                "arn:aws:glue:region:accountID:table/Glue database name/Glue table name"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "glue:GetSchema",
                "glue:GetSchemaVersion"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Sostituisci placeholder ognuna con le tue informazioni:
- KMS key used to encrypt the Amazon S3 data— La chiave KMS utilizzata per crittografare i dati di Amazon S3. Per decrittografare i dati, devi fornire la stessa chiave KMS utilizzata per crittografare i dati.
- Amazon S3 bucket of AWS Glue table— Il nome del bucket Amazon S3 che contiene la AWS Glue tabella che contiene i tuoi dati.
- region: nome della Regione AWS. Ad esempio us-east-1.
- accountId— L' Account AWS ID dell'account che possiede i dati.
- AWS Glue database name— Il nome del AWS Glue database che contiene i tuoi dati.
- AWS Glue table name— Il nome della AWS Glue tabella che contiene i dati.
Scegli Next (Successivo).
Per Revisione e creazione, inserisci il nome e la descrizione della politica e consulta il riepilogo.
Scegli Create Policy (Crea policy).

Hai creato una politica per AWS Clean Rooms.
In Access management (Gestione accessi), scegli Roles (Ruoli).

Con Roles, puoi creare credenziali a breve termine, operazione consigliata per una maggiore sicurezza. Puoi anche scegliere Utenti per creare credenziali a lungo termine.
Scegliere Crea ruolo.
Nella procedura guidata di creazione del ruolo, per il tipo di entità attendibile, scegli Criteri di attendibilità personalizzati.
Copia e incolla la seguente politica di fiducia personalizzata nell'editor JSON.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
        }
    ]
}
```
The SourceAccount is always your Account AWS The SourceArn può essere limitato a un set di dati di addestramento specifico, ma solo dopo la creazione di tale set di dati. Poiché non conosci ancora l'ARN del set di dati di addestramento, qui viene specificata la wildcard.
Scegli Next (Successivo).
Seleziona la casella di controllo accanto al nome della policy che hai creato, quindi scegli Avanti.
Per Nome, revisione e creazione, inserisci il nome e la descrizione del ruolo.

Nota
Il nome del ruolo deve corrispondere allo schema delle passRole autorizzazioni concesse al membro che può interrogare e ricevere risultati e ruoli dei membri.
1. Rivedi Seleziona entità attendibili e, se necessario, apporta le modifiche.
2. Controlla le autorizzazioni in Aggiungi autorizzazioni e modificale se necessario.
3. Controlla i tag e aggiungi i tag se necessario.
4. Scegliere Crea ruolo.

Hai creato il ruolo di servizio per AWS Clean Rooms.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Imposta i ruoli di servizio per AWS Clean Rooms

Collaborazioni e appartenenze