Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configura i ruoli di servizio per il machine AWS Clean Rooms learning
Argomenti
Crea un ruolo di servizio per leggere i dati di formazione
AWS Clean Rooms utilizza un ruolo di servizio per leggere i dati di addestramento. È possibile creare questo ruolo utilizzando la console se si dispone delle IAM autorizzazioni necessarie. Se non disponi CreateRole delle autorizzazioni, chiedi all'amministratore di creare il ruolo di servizio.
Per creare un ruolo di servizio per addestrare un set di dati
-
Accedi alla IAM console (https://console.aws.amazon.com/iam/
) con il tuo account amministratore. -
In Gestione accessi scegli Policy.
-
Seleziona Create Policy (Crea policy).
-
Nell'editor delle politiche, seleziona la JSONscheda, quindi copia e incolla la seguente politica.
Nota
La seguente policy di esempio supporta le autorizzazioni necessarie per leggere AWS Glue i metadati e i dati Amazon S3 corrispondenti. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati S3. Questa politica non include una KMS chiave per decrittografare i dati.
AWS Glue Le tue risorse e le risorse Amazon S3 sottostanti devono essere le Regione AWS stesse della AWS Clean Rooms collaborazione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartitions", "glue:GetPartition", "glue:BatchGetPartition", "glue:GetUserDefinedFunctions" ], "Resource": [ "arn:aws:glue:region:accountId:database/databases", "arn:aws:glue:region:accountId:table/databases/tables", "arn:aws:glue:region:accountId:catalog", "arn:aws:glue:region:accountId:database/default" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase" ], "Resource": [ "arn:aws:glue:region:accountId:database/default" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::bucket" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }Se devi usare una KMS chiave per decrittografare i dati, aggiungi questa AWS KMS dichiarazione al modello precedente:
{ "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
Scegli Next (Successivo).
-
Per Revisione e creazione, inserisci il nome e la descrizione della politica e consulta il riepilogo.
-
Scegli Create Policy (Crea policy).
Hai creato una politica per AWS Clean Rooms.
-
In Access management (Gestione accessi), scegli Roles (Ruoli).
Con Roles, puoi creare credenziali a breve termine, operazione consigliata per una maggiore sicurezza. Puoi anche scegliere Utenti per creare credenziali a lungo termine.
-
Scegliere Crea ruolo.
-
Nella procedura guidata di creazione del ruolo, per il tipo di entità attendibile, scegli Criteri di attendibilità personalizzati.
-
Copia e incolla la seguente politica di fiducia personalizzata nell'JSONeditor.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:training-dataset/*" } } } ] }SourceAccountÈ sempre il tuo AWS account.SourceArnPuò essere limitato a un set di dati di addestramento specifico, ma solo dopo la creazione di tale set di dati. Poiché non è possibile conoscere in anticipo il set di dati di addestramentoARN, qui viene specificata la jolly. -
Scegli Avanti e in Aggiungi autorizzazioni, inserisci il nome della politica che hai appena creato. (Potrebbe essere necessario ricaricare la pagina.)
-
Seleziona la casella di controllo accanto al nome della politica che hai creato, quindi scegli Avanti.
-
Per Nome, revisione e creazione, inserisci il nome e la descrizione del ruolo.
Nota
Il nome del ruolo deve corrispondere allo schema delle
passRoleautorizzazioni concesse al membro che può interrogare e ricevere risultati e ruoli dei membri.-
Rivedi Seleziona entità attendibili e, se necessario, apporta le modifiche.
-
Controlla le autorizzazioni in Aggiungi autorizzazioni e modificale se necessario.
-
Controlla i tag e aggiungi i tag se necessario.
-
Scegliere Crea ruolo.
-
-
Il ruolo di servizio per AWS Clean Rooms è stato creato.
Crea un ruolo di servizio per scrivere un segmento simile
AWS Clean Rooms utilizza un ruolo di servizio per scrivere segmenti simili in un bucket. È possibile creare questo ruolo utilizzando la console se si dispone delle autorizzazioni necessarie. IAM Se non disponi CreateRole delle autorizzazioni, chiedi all'amministratore di creare il ruolo di servizio.
Per creare un ruolo di servizio, scrivere un segmento simile
-
Accedi alla IAM console (https://console.aws.amazon.com/iam/
) con il tuo account amministratore. -
In Gestione accessi scegli Policy.
-
Seleziona Create Policy (Crea policy).
-
Nell'editor delle politiche, seleziona la JSONscheda, quindi copia e incolla la seguente politica.
Nota
La seguente policy di esempio supporta le autorizzazioni necessarie per leggere AWS Glue i metadati e i dati Amazon S3 corrispondenti. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati S3. Questa politica non include una KMS chiave per decrittografare i dati.
AWS Glue Le tue risorse e le risorse Amazon S3 sottostanti devono essere le Regione AWS stesse della AWS Clean Rooms collaborazione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::buckets" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }Se devi usare una KMS chiave per crittografare i dati, aggiungi questa AWS KMS dichiarazione al modello:
{ "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] }Se devi usare una KMS chiave per decrittografare i dati, aggiungi questa AWS KMS istruzione al modello:
{ "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
Scegli Next (Successivo).
-
Per Revisione e creazione, inserisci il nome e la descrizione della politica e consulta il riepilogo.
-
Scegli Create Policy (Crea policy).
Hai creato una politica per AWS Clean Rooms.
-
In Access management (Gestione accessi), scegli Roles (Ruoli).
Con Roles, puoi creare credenziali a breve termine, operazione consigliata per una maggiore sicurezza. Puoi anche scegliere Utenti per creare credenziali a lungo termine.
-
Scegliere Crea ruolo.
-
Nella procedura guidata di creazione del ruolo, per il tipo di entità attendibile, scegli Criteri di attendibilità personalizzati.
-
Copia e incolla la seguente politica di fiducia personalizzata nell'JSONeditor.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:configured-audience-model/*" } } } ] }SourceAccountÈ sempre il tuo AWS account.SourceArnPuò essere limitato a un set di dati di addestramento specifico, ma solo dopo la creazione di tale set di dati. Poiché non è possibile conoscere in anticipo il set di dati di addestramentoARN, qui viene specificata la jolly. -
Scegli Next (Successivo).
-
Seleziona la casella di controllo accanto al nome della politica che hai creato, quindi scegli Avanti.
-
Per Nome, revisione e creazione, inserisci il nome e la descrizione del ruolo.
Nota
Il nome del ruolo deve corrispondere allo schema delle
passRoleautorizzazioni concesse al membro che può interrogare e ricevere risultati e ruoli dei membri.-
Rivedi Seleziona entità attendibili e, se necessario, apporta le modifiche.
-
Controlla le autorizzazioni in Aggiungi autorizzazioni e modificale se necessario.
-
Controlla i tag e aggiungi i tag se necessario.
-
Scegliere Crea ruolo.
-
-
Il ruolo di servizio per AWS Clean Rooms è stato creato.
Crea un ruolo di servizio per leggere i dati iniziali
AWS Clean Rooms utilizza un ruolo di servizio per leggere i dati iniziali. È possibile creare questo ruolo utilizzando la console se si dispone delle IAM autorizzazioni necessarie. Se non disponi CreateRole delle autorizzazioni, chiedi all'amministratore di creare il ruolo di servizio.
Creare un ruolo di servizio per leggere i dati iniziali archiviati in un bucket Amazon S3.
-
Accedi alla IAM console (https://console.aws.amazon.com/iam/
) con il tuo account amministratore. -
In Gestione accessi scegli Policy.
-
Seleziona Create Policy (Crea policy).
-
Nell'editor delle politiche, seleziona la JSONscheda, quindi copia e incolla una delle seguenti politiche.
Nota
La seguente policy di esempio supporta le autorizzazioni necessarie per leggere AWS Glue i metadati e i dati Amazon S3 corrispondenti. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati S3. Questa politica non include una KMS chiave per decrittografare i dati.
AWS Glue Le tue risorse e le risorse Amazon S3 sottostanti devono essere le Regione AWS stesse della AWS Clean Rooms collaborazione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", ], "Resource": [ "arn:aws:s3:::buckets" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }Nota
La seguente policy di esempio supporta le autorizzazioni necessarie per leggere i risultati di una SQL query e utilizzarli come dati di input. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come è strutturata la query. Questa politica non include una KMS chiave per decrittografare i dati.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCleanRoomsStartQuery", "Effect": "Allow", "Action": [ "cleanrooms:GetCollaborationAnalysisTemplate", "cleanrooms:GetSchema", "cleanrooms:StartProtectedQuery" ], "Resource": "*" }, { "Sid": "AllowCleanRoomsGetAndUpdateQuery", "Effect": "Allow", "Action": [ "cleanrooms:GetProtectedQuery", "cleanrooms:UpdateProtectedQuery" ], "Resource": [ "arn:aws:cleanrooms:{{region}}:{{queryRunnerAccountId}}:membership/{{queryRunnerMembershipId}}" ] } ] }Se devi usare una KMS chiave per decrittografare i dati, aggiungi questa AWS KMS dichiarazione al modello:
{ "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
Scegli Next (Successivo).
-
Per Revisione e creazione, inserisci il nome e la descrizione della politica e consulta il riepilogo.
-
Scegli Create Policy (Crea policy).
Hai creato una politica per AWS Clean Rooms.
-
In Access management (Gestione accessi), scegli Roles (Ruoli).
Con Roles, puoi creare credenziali a breve termine, operazione consigliata per una maggiore sicurezza. Puoi anche scegliere Utenti per creare credenziali a lungo termine.
-
Scegliere Crea ruolo.
-
Nella procedura guidata di creazione del ruolo, per il tipo di entità attendibile, scegli Criteri di attendibilità personalizzati.
-
Copia e incolla la seguente politica di fiducia personalizzata nell'JSONeditor.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:audience-generation-job/*" } } } ] }SourceAccountÈ sempre il tuo AWS account.SourceArnPuò essere limitato a un set di dati di addestramento specifico, ma solo dopo la creazione di tale set di dati. Poiché non è possibile conoscere in anticipo il set di dati di addestramentoARN, qui viene specificata la jolly. -
Scegli Next (Successivo).
-
Seleziona la casella di controllo accanto al nome della politica che hai creato, quindi scegli Avanti.
-
Per Nome, revisione e creazione, inserisci il nome e la descrizione del ruolo.
Nota
Il nome del ruolo deve corrispondere allo schema delle
passRoleautorizzazioni concesse al membro che può interrogare e ricevere risultati e ruoli dei membri.-
Rivedi Seleziona entità attendibili e, se necessario, apporta le modifiche.
-
Controlla le autorizzazioni in Aggiungi autorizzazioni e modificale se necessario.
-
Controlla i tag e aggiungi i tag se necessario.
-
Scegliere Crea ruolo.
-
-
Il ruolo di servizio per AWS Clean Rooms è stato creato.
