Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configura i ruoli di servizio per il machine AWS Clean Rooms learning
I ruoli necessari per eseguire la modellazione simile differiscono da quelli necessari per utilizzare un modello personalizzato. Le sezioni seguenti descrivono i ruoli necessari per eseguire ogni attività.
Argomenti
Imposta i ruoli di servizio per la modellazione con somiglianza
Argomenti
Crea un ruolo di servizio per leggere i dati di addestramento
AWS Clean Rooms utilizza un ruolo di servizio per leggere i dati di addestramento. Puoi creare questo ruolo utilizzando la console se disponi delle autorizzazioni IAM necessarie. Se non disponi CreateRole
delle autorizzazioni, chiedi all'amministratore di creare il ruolo di servizio.
Per creare un ruolo di servizio per addestrare un set di dati
-
Accedi alla console IAM (https://console.aws.amazon.com/iam/
) con il tuo account amministratore. -
In Gestione accessi scegli Policy.
-
Seleziona Create Policy (Crea policy).
-
Nell'editor delle politiche, seleziona la scheda JSON, quindi copia e incolla la seguente politica.
Nota
La seguente policy di esempio supporta le autorizzazioni necessarie per leggere AWS Glue i metadati e i dati Amazon S3 corrispondenti. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati S3. Questa politica non include una chiave KMS per decrittografare i dati.
AWS Glue Le tue risorse e le risorse Amazon S3 sottostanti devono essere le Regione AWS stesse della AWS Clean Rooms collaborazione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartitions", "glue:GetPartition", "glue:BatchGetPartition", "glue:GetUserDefinedFunctions" ], "Resource": [ "arn:aws:glue:
region
:accountId
:database
/databases
", "arn:aws:glue:region
:accountId
:table
/databases
/tables
", "arn:aws:glue:region
:accountId
:catalog
", "arn:aws:glue:region
:accountId
:database
/default" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase" ], "Resource": [ "arn:aws:glue:region
:accountId
:database/default" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::bucket
" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId
" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders
/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId
" ] } } } ] }Se devi usare una chiave KMS per decrittografare i dati, aggiungi questa AWS KMS dichiarazione al modello precedente:
{ "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": [ "arn:aws:kms:
region
:accountId
:key/keyId
" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders
*" } } } ] } -
Sostituisci ognuna
placeholder
con le tue informazioni:-
region
: nome della Regione AWS. Ad esempious-east-1
. -
accountId
— L' Account AWS ID in cui si trova il bucket S3. -
database/databases
,table/databases/tables
catalog
, edatabase/default
— La posizione dei dati di addestramento a cui è AWS Clean Rooms necessario accedere. -
bucket
— L'Amazon Resource Name (ARN) del bucket S3. L'Amazon Resource Name (ARN) è disponibile nella scheda Proprietà del bucket in Amazon S3. -
bucketFolders
— Il nome di cartelle specifiche nel bucket S3 a cui è necessario accedere. AWS Clean Rooms
-
-
Scegli Next (Successivo).
-
Per Revisione e creazione, inserisci il nome e la descrizione della politica e consulta il riepilogo.
-
Scegli Create Policy (Crea policy).
Hai creato una politica per AWS Clean Rooms.
-
In Access management (Gestione accessi), scegli Roles (Ruoli).
Con Roles, puoi creare credenziali a breve termine, operazione consigliata per una maggiore sicurezza. Puoi anche scegliere Utenti per creare credenziali a lungo termine.
-
Scegliere Crea ruolo.
-
Nella procedura guidata di creazione del ruolo, per il tipo di entità attendibile, scegli Criteri di attendibilità personalizzati.
-
Copia e incolla la seguente politica di fiducia personalizzata nell'editor JSON.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["
accountId
"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region
:accountId
:training-dataset/*" } } } ] }SourceAccount
È sempre tuo. Account AWSSourceArn
Può essere limitato a un set di dati di addestramento specifico, ma solo dopo la creazione di tale set di dati. Poiché non conosci ancora l'ARN del set di dati di addestramento, qui viene specificata la wildcard.accountId
è l'ID Account AWS che contiene i dati di allenamento. -
Scegli Avanti e in Aggiungi autorizzazioni, inserisci il nome della politica che hai appena creato. (Potrebbe essere necessario ricaricare la pagina.)
-
Seleziona la casella di controllo accanto al nome della politica che hai creato, quindi scegli Avanti.
-
Per Nome, revisione e creazione, inserisci il nome e la descrizione del ruolo.
Nota
Il nome del ruolo deve corrispondere allo schema delle
passRole
autorizzazioni concesse al membro che può interrogare e ricevere risultati e ruoli dei membri.-
Rivedi Seleziona entità attendibili e, se necessario, apporta le modifiche.
-
Controlla le autorizzazioni in Aggiungi autorizzazioni e modificale se necessario.
-
Controlla i tag e aggiungi i tag se necessario.
-
Scegliere Crea ruolo.
-
Hai creato il ruolo di servizio per AWS Clean Rooms.
Crea un ruolo di servizio per scrivere un segmento simile
AWS Clean Rooms utilizza un ruolo di servizio per scrivere segmenti simili in un bucket. Puoi creare questo ruolo utilizzando la console se disponi delle autorizzazioni IAM necessarie. Se non disponi CreateRole
delle autorizzazioni, chiedi all'amministratore di creare il ruolo di servizio.
Per creare un ruolo di servizio, scrivere un segmento simile
-
Accedi alla console IAM (https://console.aws.amazon.com/iam/
) con il tuo account amministratore. -
In Gestione accessi scegli Policy.
-
Seleziona Create Policy (Crea policy).
-
Nell'editor delle politiche, seleziona la scheda JSON, quindi copia e incolla la seguente politica.
Nota
La seguente policy di esempio supporta le autorizzazioni necessarie per leggere AWS Glue i metadati e i dati Amazon S3 corrispondenti. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati di Amazon S3. Questa politica non include una chiave KMS per decrittografare i dati.
AWS Glue Le tue risorse e le risorse Amazon S3 sottostanti devono essere le Regione AWS stesse della AWS Clean Rooms collaborazione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::
buckets
" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId
" ] } } }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucketFolders
/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId
" ] } } } ] }Se devi utilizzare una chiave KMS per crittografare i dati, aggiungi questa AWS KMS dichiarazione al modello:
{ "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*", ], "Resource": [ "arn:aws:kms:
region
:accountId
:key/keyId
" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders
*" } } } ] } -
Sostituisci ognuna
placeholder
con le tue informazioni:-
buckets
— L'Amazon Resource Name (ARN) del bucket S3. L'Amazon Resource Name (ARN) è disponibile nella scheda Proprietà del bucket in Amazon S3. -
accountId
— L' Account AWS ID in cui si trova il bucket S3. -
bucketFolders
— Il nome di cartelle specifiche nel bucket S3 a cui AWS Clean Rooms è necessario accedere. -
region
: nome della Regione AWS. Ad esempious-east-1
. -
keyId
— La chiave KMS necessaria per crittografare i dati.
-
-
Scegli Next (Successivo).
-
Per Revisione e creazione, inserisci il nome e la descrizione della politica e consulta il riepilogo.
-
Scegli Create Policy (Crea policy).
Hai creato una politica per AWS Clean Rooms.
-
In Access management (Gestione accessi), scegli Roles (Ruoli).
Con Roles, puoi creare credenziali a breve termine, operazione consigliata per una maggiore sicurezza. Puoi anche scegliere Utenti per creare credenziali a lungo termine.
-
Scegliere Crea ruolo.
-
Nella procedura guidata di creazione del ruolo, per il tipo di entità attendibile, scegli Criteri di attendibilità personalizzati.
-
Copia e incolla la seguente politica di fiducia personalizzata nell'editor JSON.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["
accountId
"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region
:accountId
:configured-audience-model/*" } } } ] }SourceAccount
È sempre tuo. Account AWSSourceArn
Può essere limitato a un set di dati di addestramento specifico, ma solo dopo la creazione di tale set di dati. Poiché non conosci ancora l'ARN del set di dati di addestramento, qui viene specificata la wildcard. -
Scegli Next (Successivo).
-
Seleziona la casella di controllo accanto al nome della policy che hai creato, quindi scegli Avanti.
-
Per Nome, revisione e creazione, inserisci il nome e la descrizione del ruolo.
Nota
Il nome del ruolo deve corrispondere allo schema delle
passRole
autorizzazioni concesse al membro che può interrogare e ricevere risultati e ruoli dei membri.-
Rivedi Seleziona entità attendibili e, se necessario, apporta le modifiche.
-
Controlla le autorizzazioni in Aggiungi autorizzazioni e modificale se necessario.
-
Controlla i tag e aggiungi i tag se necessario.
-
Scegliere Crea ruolo.
-
Hai creato il ruolo di servizio per AWS Clean Rooms.
Crea un ruolo di servizio per leggere i dati iniziali
AWS Clean Rooms utilizza un ruolo di servizio per leggere i dati iniziali. Puoi creare questo ruolo utilizzando la console se disponi delle autorizzazioni IAM necessarie. Se non disponi CreateRole
delle autorizzazioni, chiedi all'amministratore di creare il ruolo di servizio.
Per creare un ruolo di servizio per leggere i dati iniziali archiviati in un bucket S3.
-
Accedi alla console IAM (https://console.aws.amazon.com/iam/
) con il tuo account amministratore. -
In Gestione accessi scegli Policy.
-
Seleziona Create Policy (Crea policy).
-
Nell'editor delle politiche, seleziona la scheda JSON, quindi copia e incolla una delle seguenti politiche.
Nota
La seguente policy di esempio supporta le autorizzazioni necessarie per leggere AWS Glue i metadati e i dati Amazon S3 corrispondenti. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati di Amazon S3. Questa politica non include una chiave KMS per decrittografare i dati.
AWS Glue Le tue risorse e le risorse Amazon S3 sottostanti devono essere le Regione AWS stesse della AWS Clean Rooms collaborazione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", ], "Resource": [ "arn:aws:s3:::
buckets
" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId
" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders
/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId
" ] } } } ] }Nota
La seguente policy di esempio supporta le autorizzazioni necessarie per leggere i risultati di una query SQL e utilizzarli come dati di input. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come è strutturata la query. Questa politica non include una chiave KMS per decrittografare i dati.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCleanRoomsStartQuery", "Effect": "Allow", "Action": [ "cleanrooms:GetCollaborationAnalysisTemplate", "cleanrooms:GetSchema", "cleanrooms:StartProtectedQuery" ], "Resource": "*" }, { "Sid": "AllowCleanRoomsGetAndUpdateQuery", "Effect": "Allow", "Action": [ "cleanrooms:GetProtectedQuery", "cleanrooms:UpdateProtectedQuery" ], "Resource": [ "arn:aws:cleanrooms:
region
:queryRunnerAccountId
:membership/queryRunnerMembershipId
" ] } ] }Se devi usare una chiave KMS per decrittografare i dati, aggiungi questa dichiarazione al modello: AWS KMS
{ "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:
region
:accountId
:key/keyId
" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders
*" } } } ] } -
Sostituisci ognuna
placeholder
con le tue informazioni:-
buckets
— L'Amazon Resource Name (ARN) del bucket S3. L'Amazon Resource Name (ARN) è disponibile nella scheda Proprietà del bucket in Amazon S3. -
accountId
— L' Account AWS ID in cui si trova il bucket S3. -
bucketFolders
— Il nome di cartelle specifiche nel bucket S3 a cui AWS Clean Rooms è necessario accedere. -
region
: nome della Regione AWS. Ad esempious-east-1
. -
queryRunnerAccountId
— L' Account AWS ID dell'account che eseguirà le query. -
queryRunnerMembershipId
— L'ID di iscrizione del membro che può effettuare la richiesta. L'ID di iscrizione è disponibile nella scheda Dettagli della collaborazione. Ciò garantisce che AWS Clean Rooms assuma il ruolo solo quando questo membro esegue l'analisi nell'ambito di questa collaborazione. -
keyId
— La chiave KMS necessaria per crittografare i dati.
-
-
Scegli Next (Successivo).
-
Per Revisione e creazione, inserisci il nome e la descrizione della politica e consulta il riepilogo.
-
Scegli Create Policy (Crea policy).
Hai creato una politica per AWS Clean Rooms.
-
In Access management (Gestione accessi), scegli Roles (Ruoli).
Con Roles, puoi creare credenziali a breve termine, operazione consigliata per una maggiore sicurezza. Puoi anche scegliere Utenti per creare credenziali a lungo termine.
-
Scegliere Crea ruolo.
-
Nella procedura guidata di creazione del ruolo, per il tipo di entità attendibile, scegli Criteri di attendibilità personalizzati.
-
Copia e incolla la seguente politica di fiducia personalizzata nell'editor JSON.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["
accountId
"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region
:accountId
:audience-generation-job/*" } } } ] }SourceAccount
È sempre tuo. Account AWSSourceArn
Può essere limitato a un set di dati di addestramento specifico, ma solo dopo la creazione di tale set di dati. Poiché non conosci ancora l'ARN del set di dati di addestramento, qui viene specificata la wildcard. -
Scegli Next (Successivo).
-
Seleziona la casella di controllo accanto al nome della policy che hai creato, quindi scegli Avanti.
-
Per Nome, revisione e creazione, inserisci il nome e la descrizione del ruolo.
Nota
Il nome del ruolo deve corrispondere allo schema delle
passRole
autorizzazioni concesse al membro che può interrogare e ricevere risultati e ruoli dei membri.-
Rivedi Seleziona entità attendibili e, se necessario, apporta le modifiche.
-
Controlla le autorizzazioni in Aggiungi autorizzazioni e modificale se necessario.
-
Controlla i tag e aggiungi i tag se necessario.
-
Scegliere Crea ruolo.
-
Hai creato il ruolo di servizio per AWS Clean Rooms.
Configura i ruoli di servizio per la modellazione personalizzata
Argomenti
Crea un ruolo di servizio per la modellazione ML personalizzata - Configurazione ML
AWS Clean Rooms utilizza un ruolo di servizio per controllare chi può creare una configurazione ML personalizzata. Puoi creare questo ruolo utilizzando la console se disponi delle autorizzazioni IAM necessarie. Se non disponi CreateRole
delle autorizzazioni, chiedi all'amministratore di creare il ruolo di servizio.
Questo ruolo consente di utilizzare l'MLConfiguration azione Crea.
Creare un ruolo di servizio che consenta la creazione di una configurazione ML personalizzata
-
Accedi alla console IAM (https://console.aws.amazon.com/iam/
) con il tuo account amministratore. -
In Gestione accessi scegli Policy.
-
Seleziona Create Policy (Crea policy).
-
Nell'editor delle politiche, seleziona la scheda JSON, quindi copia e incolla la seguente politica.
Nota
La seguente policy di esempio supporta le autorizzazioni necessarie per accedere e scrivere dati in un bucket S3 e per pubblicare metriche. CloudWatch Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati di Amazon S3. Questa politica non include una chiave KMS per decrittografare i dati.
Le tue risorse Amazon S3 devono coincidere con quelle utilizzate per la Regione AWS collaborazione. AWS Clean Rooms
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowS3ObjectWriteForExport", "Effect": "Allow", "Action": ["s3:PutObject"], "Resource": [ "arn:aws:s3:::
bucket
/*" ] }, { "Sid": "AllowS3KMSEncryptForExport", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey*", ], "Resource": [ "arn:aws:kms:region
:accountId
:key/keyId
" ] }, { "Sid": "AllowCloudWatchMetricsPublishingForTrainingJobs", "Action": "cloudwatch:PutMetricData", "Resource": "arn:aws:cloudwatch:region
:accountId
:namespace/aws/cleanroomsml/*", "Resource": "*", "Effect": "Allow" }, { "Sid": "AllowCloudWatchLogsPublishingForTrainingOrInferenceJobs", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents" ] } ] } -
Sostituisci
placeholder
ognuna con le tue informazioni:-
bucket
— L'Amazon Resource Name (ARN) del bucket S3. L'Amazon Resource Name (ARN) è disponibile nella scheda Proprietà del bucket in Amazon S3. -
region
: nome della Regione AWS. Ad esempious-east-1
. -
accountId
— L' Account AWS ID in cui si trova il bucket S3. -
keyId
— La chiave KMS necessaria per crittografare i dati.
-
-
Scegli Next (Successivo).
-
Per Revisione e creazione, inserisci il nome e la descrizione della politica e consulta il riepilogo.
-
Scegli Create Policy (Crea policy).
Hai creato una politica per AWS Clean Rooms.
-
In Access management (Gestione accessi), scegli Roles (Ruoli).
Con Roles, puoi creare credenziali a breve termine, operazione consigliata per una maggiore sicurezza. Puoi anche scegliere Utenti per creare credenziali a lungo termine.
-
Scegliere Crea ruolo.
-
Nella procedura guidata di creazione del ruolo, per il tipo di entità attendibile, scegli Criteri di attendibilità personalizzati.
-
Copia e incolla la seguente politica di fiducia personalizzata nell'editor JSON.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
accountId
" }, "ArnLike": { "aws:SourceArn": "arn:aws:cleanrooms:region
:accountId
:membership/membershipID
" } } } ] }SourceAccount
È sempre tuo. Account AWSSourceArn
Può essere limitato a un set di dati di addestramento specifico, ma solo dopo la creazione di tale set di dati. Poiché non conosci ancora l'ARN del set di dati di addestramento, qui viene specificata la wildcard. -
Scegli Next (Successivo).
-
Seleziona la casella di controllo accanto al nome della policy che hai creato, quindi scegli Avanti.
-
Per Nome, revisione e creazione, inserisci il nome e la descrizione del ruolo.
Nota
Il nome del ruolo deve corrispondere allo schema delle
passRole
autorizzazioni concesse al membro che può interrogare e ricevere risultati e ruoli dei membri.-
Rivedi Seleziona entità attendibili e, se necessario, apporta le modifiche.
-
Controlla le autorizzazioni in Aggiungi autorizzazioni e modificale se necessario.
-
Controlla i tag e aggiungi i tag se necessario.
-
Scegliere Crea ruolo.
-
Hai creato il ruolo di servizio per AWS Clean Rooms.
Crea un ruolo di servizio per fornire un modello di machine learning personalizzato
AWS Clean Rooms utilizza un ruolo di servizio per controllare chi può creare un algoritmo di modello ML personalizzato. Puoi creare questo ruolo utilizzando la console se disponi delle autorizzazioni IAM necessarie. Se non disponi CreateRole
delle autorizzazioni, chiedi all'amministratore di creare il ruolo di servizio.
Questo ruolo ti consente di utilizzare l' CreateConfiguredModelAlgorithm azione.
Creare un ruolo di servizio per consentire a un membro di fornire un modello di machine learning personalizzato
-
Accedi alla console IAM (https://console.aws.amazon.com/iam/
) con il tuo account amministratore. -
In Gestione accessi scegli Policy.
-
Seleziona Create Policy (Crea policy).
-
Nell'editor delle politiche, seleziona la scheda JSON, quindi copia e incolla la seguente politica.
Nota
La seguente politica di esempio supporta le autorizzazioni necessarie per recuperare l'immagine docker che contiene l'algoritmo del modello. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati di Amazon S3. Questa politica non include una chiave KMS per decrittografare i dati.
Le tue risorse Amazon S3 devono coincidere con quelle utilizzate per la Regione AWS collaborazione. AWS Clean Rooms
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowECRImageDownloadForTrainingAndInferenceJobs", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer" ], "Resource": "arn:aws:ecr:
region
:accountID
:repository/repoName
" } ] } -
Sostituisci
placeholder
ognuna con le tue informazioni:-
region
: nome della Regione AWS. Ad esempious-east-1
. -
accountId
— L' Account AWS ID in cui si trova il bucket S3. -
repoName
— Il nome del repository che contiene i tuoi dati.
-
-
Scegli Next (Successivo).
-
Per Revisione e creazione, inserisci il nome e la descrizione della politica e consulta il riepilogo.
-
Scegli Create Policy (Crea policy).
Hai creato una politica per AWS Clean Rooms.
-
In Access management (Gestione accessi), scegli Roles (Ruoli).
Con Roles, puoi creare credenziali a breve termine, operazione consigliata per una maggiore sicurezza. Puoi anche scegliere Utenti per creare credenziali a lungo termine.
-
Scegliere Crea ruolo.
-
Nella procedura guidata di creazione del ruolo, per il tipo di entità attendibile, scegli Criteri di attendibilità personalizzati.
-
Copia e incolla la seguente politica di fiducia personalizzata nell'editor JSON.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
The
SourceAccount
is always your Account AWS TheSourceArn
può essere limitato a un set di dati di addestramento specifico, ma solo dopo la creazione di tale set di dati. Poiché non conosci ancora l'ARN del set di dati di addestramento, qui viene specificata la wildcard. -
Scegli Next (Successivo).
-
Seleziona la casella di controllo accanto al nome della policy che hai creato, quindi scegli Avanti.
-
Per Nome, revisione e creazione, inserisci il nome e la descrizione del ruolo.
Nota
Il nome del ruolo deve corrispondere allo schema delle
passRole
autorizzazioni concesse al membro che può interrogare e ricevere risultati e ruoli dei membri.-
Rivedi Seleziona entità attendibili e, se necessario, apporta le modifiche.
-
Controlla le autorizzazioni in Aggiungi autorizzazioni e modificale se necessario.
-
Controlla i tag e aggiungi i tag se necessario.
-
Scegliere Crea ruolo.
-
Hai creato il ruolo di servizio per AWS Clean Rooms.
Crea un ruolo di servizio per interrogare un set di dati
AWS Clean Rooms utilizza un ruolo di servizio per controllare chi può interrogare un set di dati che verrà utilizzato per la modellazione ML personalizzata. Puoi creare questo ruolo utilizzando la console se disponi delle autorizzazioni IAM necessarie. Se non disponi CreateRole
delle autorizzazioni, chiedi all'amministratore di creare il ruolo di servizio.
Questo ruolo ti consente di utilizzare l'azione Crea MLInput canale.
Per creare un ruolo di servizio che consenta a un membro di interrogare un set di dati
-
Accedi alla console IAM (https://console.aws.amazon.com/iam/
) con il tuo account amministratore. -
In Gestione accessi scegli Policy.
-
Seleziona Create Policy (Crea policy).
-
Nell'editor delle politiche, seleziona la scheda JSON, quindi copia e incolla la seguente politica.
Nota
La seguente politica di esempio supporta le autorizzazioni necessarie per interrogare un set di dati che verrà utilizzato per la modellazione ML personalizzata. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati di Amazon S3. Questa politica non include una chiave KMS per decrittografare i dati.
Le tue risorse Amazon S3 devono coincidere con quelle utilizzate per la Regione AWS collaborazione. AWS Clean Rooms
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCleanRoomsStartQueryForMLInputChannel", "Effect": "Allow", "Action": "cleanrooms:StartProtectedQuery", "Resource": "*" }, { "Sid": "AllowCleanRoomsGetSchemaForMLInputChannel", "Effect": "Allow", "Action": "cleanrooms:GetSchema", "Resource": "*" }, { "Sid": "AllowCleanRoomsGetAndUpdateQueryForMLInputChannel", "Effect": "Allow", "Action": [ "cleanrooms:GetProtectedQuery", "cleanrooms:UpdateProtectedQuery" ], "Resource": [ "arn:aws:cleanrooms:
region
:queryRunnerAccountId
:membership/queryRunnerMembershipId
" ] } ] } -
Sostituisci
placeholder
ognuna con le tue informazioni:-
region
: nome della Regione AWS. Ad esempious-east-1
. -
queryRunnerAccountId
— L' Account AWS ID dell'account che eseguirà le query. -
queryRunnerMembershipId
— L'ID di iscrizione del membro che può effettuare la richiesta. L'ID di iscrizione è disponibile nella scheda Dettagli della collaborazione. Ciò garantisce che AWS Clean Rooms assuma il ruolo solo quando questo membro esegue l'analisi nell'ambito di questa collaborazione.
-
-
Scegli Next (Successivo).
-
Per Revisione e creazione, inserisci il nome e la descrizione della politica e consulta il riepilogo.
-
Scegli Create Policy (Crea policy).
Hai creato una politica per AWS Clean Rooms.
-
In Access management (Gestione accessi), scegli Roles (Ruoli).
Con Roles, puoi creare credenziali a breve termine, operazione consigliata per una maggiore sicurezza. Puoi anche scegliere Utenti per creare credenziali a lungo termine.
-
Scegliere Crea ruolo.
-
Nella procedura guidata di creazione del ruolo, per il tipo di entità attendibile, scegli Criteri di attendibilità personalizzati.
-
Copia e incolla la seguente politica di fiducia personalizzata nell'editor JSON.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
The
SourceAccount
is always your Account AWS TheSourceArn
può essere limitato a un set di dati di addestramento specifico, ma solo dopo la creazione di tale set di dati. Poiché non conosci ancora l'ARN del set di dati di addestramento, qui viene specificata la wildcard. -
Scegli Next (Successivo).
-
Seleziona la casella di controllo accanto al nome della policy che hai creato, quindi scegli Avanti.
-
Per Nome, revisione e creazione, inserisci il nome e la descrizione del ruolo.
Nota
Il nome del ruolo deve corrispondere allo schema delle
passRole
autorizzazioni concesse al membro che può interrogare e ricevere risultati e ruoli dei membri.-
Rivedi Seleziona entità attendibili e, se necessario, apporta le modifiche.
-
Controlla le autorizzazioni in Aggiungi autorizzazioni e modificale se necessario.
-
Controlla i tag e aggiungi i tag se necessario.
-
Scegliere Crea ruolo.
-
Hai creato il ruolo di servizio per AWS Clean Rooms.
Crea un ruolo di servizio per creare un'associazione di tabelle configurata
AWS Clean Rooms utilizza un ruolo di servizio per controllare chi può creare un'associazione di tabelle configurata. Puoi creare questo ruolo utilizzando la console se disponi delle autorizzazioni IAM necessarie. Se non disponi CreateRole
delle autorizzazioni, chiedi all'amministratore di creare il ruolo di servizio.
Questo ruolo ti consente di utilizzare l' CreateConfiguredTableAssociation azione.
Creare un ruolo di servizio che consenta la creazione di un'associazione di tabelle configurata
-
Accedi alla console IAM (https://console.aws.amazon.com/iam/
) con il tuo account amministratore. -
In Gestione accessi scegli Policy.
-
Seleziona Create Policy (Crea policy).
-
Nell'editor delle politiche, seleziona la scheda JSON, quindi copia e incolla la seguente politica.
Nota
La seguente politica di esempio supporta la creazione di un'associazione di tabelle configurata. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati di Amazon S3. Questa politica non include una chiave KMS per decrittografare i dati.
Le tue risorse Amazon S3 devono coincidere con quelle utilizzate per la Regione AWS collaborazione. AWS Clean Rooms
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "
KMS key used to encrypt the S3 data
", "Effect": "Allow" }, { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "S3 bucket of Glue table
", "Effect": "Allow" }, { "Action": "s3:GetObject", "Resource": "S3 bucket of Glue table
/*", "Effect": "Allow" }, { "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartitions", "glue:GetPartition", "glue:BatchGetPartition" ], "Resource": [ "arn:aws:glue:region
:accountID
:catalog", "arn:aws:glue:region
:accountID
:database/Glue database name
", "arn:aws:glue:region
:accountID
:table/Glue database name
/Glue table name
" ], "Effect": "Allow" }, { "Action": [ "glue:GetSchema", "glue:GetSchemaVersion" ], "Resource": "*", "Effect": "Allow" } ] } -
Sostituisci
placeholder
ognuna con le tue informazioni:-
KMS key used to encrypt the Amazon S3 data
— La chiave KMS utilizzata per crittografare i dati di Amazon S3. Per decrittografare i dati, devi fornire la stessa chiave KMS utilizzata per crittografare i dati. -
Amazon S3 bucket of AWS Glue table
— Il nome del bucket Amazon S3 che contiene la AWS Glue tabella che contiene i tuoi dati. -
region
: nome della Regione AWS. Ad esempious-east-1
. -
accountId
— L' Account AWS ID dell'account che possiede i dati. -
AWS Glue database name
— Il nome del AWS Glue database che contiene i tuoi dati. -
AWS Glue table name
— Il nome della AWS Glue tabella che contiene i dati.
-
-
Scegli Next (Successivo).
-
Per Revisione e creazione, inserisci il nome e la descrizione della politica e consulta il riepilogo.
-
Scegli Create Policy (Crea policy).
Hai creato una politica per AWS Clean Rooms.
-
In Access management (Gestione accessi), scegli Roles (Ruoli).
Con Roles, puoi creare credenziali a breve termine, operazione consigliata per una maggiore sicurezza. Puoi anche scegliere Utenti per creare credenziali a lungo termine.
-
Scegliere Crea ruolo.
-
Nella procedura guidata di creazione del ruolo, per il tipo di entità attendibile, scegli Criteri di attendibilità personalizzati.
-
Copia e incolla la seguente politica di fiducia personalizzata nell'editor JSON.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", } ] }
The
SourceAccount
is always your Account AWS TheSourceArn
può essere limitato a un set di dati di addestramento specifico, ma solo dopo la creazione di tale set di dati. Poiché non conosci ancora l'ARN del set di dati di addestramento, qui viene specificata la wildcard. -
Scegli Next (Successivo).
-
Seleziona la casella di controllo accanto al nome della policy che hai creato, quindi scegli Avanti.
-
Per Nome, revisione e creazione, inserisci il nome e la descrizione del ruolo.
Nota
Il nome del ruolo deve corrispondere allo schema delle
passRole
autorizzazioni concesse al membro che può interrogare e ricevere risultati e ruoli dei membri.-
Rivedi Seleziona entità attendibili e, se necessario, apporta le modifiche.
-
Controlla le autorizzazioni in Aggiungi autorizzazioni e modificale se necessario.
-
Controlla i tag e aggiungi i tag se necessario.
-
Scegliere Crea ruolo.
-
Hai creato il ruolo di servizio per AWS Clean Rooms.