Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Imposta i ruoli di servizio per AWS Clean Rooms
Argomenti
Crea un utente amministratore
Per utilizzarlo AWS Clean Rooms, è necessario creare un utente amministratore e aggiungere l'utente amministratore a un gruppo di amministratori.
Per creare un utente amministratore, scegli una delle seguenti opzioni.
Scelta di un modo per gestire il tuo amministratore | Per | Come | Puoi anche |
---|---|---|---|
In IAM Identity Center (Consigliato) |
Usa credenziali a breve termine per accedere a AWS. Ciò è in linea con le best practice per la sicurezza. Per informazioni sulle best practice, consulta Best practice per la sicurezza in IAM nella Guida per l'utente di IAM. |
Segui le istruzioni riportate in Nozioni di base nella Guida per l'utente di AWS IAM Identity Center . | Configura l'accesso programmatico configurando l'uso AWS IAM Identity Center nella AWS CLI Guida per l'utente.AWS Command Line Interface |
In IAM (Non consigliato) |
Usa credenziali a lungo termine per accedere a AWS. | Segui le istruzioni in Creazione del primo utente e gruppo di utenti IAM di amministrazione nella Guida per l'utente di IAM. | Configura l'accesso programmatico seguendo quanto riportato in Gestione delle chiavi di accesso per gli utenti IAM nella Guida per l'utente di IAM. |
Crea un ruolo IAM per un membro della collaborazione
Un membro è un AWS cliente che partecipa a una collaborazione.
Creare un ruolo IAM per un membro della collaborazione
-
Segui la procedura Creazione di un ruolo per delegare le autorizzazioni a una procedura utente IAM nella Guida per l'AWS Identity and Access Management utente.
-
Per la fase di creazione della policy, seleziona la scheda JSON nell'editor delle politiche, quindi aggiungi le politiche in base alle capacità concesse al membro della collaborazione.
AWS Clean Rooms offre le seguenti politiche gestite basate su casi d'uso comuni:
Se vuoi ... Quindi usa... Visualizza le risorse e i metadati AWS politica gestita: AWSCleanRoomsReadOnlyAccess Query AWS politica gestita: AWSCleanRoomsFullAccess Interroga e ricevi risultati AWS politica gestita: AWSCleanRoomsFullAccess Gestisci le risorse di collaborazione ma non interrogare AWS politica gestita: AWSCleanRoomsFullAccessNoQuerying Per informazioni sulle diverse politiche gestite offerte da AWS Clean Rooms, vedere AWS politiche gestite per AWS Clean Rooms
Creare un ruolo di servizio per leggere i dati
AWS Clean Rooms utilizza un ruolo di servizio per leggere i dati.
Esistono due modi per creare questo ruolo di servizio:
Se... | Allora |
---|---|
Disponi delle autorizzazioni IAM necessarie per creare un ruolo di servizio | Usa la AWS Clean Rooms console per creare un ruolo di servizio. |
Non disponi di oppure Vuoi creare i ruoli IAM manualmente |
Esegui una di queste operazioni:
|
Per creare un ruolo di servizio per leggere i dati
Nota
Tu o il tuo amministratore IAM dovreste seguire questa procedura solo se non disponete delle autorizzazioni necessarie per creare un ruolo di servizio utilizzando la AWS Clean Rooms console.
-
Segui la procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console) nella Guida per l'AWS Identity and Access Management utente.
-
Utilizza la seguente politica di fiducia personalizzata in base alla procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console).
Nota
Se desideri assicurarti che il ruolo possa essere utilizzato solo nel contesto di una determinata appartenenza alla collaborazione, puoi definire ulteriormente la politica di fiducia. Per ulteriori informazioni, consulta Prevenzione del problema "confused deputy" tra servizi.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RoleTrustPolicyForCleanRoomsService", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
Utilizza la seguente politica di autorizzazioni in base alla procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console).
Nota
La seguente policy di esempio supporta le autorizzazioni necessarie per leggere AWS Glue i metadati e i dati Amazon S3 corrispondenti. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati S3. Ad esempio, se hai impostato una chiave KMS personalizzata per i tuoi dati S3, potresti dover modificare questa politica con autorizzazioni aggiuntive. AWS KMS
AWS Glue Le tue risorse e le risorse Amazon S3 sottostanti devono essere le Regione AWS stesse della AWS Clean Rooms collaborazione.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "NecessaryGluePermissions", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "arn:aws:glue:
aws-region
:accountId
:database
/database
", "arn:aws:glue:aws-region
:accountId
:table
/table
", "arn:aws:glue:aws-region
:accountId
:catalog
" ] }, { "Effect": "Allow", "Action": [ "glue:GetSchema", "glue:GetSchemaVersion" ], "Resource": [ "*" ] }, { "Sid": "NecessaryS3BucketPermissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket
" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "s3BucketOwnerAccountId
" ] } } }, { "Sid": "NecessaryS3ObjectPermissions", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3::bucket
/prefix
/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "s3BucketOwnerAccountId
" ] } } } ] } -
Sostituisci ogni
segnaposto
con le tue informazioni. -
Continua a seguire la procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console) per creare il ruolo.
Crea un ruolo di servizio per ricevere risultati
Nota
Se sei il membro che può solo ricevere risultati (nella console, le tue abilità da membro sono solo Ricevi risultati), segui questa procedura.
Se sei un membro che può sia interrogare che ricevere risultati (nella console, le tue abilità di membro sono sia Query che Ricevi risultati), puoi saltare questa procedura.
Per i membri della collaborazione che possono solo ricevere risultati, AWS Clean Rooms utilizza un ruolo di servizio per scrivere i risultati dei dati interrogati nella collaborazione nel bucket Amazon S3 specificato.
Esistono due modi per creare questo ruolo di servizio:
Se... | Allora |
---|---|
Disponi delle autorizzazioni IAM necessarie per creare un ruolo di servizio | Usa la AWS Clean Rooms console per creare un ruolo di servizio. |
Non disponi di oppure Vuoi creare i ruoli IAM manualmente |
Esegui una di queste operazioni:
|
Creare un ruolo di servizio per ricevere risultati
Nota
Tu o il tuo amministratore IAM dovreste seguire questa procedura solo se non disponete delle autorizzazioni necessarie per creare un ruolo di servizio utilizzando la AWS Clean Rooms console.
-
Segui la procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console) nella Guida per l'AWS Identity and Access Management utente.
-
Utilizza la seguente politica di fiducia personalizzata in base alla procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console).
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIfExternalIdMatches", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "sts:ExternalId": "arn:aws:*:
region
:*:dbuser:*/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa
*" } } }, { "Sid": "AllowIfSourceArnMatches", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ForAnyValue:ArnEquals": { "aws:SourceArn": [ "arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa
" ] } } } ] } -
Utilizza la seguente politica di autorizzazioni in base alla procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console).
Nota
La seguente policy di esempio supporta le autorizzazioni necessarie per leggere AWS Glue i metadati e i dati Amazon S3 corrispondenti. Tuttavia, potrebbe essere necessario modificare questa politica a seconda di come hai configurato i dati S3.
AWS Glue Le tue risorse e le risorse Amazon S3 sottostanti devono essere le Regione AWS stesse della AWS Clean Rooms collaborazione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::
bucket_name
" ], "Condition": { "StringEquals": { "aws:ResourceAccount":"accountId
" } } }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket_name/optional_key_prefix/*
" ], "Condition": { "StringEquals": { "aws:ResourceAccount":"accountId
" } } } ] } -
Sostituisci ogni
segnaposto
con le tue informazioni:-
regione
: il nome di. Regione AWS Ad esempio,us-east-1
. -
A1B2C3D4-5678-90AB-CDEF-ExampleAAAAA
: l'ID di iscrizione del membro che può effettuare la richiesta. L'ID di iscrizione è disponibile nella scheda Dettagli della collaborazione. Ciò garantisce che AWS Clean Rooms assuma il ruolo solo quando questo membro esegue l'analisi nell'ambito di questa collaborazione. -
arn:aws:cleanrooms:us-east- 1:5555:membership/a1b2c3d4-5678-90ab-cdef-exampleAAAAA — L'ARN di appartenenza singolo del membro
che può eseguire la query. L'ARN di iscrizione è disponibile nella scheda Dettagli della collaborazione. Ciò garantisce AWS Clean Rooms che assuma il ruolo solo quando questo membro esegue l'analisi nell'ambito di questa collaborazione. -
bucket_name
— L'Amazon Resource Name (ARN) del bucket S3. L'Amazon Resource Name (ARN) è disponibile nella scheda Proprietà del bucket in Amazon S3. -
AccountID
: l' Account AWS ID in cui si trova il bucket S3.bucket_name/optional_key_prefix
— L'Amazon Resource Name (ARN) della destinazione dei risultati in S3. L'Amazon Resource Name (ARN) è disponibile nella scheda Proprietà del bucket in Amazon S3.
-
-
Continua a seguire la procedura Creazione di un ruolo utilizzando politiche di fiducia personalizzate (console) per creare il ruolo.