IAM AWS Clean Rooms ML の動作 - AWS Clean Rooms
クロスアカウントジョブジョブのタグ付け共同作業者の検証クロスアカウントアクセス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM AWS Clean Rooms ML の動作

クロスアカウントジョブ

Clean Rooms ML では、ある が作成した特定のリソース AWS アカウント に、別の が自分のアカウントで安全にアクセスできるようになります AWS アカウント。 AWS アカウント A のクライアントが AWS アカウント B が所有するConfiguredAudienceModelリソースStartAudienceGenerationJobで を呼び出すと、クリーンルーム ML はジョブARNs用に 2 つを作成します。1 つは AWS アカウント A ARNに、もう 1 つは AWS アカウント B にあります。ARNs は、 を除いて同じです AWS アカウント。

Clean Rooms ML は、両方のアカウントがジョブに独自のIAMポリシーを適用できるように、ジョブARNs用に 2 つの を作成します。例えば、両方のアカウントでタグベースのアクセスコントロールを使用し、 AWS 組織からのポリシーを適用できます。ジョブは両方のアカウントのデータを処理するため、どちらのアカウントでもジョブとそれに関連するデータを削除できます。どちらのアカウントも、もう一方のアカウントによるジョブの削除をブロックすることはできません。

ジョブの実行は 1 つだけで、どちらのアカウントも ListAudienceGenerationJobs を呼び出してジョブを確認できます。どちらのアカウントもGet、自分の AWS アカウント ID ARNを持つ を使用して、ジョブExportAPIsで Delete、、 を呼び出すことができます。

他の AWS アカウント ID ARNで を使用する場合、 はジョブにアクセス AWS アカウント できません。

ジョブの名前は AWS アカウント内で一意である必要があります。 AWS アカウント B の名前は です。$accountA-$name。 AWS アカウント A で選択された名前は、ジョブが AWS アカウント B で表示されるときに A のプレフィックスが付けられ AWS アカウント ます。

クロスアカウントStartAudienceGenerationJobを成功させるには、 AWS アカウント B で次の例のようなリソースポリシーを使用して、 AWS アカウント B の新しいジョブと AWS アカウント B ConfiguredAudienceModelの の両方でそのアクションを許可する必要があります。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Clean-Rooms-<CAMA ID>",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "accountA" 
                ]
            },
            "Action": [
                "cleanrooms-ml:StartAudienceGenerationJob"
            ],
            "Resource": [
                "arn:aws:cleanrooms-ml:us-west-1:AccountB:configured-audience-model/id",
                "arn:aws:cleanrooms-ml:us-west-1:AccountB:audience-generation-job/*"
            ],
            // optional - always set by AWS Clean Rooms
"Condition":{"StringEquals":{"cleanrooms-ml:CollaborationId":"UUID"}}
        }
    ]
}

AWS Clean Rooms ML API を使用して、 を true manageResourcePoliciesに設定して設定された類似モデルを作成する場合、 はこのポリシー AWS Clean Rooms を作成します。

さらに、A の発信者の ID AWS アカウント ポリシーには、 に対するアクセスStartAudienceGenerationJob許可が必要ですarn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/*。そのため、アクション には、A ジョブ、 AWS アカウント B StartAudienceGenerationJob AWS アカウント ジョブ、B の AWS アカウント 3 つのIAMリソースがありますConfiguredAudienceModel

警告

ジョブ AWS アカウント を開始した は、ジョブに関する AWS CloudTrail 監査ログイベントを受け取ります。ConfiguredAudienceModel を所有する AWS CloudTrail は AWS アカウント 監査ログイベントを受信しません。

ジョブのタグ付け

CreateConfiguredAudienceModelchildResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE パラメータを設定すると、設定した類似モデルから作成されたアカウント内のすべての類似セグメント生成ジョブには、設定した類似モデルと同じタグがデフォルトで割り当てられます。設定した類似モデルが親で、類似セグメント生成ジョブが子です。

自身のアカウント内でジョブを作成する場合、ジョブのリクエストタグは親タグよりも優先されます。他のアカウントが作成したジョブが、自身のアカウントにタグを作成することはありません。childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE を設定し、別のアカウントでジョブを作成した場合、そのジョブのコピーは 2 つあります。アカウントのコピーには親リソースタグが付けられ、ジョブ送信者のアカウントのコピーにはリクエストのタグが付けられます。

共同作業者の検証

AWS Clean Rooms コラボレーションの他のメンバーにアクセス許可を付与する場合、リソースポリシーには条件キー を含める必要がありますcleanrooms-ml:CollaborationId。これにより、 collaborationIdパラメータがStartAudienceGenerationJobリクエストに含まれていることが強制されます。collaborationId パラメータがリクエストに含まれると、Clean Rooms ML はコラボレーションが存在すること、ジョブ送信者がコラボレーションのアクティブなメンバーであること、設定された類似モデル所有者がコラボレーションのアクティブなメンバーであることを検証します。

が設定された類似モデルリソースポリシー AWS Clean Rooms を管理する場合 ( manageResourcePoliciesパラメータはCreateConfiguredAudienceModelAssociation リクエスト TRUE にあります)、この条件キーはリソースポリシーで設定されます。したがって、 collaborationIdで を指定する必要がありますStartAudienceGenerationJob

クロスアカウントアクセス

アカウント間で呼び出せるのは StartAudienceGenerationJob のみです。他のすべての Clean Rooms ML は、自分のアカウントのリソースでのみAPIs使用できます。これにより、トレーニングデータ、類似モデルの設定、その他の情報は非公開のままになります。

クリーンルーム ML は、アカウント間で Amazon S3 または AWS Glue ロケーションを公開しません。トレーニングデータの場所、設定済みの類似モデルの出力場所、および類似セグメント生成ジョブシードの場所は、どのアカウントでも表示されません。コラボレーションでクエリログ記録が有効になっていない限り、シードデータがSQLクエリから取得され、クエリ自体がアカウント間で表示されないかどうかは関係ありません。別のアカウントが送信したオーディエンス生成ジョブを Get した場合、サービスにはシードロケーションは表示されません。