AWS Clean Rooms ML のサービスロールを設定する - AWS Clean Rooms
類似モデリングのサービスロールを設定するカスタムモデリングのサービスロールを設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Clean Rooms ML のサービスロールを設定する

類似モデリングの実行に必要なロールは、カスタムモデルを使用するために必要なロールとは異なります。以下のセクションでは、各タスクの実行に必要なロールについて説明します。

類似モデリングのサービスロールを設定する

トレーニングデータを読み取るサービスロールの作成

AWS Clean Rooms は、サービスロールを使用してトレーニングデータを読み取ります。必要な IAM アクセス許可がある場合には、コンソールを使用してこのロールを作成できます。CreateRole アクセス許可がない場合は、管理者にサービスロールの作成を依頼してください。

データセットをトレーニングするサービスロールの作成

  1. 管理者アカウントを使用して、IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. [アクセス管理] で、[ポリシー] を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [ポリシーエディタ][JSON] タブを選択し、次のポリシーをコピーして貼り付けます。

    注記

    次のポリシー例では、 AWS Glue メタデータとその対応する Amazon S3 データを読み取るために必要なアクセス許可をサポートしています。ただし、S3 データの設定方法によっては、このポリシーを変更する必要が生じる場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。

    AWS Glue リソースと基盤となる Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartitions",
                "glue:GetPartition",
                "glue:BatchGetPartition",
                "glue:GetUserDefinedFunctions"
            ],
            "Resource": [
                "arn:aws:glue:us-east-1:111122223333:database/databases",
                "arn:aws:glue:us-east-1:111122223333:table/databases/tables",
                "arn:aws:glue:us-east-1:111122223333:catalog",
                "arn:aws:glue:us-east-1:111122223333:database/default"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase"
            ],
            "Resource": [
                "arn:aws:glue:us-east-1:111122223333:database/default"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::bucket"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": [
                        "111122223333"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": [
                        "111122223333"
                    ]
                }
            }
        }
    ]
}

    KMS キーを使用してデータを復号する必要がある場合、前のテンプレートに AWS KMS ステートメントを追加します。

    {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
    ]
}

  5. プレースホルダーを自分の情報に置き換えます。

    • region – AWS リージョンの名前。例えば、us-east-1

    • accountId – S3 バケットがある AWS アカウント ID。

    • database/databasestable/databases/tablesCatalog、および database/default – アクセス AWS Clean Rooms する必要があるトレーニングデータの場所。

    • bucket – S3 バケットの Amazon リソースネーム (ARN)[Amazon リソースネーム (ARN)] は Amazon S3 のバケットの [プロパティ] タブにあります。

    • bucketFolders – アクセス AWS Clean Rooms する必要がある S3 バケット内の特定のフォルダの名前。

  6. [次へ] を選択します。

  7. [確認して作成][ポリシー名][説明] を入力し、[概要] を確認します。

  8. [Create policy] (ポリシーの作成) を選択します。

    のポリシーを作成しました AWS Clean Rooms。

  9. [アクセス管理] で、[ロール] を選択します。

    [ロール] を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。[ユーザー] を選択して長期間の認証情報を作成することもできます。

  10. [ロールの作成] を選択してください。

  11. [ロールの作成] ウィザードの [信頼されたエンティティタイプ][カスタム信頼ポリシー] を選択します。

  12. 次のカスタム信頼ポリシーをコピーして JSON エディタに貼り付けます。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": { 
                    "aws:SourceAccount": ["111122223333"]
                },
                "ArnLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:training-dataset/*"
                }
            }
        }
    ]
}

    SourceAccount は常にお客様のものです AWS アカウント。SourceArn は特定のトレーニングデータセットに制限できますが、そのデータセットが作成された後に限られます。トレーニングデータセット ARN がまだわからないため、ワイルドカードはここで指定します。

    accountId は、トレーニングデータを含む AWS アカウント の ID です。

  13. [次へ] を選択し、[アクセス許可を追加] で、作成したポリシーの名前を入力します。(ページを再度読み込む必要がある場合があります)。

  14. 作成したポリシーの横にあるチェックボックスをオンにし、[次へ] を選択します。

  15. [名前、確認、および作成] で、[ロール名][説明] を入力します。

    注記

    [ロール名] は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された passRole アクセス許可のパターンと一致している必要があります。

    1. [信頼されたエンティティを選択] を確認し、必要に応じて編集します。

    2. [許可を追加] でアクセス許可を確認し、必要に応じて編集します。

    3. [タグ] を確認し、必要に応じてタグを追加します。

    4. [ロールの作成] を選択してください。

のサービスロールを作成しました AWS Clean Rooms。

サービスロールを作成して類似セグメントを書き込む

AWS Clean Rooms はサービスロールを使用して類似セグメントをバケットに書き込みます。必要な IAM アクセス許可がある場合には、コンソールを使用してこのロールを作成できます。CreateRole アクセス許可がない場合は、管理者にサービスロールの作成を依頼してください。

サービスロールを作成して類似セグメントを書き込むには

  1. 管理者アカウントを使用して、IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. [アクセス管理] で、[ポリシー] を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [ポリシーエディタ][JSON] タブを選択し、次のポリシーをコピーして貼り付けます。

    注記

    次のポリシー例では、 AWS Glue メタデータとその対応する Amazon S3 データを読み取るために必要なアクセス許可をサポートしています。ただし、Amazon S3 データの設定方法によっては、このポリシーを変更する必要がある場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。

    AWS Glue リソースと基盤となる Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
    {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::buckets"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        }
  ]
}

    KMS キーを使用してデータを暗号化する必要がある場合、テンプレートに、この AWS KMS ステートメントを追加します。

    {
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey*",
                "kms:ReEncrypt*",
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
  ]
}

  5. プレースホルダーはお客様の情報に置き換えてください。

    • buckets – S3 バケットの Amazon リソースネーム (ARN)[Amazon リソースネーム (ARN)] は Amazon S3 のバケットの [プロパティ] タブにあります。

    • accountId – S3 バケットがある AWS アカウント ID。

    • bucketFolders – アクセス AWS Clean Rooms する必要がある S3 バケット内の特定のフォルダの名前。

    • region – AWS リージョンの名前。例えば、us-east-1

    • keyId – データの暗号化に必要な KMS キー。

  6. [次へ] を選択します。

  7. [確認して作成][ポリシー名][説明] を入力し、[概要] を確認します。

  8. [Create policy] (ポリシーの作成) を選択します。

    のポリシーを作成しました AWS Clean Rooms。

  9. [アクセス管理] で、[ロール] を選択します。

    [ロール] を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。[ユーザー] を選択して長期間の認証情報を作成することもできます。

  10. [ロールの作成] を選択してください。

  11. [ロールの作成] ウィザードの [信頼されたエンティティタイプ][カスタム信頼ポリシー] を選択します。

  12. 次のカスタム信頼ポリシーをコピーして JSON エディタに貼り付けます。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": { 
                    "aws:SourceAccount": ["111122223333"]

                },
                "ArnLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:configured-audience-model/*"
                }
            }
        }
    ]
}

    SourceAccount は常にお客様のものです AWS アカウント。SourceArn は特定のトレーニングデータセットに制限できますが、そのデータセットが作成された後に限られます。トレーニングデータセット ARN がまだわからないため、ワイルドカードはここで指定します。

  13. [次へ] を選択します。

  14. 作成したポリシーの横にあるチェックボックスをオンにし、[次へ] を選択します。

  15. [名前、確認、および作成] で、[ロール名][説明] を入力します。

    注記

    [ロール名] は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された passRole アクセス許可のパターンと一致している必要があります。

    1. [信頼されたエンティティを選択] を確認し、必要に応じて編集します。

    2. [許可を追加] でアクセス許可を確認し、必要に応じて編集します。

    3. [タグ] を確認し、必要に応じてタグを追加します。

    4. [ロールの作成] を選択してください。

のサービスロールを作成しました AWS Clean Rooms。

シードデータを読み取るサービスロールの作成

AWS Clean Rooms はサービスロールを使用してシードデータを読み取ります。必要な IAM アクセス許可がある場合には、コンソールを使用してこのロールを作成できます。CreateRole アクセス許可がない場合は、管理者にサービスロールの作成を依頼してください。

S3 バケットに保存されているシードデータを読み取るサービスロールを作成するには。

  1. 管理者アカウントを使用して、IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. [アクセス管理] で、[ポリシー] を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [ポリシーエディタ][JSON] タブを選択し、次のいずれかのポリシーをコピーして貼り付けます。

    注記

    次のポリシー例では、 AWS Glue メタデータとその対応する Amazon S3 データを読み取るために必要なアクセス許可をサポートしています。ただし、Amazon S3 データの設定方法によっては、このポリシーを変更する必要がある場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。

    AWS Glue リソースと基盤となる Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::buckets"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": [
                        "accountId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": [
                        "accountId"
                    ]
                }
            }
        }
    ]
}
    注記

    次のポリシー例は、SQL クエリの結果を読み取って入力データとして使用するために必要なアクセス許可をサポートしています。ただし、クエリの構造によっては、このポリシーの変更が必要になる場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCleanRoomsStartQuery",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaborationAnalysisTemplate",
                "cleanrooms:GetSchema",
                "cleanrooms:StartProtectedQuery"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCleanRoomsGetAndUpdateQuery",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetProtectedQuery",
                "cleanrooms:UpdateProtectedQuery"
            ],
            "Resource": [
                "arn:aws:cleanrooms:us-east-1:111122223333:membership/queryRunnerMembershipId"
            ]
        }
    ]
}

    KMS キーを使用してデータを復号化する必要がある場合、テンプレートに AWS KMS ステートメントを追加します。

    {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
  ]
}

  5. プレースホルダーはお客様の情報に置き換えてください。

    • buckets – S3 バケットの Amazon リソースネーム (ARN)[Amazon リソースネーム (ARN)] は Amazon S3 のバケットの [プロパティ] タブにあります。

    • accountId – S3 バケットがある AWS アカウント ID。

    • bucketFolders – アクセス AWS Clean Rooms する必要がある S3 バケット内の特定のフォルダの名前。

    • region – AWS リージョンの名前。例えば、us-east-1

    • queryRunnerAccountId – クエリを実行するアカウントの AWS アカウント ID。

    • queryRunnerMembershipId – クエリできるメンバーのメンバーシップ ID[メンバーシップ ID] はコラボレーションの [詳細] タブにあります。これにより、このメンバーがこのコラボレーションで分析を実行する場合にのみ、 AWS Clean Rooms がロールを引き受けるようになります。

    • keyId – データの暗号化に必要な KMS キー。

  6. [次へ] を選択します。

  7. [確認して作成][ポリシー名][説明] を入力し、[概要] を確認します。

  8. [Create policy] (ポリシーの作成) を選択します。

    のポリシーを作成しました AWS Clean Rooms。

  9. [アクセス管理] で、[ロール] を選択します。

    [ロール] を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。[ユーザー] を選択して長期間の認証情報を作成することもできます。

  10. [ロールの作成] を選択してください。

  11. [ロールの作成] ウィザードの [信頼されたエンティティタイプ][カスタム信頼ポリシー] を選択します。

  12. 次のカスタム信頼ポリシーをコピーして JSON エディタに貼り付けます。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": {
                    "aws:SourceAccount": ["111122223333"]

                },
                "ArnLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:audience-generation-job/*"
                }
            }
        }
    ]
}

    SourceAccount は常にお客様のものです AWS アカウント。SourceArn は特定のトレーニングデータセットに制限できますが、そのデータセットが作成された後に限られます。トレーニングデータセット ARN がまだわからないため、ワイルドカードはここで指定します。

  13. [次へ] を選択します。

  14. 作成したポリシーの横にあるチェックボックスをオンにし、[次へ] を選択します。

  15. [名前、確認、および作成] で、[ロール名][説明] を入力します。

    注記

    [ロール名] は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された passRole アクセス許可のパターンと一致している必要があります。

    1. [信頼されたエンティティを選択] を確認し、必要に応じて編集します。

    2. [許可を追加] でアクセス許可を確認し、必要に応じて編集します。

    3. [タグ] を確認し、必要に応じてタグを追加します。

    4. [ロールの作成] を選択してください。

のサービスロールを作成しました AWS Clean Rooms。

カスタムモデリングのサービスロールを設定する

カスタム ML モデリングのサービスロールを作成する - ML 設定

AWS Clean Rooms はサービスロールを使用して、カスタム ML 設定を作成できるユーザーを制御します。必要な IAM アクセス許可がある場合には、コンソールを使用してこのロールを作成できます。CreateRole アクセス許可がない場合は、管理者にサービスロールの作成を依頼してください。

このロールでは、PutMLConfiguration アクションを使用できます。

カスタム ML 設定の作成を許可するサービスロールを作成するには

  1. 管理者アカウントを使用して、IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. [アクセス管理] で、[ポリシー] を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [ポリシーエディタ][JSON] タブを選択し、次のポリシーをコピーして貼り付けます。

    注記

    次のポリシー例では、S3 バケットへのデータへのアクセスと書き込み、および CloudWatch メトリクスの発行に必要なアクセス許可をサポートしています。ただし、Amazon S3 データの設定方法によっては、このポリシーを変更する必要がある場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。

    Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowS3ObjectWriteForExport",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": [
                        "111122223333"
                    ]
                }
            }
        },
        {
            "Sid": "AllowS3KMSEncryptForExport",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey*"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:111122223333:key/keyId"
            ],
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket*"
                }
            }
        },
        {
            "Sid": "AllowCloudWatchMetricsPublishingForTrainingJobs",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringLike": {
                    "cloudwatch:namespace": "/aws/cleanroomsml/*"
                }
            }
        },
        {
            "Sid": "AllowCloudWatchLogsPublishingForTrainingOrInferenceJobs",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:/aws/cleanroomsml/*"
            ]
        }
    ]
}

  5. プレースホルダーはお客様の情報に置き換えてください。

    • bucket – S3 バケットの Amazon リソースネーム (ARN)[Amazon リソースネーム (ARN)] は Amazon S3 のバケットの [プロパティ] タブにあります。

    • region – AWS リージョンの名前。例えば、us-east-1

    • accountId – S3 バケットがある AWS アカウント ID。

    • keyId – データの暗号化に必要な KMS キー。

  6. [次へ] を選択します。

  7. [確認して作成][ポリシー名][説明] を入力し、[概要] を確認します。

  8. [Create policy] (ポリシーの作成) を選択します。

    のポリシーを作成しました AWS Clean Rooms。

  9. [アクセス管理] で、[ロール] を選択します。

    [ロール] を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。[ユーザー] を選択して長期間の認証情報を作成することもできます。

  10. [ロールの作成] を選択してください。

  11. [ロールの作成] ウィザードの [信頼されたエンティティタイプ][カスタム信頼ポリシー] を選択します。

  12. 次のカスタム信頼ポリシーをコピーして JSON エディタに貼り付けます。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:cleanrooms:us-east-1:111122223333:membership/membershipID"
                }
            }
        }
    ]
}

    SourceAccount は常にお客様のものです AWS アカウント。SourceArn は特定のトレーニングデータセットに制限できますが、そのデータセットが作成された後に限られます。トレーニングデータセット ARN がまだわからないため、ワイルドカードはここで指定します。

  13. [次へ] を選択します。

  14. 作成したポリシーの横にあるチェックボックスをオンにし、[次へ] を選択します。

  15. [名前、確認、および作成] で、[ロール名][説明] を入力します。

    注記

    [ロール名] は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された passRole アクセス許可のパターンと一致している必要があります。

    1. [信頼されたエンティティを選択] を確認し、必要に応じて編集します。

    2. [許可を追加] でアクセス許可を確認し、必要に応じて編集します。

    3. [タグ] を確認し、必要に応じてタグを追加します。

    4. [ロールの作成] を選択してください。

のサービスロールを作成しました AWS Clean Rooms。

カスタム ML モデルを提供するサービスロールを作成する

AWS Clean Rooms はサービスロールを使用して、カスタム ML モデルアルゴリズムを作成できるユーザーを制御します。必要な IAM アクセス許可がある場合には、コンソールを使用してこのロールを作成できます。CreateRole アクセス許可がない場合は、管理者にサービスロールの作成を依頼してください。

このロールでは、CreateConfiguredModelAlgorithm アクションを使用できます。

メンバーがカスタム ML モデルを提供できるようにするサービスロールを作成するには

  1. 管理者アカウントを使用して、IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. [アクセス管理] で、[ポリシー] を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [ポリシーエディタ][JSON] タブを選択し、次のポリシーをコピーして貼り付けます。

    注記

    次のポリシー例では、モデルアルゴリズムを含む docker イメージを取得するために必要なアクセス許可をサポートしています。ただし、Amazon S3 データの設定方法によっては、このポリシーの変更が必要になる場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。

    Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowECRImageDownloadForTrainingAndInferenceJobs",
            "Effect": "Allow",
            "Action": [
                "ecr:BatchGetImage",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer"
            ],
            "Resource": "arn:aws:ecr:us-east-1:111122223333:repository/repoName"
        }
    ]
}

  5. プレースホルダーを自分の情報に置き換えます。

    • region – AWS リージョンの名前。例えば、us-east-1

    • accountId – S3 バケットがある AWS アカウント ID。

    • repoName – データを含むリポジトリの名前。

  6. [次へ] を選択します。

  7. [確認して作成][ポリシー名][説明] を入力し、[概要] を確認します。

  8. [Create policy] (ポリシーの作成) を選択します。

    のポリシーを作成しました AWS Clean Rooms。

  9. [アクセス管理] で、[ロール] を選択します。

    [ロール] を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。[ユーザー] を選択して長期間の認証情報を作成することもできます。

  10. [ロールの作成] を選択してください。

  11. [ロールの作成] ウィザードの [信頼されたエンティティタイプ][カスタム信頼ポリシー] を選択します。

  12. 次のカスタム信頼ポリシーをコピーして JSON エディタに貼り付けます。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    SourceAccount は常に です AWS アカウント 。 は特定のトレーニングデータセットに制限SourceArnできますが、そのデータセットが作成された後にのみ制限されます。トレーニングデータセット ARN がまだわからないため、ワイルドカードはここで指定します。

  13. [次へ] を選択します。

  14. 作成したポリシーの横にあるチェックボックスをオンにし、[次へ] を選択します。

  15. [名前、確認、および作成] で、[ロール名][説明] を入力します。

    注記

    [ロール名] は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された passRole アクセス許可のパターンと一致している必要があります。

    1. [信頼されたエンティティを選択] を確認し、必要に応じて編集します。

    2. [許可を追加] でアクセス許可を確認し、必要に応じて編集します。

    3. [タグ] を確認し、必要に応じてタグを追加します。

    4. [ロールの作成] を選択してください。

のサービスロールを作成しました AWS Clean Rooms。

データセットをクエリするサービスロールを作成する

AWS Clean Rooms は、サービスロールを使用して、カスタム ML モデリングに使用されるデータセットをクエリできるユーザーを制御します。必要な IAM アクセス許可がある場合には、コンソールを使用してこのロールを作成できます。CreateRole アクセス許可がない場合は、管理者にサービスロールの作成を依頼してください。

このロールでは、CreateMLInputChannel アクションを使用できます。

メンバーがデータセットをクエリできるようにするサービスロールを作成するには

  1. 管理者アカウントを使用して、IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. [アクセス管理] で、[ポリシー] を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [ポリシーエディタ][JSON] タブを選択し、次のポリシーをコピーして貼り付けます。

    注記

    次のポリシー例では、カスタム ML モデリングに使用されるデータセットのクエリに必要なアクセス許可をサポートしています。ただし、Amazon S3 データの設定方法によっては、このポリシーの変更が必要になる場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。

    Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCleanRoomsStartQueryForMLInputChannel",
            "Effect": "Allow",
            "Action": "cleanrooms:StartProtectedQuery",
            "Resource": "*"
        },
        {
            "Sid": "AllowCleanroomsGetSchemaAndGetAnalysisTemplateForMLInputChannel",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetSchema",
                "cleanrooms:GetCollaborationAnalysisTemplate"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCleanRoomsGetAndUpdateQueryForMLInputChannel",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetProtectedQuery",
                "cleanrooms:UpdateProtectedQuery"
            ],
            "Resource": [
                "arn:aws:cleanrooms:us-east-1:111122223333:membership/queryRunnerMembershipId"
            ]
        }
    ]
}

  5. プレースホルダーを自分の情報に置き換えます。

    • region – AWS リージョンの名前。例えば、us-east-1

    • queryRunnerAccountId – クエリを実行するアカウントの AWS アカウント ID。

    • queryRunnerMembershipId – クエリできるメンバーのメンバーシップ ID[メンバーシップ ID] はコラボレーションの [詳細] タブにあります。これにより、このメンバーがこのコラボレーションで分析を実行する場合にのみ、 AWS Clean Rooms がロールを引き受けるようになります。

  6. [次へ] を選択します。

  7. [確認して作成][ポリシー名][説明] を入力し、[概要] を確認します。

  8. [Create policy] (ポリシーの作成) を選択します。

    のポリシーを作成しました AWS Clean Rooms。

  9. [アクセス管理] で、[ロール] を選択します。

    [ロール] を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。[ユーザー] を選択して長期間の認証情報を作成することもできます。

  10. [ロールの作成] を選択してください。

  11. [ロールの作成] ウィザードの [信頼されたエンティティタイプ][カスタム信頼ポリシー] を選択します。

  12. 次のカスタム信頼ポリシーをコピーして JSON エディタに貼り付けます。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    SourceAccount は常に です AWS アカウント 。 は特定のトレーニングデータセットに制限SourceArnできますが、そのデータセットが作成された後にのみ制限されます。トレーニングデータセット ARN がまだわからないため、ワイルドカードはここで指定します。

  13. [次へ] を選択します。

  14. 作成したポリシーの横にあるチェックボックスをオンにし、[次へ] を選択します。

  15. [名前、確認、および作成] で、[ロール名][説明] を入力します。

    注記

    [ロール名] は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された passRole アクセス許可のパターンと一致している必要があります。

    1. [信頼されたエンティティを選択] を確認し、必要に応じて編集します。

    2. [許可を追加] でアクセス許可を確認し、必要に応じて編集します。

    3. [タグ] を確認し、必要に応じてタグを追加します。

    4. [ロールの作成] を選択してください。

のサービスロールを作成しました AWS Clean Rooms。

サービスロールを作成して、設定済みテーブルの関連付けを作成する

AWS Clean Rooms はサービスロールを使用して、設定済みテーブルの関連付けを作成できるユーザーを制御します。必要な IAM アクセス許可がある場合には、コンソールを使用してこのロールを作成できます。CreateRole アクセス許可がない場合は、管理者にサービスロールの作成を依頼してください。

このロールでは、CreateConfiguredTableAssociation アクションを使用できます。

設定されたテーブルの関連付けの作成を許可するサービスロールを作成するには

  1. 管理者アカウントを使用して、IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. [アクセス管理] で、[ポリシー] を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [ポリシーエディタ][JSON] タブを選択し、次のポリシーをコピーして貼り付けます。

    注記

    次のポリシー例では、設定済みテーブルの関連付けの作成をサポートしています。ただし、Amazon S3 データの設定方法によっては、このポリシーの変更が必要になる場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。

    Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/KMS-key-ID",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::bucket-name",
            "Effect": "Allow"
        },
        {
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::bucket-name/*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartitions",
                "glue:GetPartition",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:us-east-1:111122223333:catalog",
                "arn:aws:glue:us-east-1:111122223333:database/Glue database name",
                "arn:aws:glue:us-east-1:111122223333:table/Glue database name/Glue table name"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "glue:GetSchema",
                "glue:GetSchemaVersion"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}
    プレースホルダーリソース ARNs

    このポリシーを使用する場合は、プレースホルダーリソース識別子をリソースの実際の ARNs に置き換える必要があります。

    • AWS KMS キーリソース: KMS-key-ID をAmazon S3データを暗号化する実際の AWS KMS キー ID に置き換えます。キーは、 AWS Glue カタログリソースを所有するアカウント (111122223333) にある必要があります。

    • Amazon S3 バケットリソース: bucket-name を、 AWS Glue テーブルデータを含む Amazon S3 バケットの実際の名前に置き換えます。バケット名はグローバルに一意であるため、Amazon S3 バケット ARNs にはアカウント IDs が含まれないことに注意してください。

    • AWS Glue リソース: 次のプレースホルダーを実際のリソース名に置き換えます。

      • Glue データベース名 - AWS Glue データベースの名前

      • Glue テーブル名 - AWS Glue テーブルの名前

    一貫したアクセス許可を確保するには、すべての AWS Glue リソース (カタログ、データベース、テーブル) が同じ AWS アカウント (111122223333) にある必要があります。このアカウントは、データ暗号化に使用される AWS KMS キーを所有するアカウントと同じにし、 AWS Clean Rooms データリソースの統合セキュリティ境界を作成する必要があります。

  5. プレースホルダーはお客様の情報に置き換えてください。

    • Amazon S3 データの暗号化に使用される KMS キー – Amazon S3 データの暗号化に使用された KMS キー。データを復号するには、データの暗号化に使用したのと同じ KMS キーを指定する必要があります。

    • AWS Glue テーブルの Amazon S3 バケット – データを含む AWS Glue テーブルを含む Amazon S3 バケットの名前。

    • region – AWS リージョンの名前。例えば、us-east-1

    • accountId – データを所有するアカウントの AWS アカウント ID。

    • AWS Glue データベース名 – データを含む AWS Glue データベースの名前。

    • AWS Glue テーブル名 – データを含む AWS Glue テーブルの名前。

  6. [次へ] を選択します。

  7. [確認して作成][ポリシー名][説明] を入力し、[概要] を確認します。

  8. [Create policy] (ポリシーの作成) を選択します。

    のポリシーを作成しました AWS Clean Rooms。

  9. [アクセス管理] で、[ロール] を選択します。

    [ロール] を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。[ユーザー] を選択して長期間の認証情報を作成することもできます。

  10. [ロールの作成] を選択してください。

  11. [ロールの作成] ウィザードの [信頼されたエンティティタイプ][カスタム信頼ポリシー] を選択します。

  12. 次のカスタム信頼ポリシーをコピーして JSON エディタに貼り付けます。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    SourceAccount は常に です AWS アカウント 。 は特定のトレーニングデータセットに制限SourceArnできますが、そのデータセットが作成された後にのみ制限されます。トレーニングデータセット ARN がまだわからないため、ワイルドカードはここで指定します。

  13. [次へ] を選択します。

  14. 作成したポリシーの横にあるチェックボックスをオンにし、[次へ] を選択します。

  15. [名前、確認、および作成] で、[ロール名][説明] を入力します。

    注記

    [ロール名] は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された passRole アクセス許可のパターンと一致している必要があります。

    1. [信頼されたエンティティを選択] を確認し、必要に応じて編集します。

    2. [許可を追加] でアクセス許可を確認し、必要に応じて編集します。

    3. [タグ] を確認し、必要に応じてタグを追加します。

    4. [ロールの作成] を選択してください。

のサービスロールを作成しました AWS Clean Rooms。