翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Clean Rooms ML のサービスロールを設定する
類似モデリングの実行に必要なロールは、カスタムモデルを使用するために必要なロールとは異なります。以下のセクションでは、各タスクの実行に必要なロールについて説明します。
類似モデリングのサービスロールを設定する
トレーニングデータを読み取るサービスロールの作成
AWS Clean Rooms は、サービスロールを使用してトレーニングデータを読み取ります。必要な IAM アクセス許可がある場合には、コンソールを使用してこのロールを作成できます。CreateRole
アクセス許可がない場合は、管理者にサービスロールの作成を依頼してください。
データセットをトレーニングするサービスロールの作成
-
管理者アカウントを使用して、IAM コンソール (https://console.aws.amazon.com/iam/
) にサインインします。 -
[アクセス管理] で、[ポリシー] を選択します。
-
[Create policy] (ポリシーの作成) を選択します。
-
[ポリシーエディタ] で [JSON] タブを選択し、次のポリシーをコピーして貼り付けます。
注記
次のポリシー例では、 AWS Glue メタデータとその対応する Amazon S3 データを読み取るために必要なアクセス許可をサポートしています。ただし、S3 データの設定方法によっては、このポリシーを変更する必要が生じる場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。
AWS Glue リソースと基盤となる Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。
KMS キーを使用してデータを復号する必要がある場合、前のテンプレートに AWS KMS ステートメントを追加します。
{ "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": [ "arn:aws:kms:
region
:accountId
:key/keyId
" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders
*" } } } ] } -
各
プレースホルダー
を自分の情報に置き換えます。-
region
– AWS リージョンの名前。例えば、us-east-1
。 -
accountId
– S3 バケットがある AWS アカウント ID。 -
database/databases
、table/databases/tables
、Catalog
、およびdatabase/default
– アクセス AWS Clean Rooms する必要があるトレーニングデータの場所。 -
bucket
– S3 バケットの Amazon リソースネーム (ARN)。[Amazon リソースネーム (ARN)] は Amazon S3 のバケットの [プロパティ] タブにあります。
-
bucketFolders
– アクセス AWS Clean Rooms する必要がある S3 バケット内の特定のフォルダの名前。
-
-
[次へ] を選択します。
-
[確認して作成] で [ポリシー名] と [説明] を入力し、[概要] を確認します。
-
[Create policy] (ポリシーの作成) を選択します。
のポリシーを作成しました AWS Clean Rooms。
-
[アクセス管理] で、[ロール] を選択します。
[ロール] を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。[ユーザー] を選択して長期間の認証情報を作成することもできます。
-
[ロールの作成] を選択してください。
-
[ロールの作成] ウィザードの [信頼されたエンティティタイプ] で [カスタム信頼ポリシー] を選択します。
-
次のカスタム信頼ポリシーをコピーして JSON エディタに貼り付けます。
SourceAccount
は常にお客様のものです AWS アカウント。SourceArn
は特定のトレーニングデータセットに制限できますが、そのデータセットが作成された後に限られます。トレーニングデータセット ARN がまだわからないため、ワイルドカードはここで指定します。accountId
は、トレーニングデータを含む AWS アカウント の ID です。 -
[次へ] を選択し、[アクセス許可を追加] で、作成したポリシーの名前を入力します。(ページを再度読み込む必要がある場合があります)。
-
作成したポリシーの横にあるチェックボックスをオンにし、[次へ] を選択します。
-
[名前、確認、および作成] で、[ロール名] と [説明] を入力します。
注記
[ロール名] は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された
passRole
アクセス許可のパターンと一致している必要があります。-
[信頼されたエンティティを選択] を確認し、必要に応じて編集します。
-
[許可を追加] でアクセス許可を確認し、必要に応じて編集します。
-
[タグ] を確認し、必要に応じてタグを追加します。
-
[ロールの作成] を選択してください。
-
のサービスロールを作成しました AWS Clean Rooms。
サービスロールを作成して類似セグメントを書き込む
AWS Clean Rooms はサービスロールを使用して類似セグメントをバケットに書き込みます。必要な IAM アクセス許可がある場合には、コンソールを使用してこのロールを作成できます。CreateRole
アクセス許可がない場合は、管理者にサービスロールの作成を依頼してください。
サービスロールを作成して類似セグメントを書き込むには
-
管理者アカウントを使用して、IAM コンソール (https://console.aws.amazon.com/iam/
) にサインインします。 -
[アクセス管理] で、[ポリシー] を選択します。
-
[Create policy] (ポリシーの作成) を選択します。
-
[ポリシーエディタ] で [JSON] タブを選択し、次のポリシーをコピーして貼り付けます。
注記
次のポリシー例では、 AWS Glue メタデータとその対応する Amazon S3 データを読み取るために必要なアクセス許可をサポートしています。ただし、Amazon S3 データの設定方法によっては、このポリシーを変更する必要がある場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。
AWS Glue リソースと基盤となる Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。
KMS キーを使用してデータを暗号化する必要がある場合、テンプレートに、この AWS KMS ステートメントを追加します。
{ "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*", ], "Resource": [ "arn:aws:kms:
region
:accountId
:key/keyId
" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders
*" } } } ] } -
各
プレースホルダー
はお客様の情報に置き換えてください。-
buckets
– S3 バケットの Amazon リソースネーム (ARN)。[Amazon リソースネーム (ARN)] は Amazon S3 のバケットの [プロパティ] タブにあります。 -
accountId
– S3 バケットがある AWS アカウント ID。 -
bucketFolders
– アクセス AWS Clean Rooms する必要がある S3 バケット内の特定のフォルダの名前。 -
region
– AWS リージョンの名前。例えば、us-east-1
。 -
keyId
– データの暗号化に必要な KMS キー。
-
-
[次へ] を選択します。
-
[確認して作成] で [ポリシー名] と [説明] を入力し、[概要] を確認します。
-
[Create policy] (ポリシーの作成) を選択します。
のポリシーを作成しました AWS Clean Rooms。
-
[アクセス管理] で、[ロール] を選択します。
[ロール] を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。[ユーザー] を選択して長期間の認証情報を作成することもできます。
-
[ロールの作成] を選択してください。
-
[ロールの作成] ウィザードの [信頼されたエンティティタイプ] で [カスタム信頼ポリシー] を選択します。
-
次のカスタム信頼ポリシーをコピーして JSON エディタに貼り付けます。
SourceAccount
は常にお客様のものです AWS アカウント。SourceArn
は特定のトレーニングデータセットに制限できますが、そのデータセットが作成された後に限られます。トレーニングデータセット ARN がまだわからないため、ワイルドカードはここで指定します。 -
[次へ] を選択します。
-
作成したポリシーの横にあるチェックボックスをオンにし、[次へ] を選択します。
-
[名前、確認、および作成] で、[ロール名] と [説明] を入力します。
注記
[ロール名] は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された
passRole
アクセス許可のパターンと一致している必要があります。-
[信頼されたエンティティを選択] を確認し、必要に応じて編集します。
-
[許可を追加] でアクセス許可を確認し、必要に応じて編集します。
-
[タグ] を確認し、必要に応じてタグを追加します。
-
[ロールの作成] を選択してください。
-
のサービスロールを作成しました AWS Clean Rooms。
シードデータを読み取るサービスロールの作成
AWS Clean Rooms はサービスロールを使用してシードデータを読み取ります。必要な IAM アクセス許可がある場合には、コンソールを使用してこのロールを作成できます。CreateRole
アクセス許可がない場合は、管理者にサービスロールの作成を依頼してください。
S3 バケットに保存されているシードデータを読み取るサービスロールを作成するには。
-
管理者アカウントを使用して、IAM コンソール (https://console.aws.amazon.com/iam/
) にサインインします。 -
[アクセス管理] で、[ポリシー] を選択します。
-
[Create policy] (ポリシーの作成) を選択します。
-
[ポリシーエディタ] で [JSON] タブを選択し、次のいずれかのポリシーをコピーして貼り付けます。
注記
次のポリシー例では、 AWS Glue メタデータとその対応する Amazon S3 データを読み取るために必要なアクセス許可をサポートしています。ただし、Amazon S3 データの設定方法によっては、このポリシーを変更する必要がある場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。
AWS Glue リソースと基盤となる Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。
注記
次のポリシー例は、SQL クエリの結果を読み取って入力データとして使用するために必要なアクセス許可をサポートしています。ただし、クエリの構造によっては、このポリシーの変更が必要になる場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。
KMS キーを使用してデータを復号化する必要がある場合、テンプレートに AWS KMS ステートメントを追加します。
{ "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:
region
:accountId
:key/keyId
" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders
*" } } } ] } -
各
プレースホルダー
はお客様の情報に置き換えてください。-
buckets
– S3 バケットの Amazon リソースネーム (ARN)。[Amazon リソースネーム (ARN)] は Amazon S3 のバケットの [プロパティ] タブにあります。 -
accountId
– S3 バケットがある AWS アカウント ID。 -
bucketFolders
– アクセス AWS Clean Rooms する必要がある S3 バケット内の特定のフォルダの名前。 -
region
– AWS リージョンの名前。例えば、us-east-1
。 -
queryRunnerAccountId
– クエリを実行するアカウントの AWS アカウント ID。 -
queryRunnerMembershipId
– クエリできるメンバーのメンバーシップ ID。[メンバーシップ ID] はコラボレーションの [詳細] タブにあります。これにより、このメンバーがこのコラボレーションで分析を実行する場合にのみ、 AWS Clean Rooms がロールを引き受けるようになります。 -
keyId
– データの暗号化に必要な KMS キー。
-
-
[次へ] を選択します。
-
[確認して作成] で [ポリシー名] と [説明] を入力し、[概要] を確認します。
-
[Create policy] (ポリシーの作成) を選択します。
のポリシーを作成しました AWS Clean Rooms。
-
[アクセス管理] で、[ロール] を選択します。
[ロール] を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。[ユーザー] を選択して長期間の認証情報を作成することもできます。
-
[ロールの作成] を選択してください。
-
[ロールの作成] ウィザードの [信頼されたエンティティタイプ] で [カスタム信頼ポリシー] を選択します。
-
次のカスタム信頼ポリシーをコピーして JSON エディタに貼り付けます。
SourceAccount
は常にお客様のものです AWS アカウント。SourceArn
は特定のトレーニングデータセットに制限できますが、そのデータセットが作成された後に限られます。トレーニングデータセット ARN がまだわからないため、ワイルドカードはここで指定します。 -
[次へ] を選択します。
-
作成したポリシーの横にあるチェックボックスをオンにし、[次へ] を選択します。
-
[名前、確認、および作成] で、[ロール名] と [説明] を入力します。
注記
[ロール名] は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された
passRole
アクセス許可のパターンと一致している必要があります。-
[信頼されたエンティティを選択] を確認し、必要に応じて編集します。
-
[許可を追加] でアクセス許可を確認し、必要に応じて編集します。
-
[タグ] を確認し、必要に応じてタグを追加します。
-
[ロールの作成] を選択してください。
-
のサービスロールを作成しました AWS Clean Rooms。
カスタムモデリングのサービスロールを設定する
トピック
カスタム ML モデリングのサービスロールを作成する - ML 設定
AWS Clean Rooms はサービスロールを使用して、カスタム ML 設定を作成できるユーザーを制御します。必要な IAM アクセス許可がある場合には、コンソールを使用してこのロールを作成できます。CreateRole
アクセス許可がない場合は、管理者にサービスロールの作成を依頼してください。
このロールでは、PutMLConfiguration アクションを使用できます。
カスタム ML 設定の作成を許可するサービスロールを作成するには
-
管理者アカウントを使用して、IAM コンソール (https://console.aws.amazon.com/iam/
) にサインインします。 -
[アクセス管理] で、[ポリシー] を選択します。
-
[Create policy] (ポリシーの作成) を選択します。
-
[ポリシーエディタ] で [JSON] タブを選択し、次のポリシーをコピーして貼り付けます。
注記
次のポリシー例では、S3 バケットへのデータへのアクセスと書き込み、および CloudWatch メトリクスの発行に必要なアクセス許可をサポートしています。ただし、Amazon S3 データの設定方法によっては、このポリシーを変更する必要がある場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。
Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。
-
各
プレースホルダー
はお客様の情報に置き換えてください。-
bucket
– S3 バケットの Amazon リソースネーム (ARN)。[Amazon リソースネーム (ARN)] は Amazon S3 のバケットの [プロパティ] タブにあります。
-
region
– AWS リージョンの名前。例えば、us-east-1
。 -
accountId
– S3 バケットがある AWS アカウント ID。 -
keyId
– データの暗号化に必要な KMS キー。
-
-
[次へ] を選択します。
-
[確認して作成] で [ポリシー名] と [説明] を入力し、[概要] を確認します。
-
[Create policy] (ポリシーの作成) を選択します。
のポリシーを作成しました AWS Clean Rooms。
-
[アクセス管理] で、[ロール] を選択します。
[ロール] を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。[ユーザー] を選択して長期間の認証情報を作成することもできます。
-
[ロールの作成] を選択してください。
-
[ロールの作成] ウィザードの [信頼されたエンティティタイプ] で [カスタム信頼ポリシー] を選択します。
-
次のカスタム信頼ポリシーをコピーして JSON エディタに貼り付けます。
SourceAccount
は常にお客様のものです AWS アカウント。SourceArn
は特定のトレーニングデータセットに制限できますが、そのデータセットが作成された後に限られます。トレーニングデータセット ARN がまだわからないため、ワイルドカードはここで指定します。 -
[次へ] を選択します。
-
作成したポリシーの横にあるチェックボックスをオンにし、[次へ] を選択します。
-
[名前、確認、および作成] で、[ロール名] と [説明] を入力します。
注記
[ロール名] は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された
passRole
アクセス許可のパターンと一致している必要があります。-
[信頼されたエンティティを選択] を確認し、必要に応じて編集します。
-
[許可を追加] でアクセス許可を確認し、必要に応じて編集します。
-
[タグ] を確認し、必要に応じてタグを追加します。
-
[ロールの作成] を選択してください。
-
のサービスロールを作成しました AWS Clean Rooms。
カスタム ML モデルを提供するサービスロールを作成する
AWS Clean Rooms はサービスロールを使用して、カスタム ML モデルアルゴリズムを作成できるユーザーを制御します。必要な IAM アクセス許可がある場合には、コンソールを使用してこのロールを作成できます。CreateRole
アクセス許可がない場合は、管理者にサービスロールの作成を依頼してください。
このロールでは、CreateConfiguredModelAlgorithm アクションを使用できます。
メンバーがカスタム ML モデルを提供できるようにするサービスロールを作成するには
-
管理者アカウントを使用して、IAM コンソール (https://console.aws.amazon.com/iam/
) にサインインします。 -
[アクセス管理] で、[ポリシー] を選択します。
-
[Create policy] (ポリシーの作成) を選択します。
-
[ポリシーエディタ] で [JSON] タブを選択し、次のポリシーをコピーして貼り付けます。
注記
次のポリシー例では、モデルアルゴリズムを含む docker イメージを取得するために必要なアクセス許可をサポートしています。ただし、Amazon S3 データの設定方法によっては、このポリシーの変更が必要になる場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。
Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。
-
各
プレースホルダー
を自分の情報に置き換えます。-
region
– AWS リージョンの名前。例えば、us-east-1
。 -
accountId
– S3 バケットがある AWS アカウント ID。 -
repoName
– データを含むリポジトリの名前。
-
-
[次へ] を選択します。
-
[確認して作成] で [ポリシー名] と [説明] を入力し、[概要] を確認します。
-
[Create policy] (ポリシーの作成) を選択します。
のポリシーを作成しました AWS Clean Rooms。
-
[アクセス管理] で、[ロール] を選択します。
[ロール] を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。[ユーザー] を選択して長期間の認証情報を作成することもできます。
-
[ロールの作成] を選択してください。
-
[ロールの作成] ウィザードの [信頼されたエンティティタイプ] で [カスタム信頼ポリシー] を選択します。
-
次のカスタム信頼ポリシーをコピーして JSON エディタに貼り付けます。
SourceAccount
は常に です AWS アカウント 。 は特定のトレーニングデータセットに制限SourceArn
できますが、そのデータセットが作成された後にのみ制限されます。トレーニングデータセット ARN がまだわからないため、ワイルドカードはここで指定します。 -
[次へ] を選択します。
-
作成したポリシーの横にあるチェックボックスをオンにし、[次へ] を選択します。
-
[名前、確認、および作成] で、[ロール名] と [説明] を入力します。
注記
[ロール名] は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された
passRole
アクセス許可のパターンと一致している必要があります。-
[信頼されたエンティティを選択] を確認し、必要に応じて編集します。
-
[許可を追加] でアクセス許可を確認し、必要に応じて編集します。
-
[タグ] を確認し、必要に応じてタグを追加します。
-
[ロールの作成] を選択してください。
-
のサービスロールを作成しました AWS Clean Rooms。
データセットをクエリするサービスロールを作成する
AWS Clean Rooms は、サービスロールを使用して、カスタム ML モデリングに使用されるデータセットをクエリできるユーザーを制御します。必要な IAM アクセス許可がある場合には、コンソールを使用してこのロールを作成できます。CreateRole
アクセス許可がない場合は、管理者にサービスロールの作成を依頼してください。
このロールでは、CreateMLInputChannel アクションを使用できます。
メンバーがデータセットをクエリできるようにするサービスロールを作成するには
-
管理者アカウントを使用して、IAM コンソール (https://console.aws.amazon.com/iam/
) にサインインします。 -
[アクセス管理] で、[ポリシー] を選択します。
-
[Create policy] (ポリシーの作成) を選択します。
-
[ポリシーエディタ] で [JSON] タブを選択し、次のポリシーをコピーして貼り付けます。
注記
次のポリシー例では、カスタム ML モデリングに使用されるデータセットのクエリに必要なアクセス許可をサポートしています。ただし、Amazon S3 データの設定方法によっては、このポリシーの変更が必要になる場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。
Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。
-
各
プレースホルダー
を自分の情報に置き換えます。-
region
– AWS リージョンの名前。例えば、us-east-1
。 -
queryRunnerAccountId
– クエリを実行するアカウントの AWS アカウント ID。 -
queryRunnerMembershipId
– クエリできるメンバーのメンバーシップ ID。[メンバーシップ ID] はコラボレーションの [詳細] タブにあります。これにより、このメンバーがこのコラボレーションで分析を実行する場合にのみ、 AWS Clean Rooms がロールを引き受けるようになります。
-
-
[次へ] を選択します。
-
[確認して作成] で [ポリシー名] と [説明] を入力し、[概要] を確認します。
-
[Create policy] (ポリシーの作成) を選択します。
のポリシーを作成しました AWS Clean Rooms。
-
[アクセス管理] で、[ロール] を選択します。
[ロール] を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。[ユーザー] を選択して長期間の認証情報を作成することもできます。
-
[ロールの作成] を選択してください。
-
[ロールの作成] ウィザードの [信頼されたエンティティタイプ] で [カスタム信頼ポリシー] を選択します。
-
次のカスタム信頼ポリシーをコピーして JSON エディタに貼り付けます。
SourceAccount
は常に です AWS アカウント 。 は特定のトレーニングデータセットに制限SourceArn
できますが、そのデータセットが作成された後にのみ制限されます。トレーニングデータセット ARN がまだわからないため、ワイルドカードはここで指定します。 -
[次へ] を選択します。
-
作成したポリシーの横にあるチェックボックスをオンにし、[次へ] を選択します。
-
[名前、確認、および作成] で、[ロール名] と [説明] を入力します。
注記
[ロール名] は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された
passRole
アクセス許可のパターンと一致している必要があります。-
[信頼されたエンティティを選択] を確認し、必要に応じて編集します。
-
[許可を追加] でアクセス許可を確認し、必要に応じて編集します。
-
[タグ] を確認し、必要に応じてタグを追加します。
-
[ロールの作成] を選択してください。
-
のサービスロールを作成しました AWS Clean Rooms。
サービスロールを作成して、設定済みテーブルの関連付けを作成する
AWS Clean Rooms はサービスロールを使用して、設定済みテーブルの関連付けを作成できるユーザーを制御します。必要な IAM アクセス許可がある場合には、コンソールを使用してこのロールを作成できます。CreateRole
アクセス許可がない場合は、管理者にサービスロールの作成を依頼してください。
このロールでは、CreateConfiguredTableAssociation アクションを使用できます。
設定されたテーブルの関連付けの作成を許可するサービスロールを作成するには
-
管理者アカウントを使用して、IAM コンソール (https://console.aws.amazon.com/iam/
) にサインインします。 -
[アクセス管理] で、[ポリシー] を選択します。
-
[Create policy] (ポリシーの作成) を選択します。
-
[ポリシーエディタ] で [JSON] タブを選択し、次のポリシーをコピーして貼り付けます。
注記
次のポリシー例では、設定済みテーブルの関連付けの作成をサポートしています。ただし、Amazon S3 データの設定方法によっては、このポリシーの変更が必要になる場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。
Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。
プレースホルダーリソース ARNs
このポリシーを使用する場合は、プレースホルダーリソース識別子をリソースの実際の ARNs に置き換える必要があります。
-
AWS KMS キーリソース:
KMS-key-ID
をAmazon S3データを暗号化する実際の AWS KMS キー ID に置き換えます。キーは、 AWS Glue カタログリソースを所有するアカウント (111122223333) にある必要があります。 -
Amazon S3 バケットリソース:
bucket-name
を、 AWS Glue テーブルデータを含む Amazon S3 バケットの実際の名前に置き換えます。バケット名はグローバルに一意であるため、Amazon S3 バケット ARNs にはアカウント IDs が含まれないことに注意してください。 -
AWS Glue リソース: 次のプレースホルダーを実際のリソース名に置き換えます。
-
Glue データベース名
- AWS Glue データベースの名前 -
Glue テーブル名
- AWS Glue テーブルの名前
-
一貫したアクセス許可を確保するには、すべての AWS Glue リソース (カタログ、データベース、テーブル) が同じ AWS アカウント (111122223333) にある必要があります。このアカウントは、データ暗号化に使用される AWS KMS キーを所有するアカウントと同じにし、 AWS Clean Rooms データリソースの統合セキュリティ境界を作成する必要があります。
-
-
各
プレースホルダー
はお客様の情報に置き換えてください。-
Amazon S3 データの暗号化に使用される KMS キー
– Amazon S3 データの暗号化に使用された KMS キー。データを復号するには、データの暗号化に使用したのと同じ KMS キーを指定する必要があります。 -
AWS Glue テーブルの Amazon S3 バケット
– データを含む AWS Glue テーブルを含む Amazon S3 バケットの名前。 -
region
– AWS リージョンの名前。例えば、us-east-1
。 -
accountId
– データを所有するアカウントの AWS アカウント ID。 -
AWS Glue データベース名
– データを含む AWS Glue データベースの名前。 -
AWS Glue テーブル名
– データを含む AWS Glue テーブルの名前。
-
-
[次へ] を選択します。
-
[確認して作成] で [ポリシー名] と [説明] を入力し、[概要] を確認します。
-
[Create policy] (ポリシーの作成) を選択します。
のポリシーを作成しました AWS Clean Rooms。
-
[アクセス管理] で、[ロール] を選択します。
[ロール] を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。[ユーザー] を選択して長期間の認証情報を作成することもできます。
-
[ロールの作成] を選択してください。
-
[ロールの作成] ウィザードの [信頼されたエンティティタイプ] で [カスタム信頼ポリシー] を選択します。
-
次のカスタム信頼ポリシーをコピーして JSON エディタに貼り付けます。
SourceAccount
は常に です AWS アカウント 。 は特定のトレーニングデータセットに制限SourceArn
できますが、そのデータセットが作成された後にのみ制限されます。トレーニングデータセット ARN がまだわからないため、ワイルドカードはここで指定します。 -
[次へ] を選択します。
-
作成したポリシーの横にあるチェックボックスをオンにし、[次へ] を選択します。
-
[名前、確認、および作成] で、[ロール名] と [説明] を入力します。
注記
[ロール名] は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された
passRole
アクセス許可のパターンと一致している必要があります。-
[信頼されたエンティティを選択] を確認し、必要に応じて編集します。
-
[許可を追加] でアクセス許可を確認し、必要に応じて編集します。
-
[タグ] を確認し、必要に応じてタグを追加します。
-
[ロールの作成] を選択してください。
-
のサービスロールを作成しました AWS Clean Rooms。