翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS の マネージドポリシー AWS Clean Rooms
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースに対するアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールへのアクセス許可の割り当てを開始できます。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) が更新されます。 AWS は、新しい AWS のサービス が起動されたとき、または既存のサービスで新しい API オペレーションが使用可能になったときに、 AWS 管理ポリシーを更新する可能性が最も高くなります。
詳細については、「IAM ユーザーガイド」の「AWS 管理ポリシー」を参照してください。
AWS マネージドポリシー: AWSCleanRoomsReadOnlyAccess
AWSCleanRoomsReadOnlyAccess
をIAM プリンシパルにアタッチできます。
このポリシーは、AWSCleanRoomsReadOnlyAccess
コラボレーションのリソースとメタデータへの読み取り専用のアクセス許可を付与します。
許可の詳細
このポリシーには、以下の許可が含まれています。
-
CleanRoomsRead
- プリンシパルにサービスへの読み取り専用アクセスを許可します。 -
ConsoleDisplayTables
— プリンシパルが、基盤となる AWS Glue テーブルに関するデータをコンソールに表示するために必要な AWS Glue メタデータに読み取り専用でアクセスできるようにします。 -
ConsoleLogSummaryQueryLogs
- プリンシパルにクエリログの閲覧を許可します。 -
ConsoleLogSummaryObtainLogs
- プリンシパルにログ結果の取得を許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsRead", "Effect": "Allow", "Action": [ "cleanrooms:BatchGet*", "cleanrooms:Get*", "cleanrooms:List*" ], "Resource": "*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "ConsoleLogSummaryQueryLogs", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*" }, { "Sid": "ConsoleLogSummaryObtainLogs", "Effect": "Allow", "Action": [ "logs:GetQueryResults" ], "Resource": "*" } ] }
AWS マネージドポリシー: AWSCleanRoomsFullAccess
AWSCleanRoomsFullAccess
をIAM プリンシパルにアタッチできます。
このポリシーは、 AWS Clean Rooms コラボレーションのリソースとメタデータへのフルアクセス (読み取り、書き込み、更新) を許可する管理アクセス許可を付与します。このポリシーには、クエリを実行するためのアクセス許可が含まれています。
許可の詳細
このポリシーには、以下の許可が含まれています。
-
CleanRoomsAccess
– のすべてのリソースに対するすべてのアクションへのフルアクセスを許可します AWS Clean Rooms。 -
PassServiceRole
- 名前に「cleanrooms」が含まれるサービスのみにサービスロールを渡すためのアクセス許可 (PassedToService
条件) を付与します。 -
ListRolesToPickServiceRole
– プリンシパルが を使用するときにサービスロールを選択できるように、すべてのロールを一覧表示できるようにします AWS Clean Rooms。 -
GetRoleAndListRolePoliciesToInspectServiceRole
- IAM のサービスロールと対応するポリシーを表示することをプリンシパルに許可します。 -
ListPoliciesToInspectServiceRolePolicy
- IAM のサービスロールと対応するポリシーを表示することをプリンシパルに許可します。 -
GetPolicyToInspectServiceRolePolicy
- IAM のサービスロールと対応するポリシーを表示することをプリンシパルに許可します。 -
ConsoleDisplayTables
— プリンシパルが、基盤となる AWS Glue テーブルに関するデータをコンソールに表示するために必要な AWS Glue メタデータに読み取り専用でアクセスできるようにします。 -
ConsolePickQueryResultsBucketListAll
- 使用可能なすべての Amazon S3 バケットのリストから、クエリ結果を書き込む S3 バケットを選択することをプリンシパルに許可します。 -
SetQueryResultsBucket
– クエリ結果を書き込む S3 バケットを選択することをプリンシパルに許可します。 -
ConsoleDisplayQueryResults
– S3 バケットから読み取ったクエリ結果を顧客に示すことをプリンシパルに許可します。 -
WriteQueryResults
– クエリ結果を顧客所有の S3 バケットに書き込むことをプリンシパルに許可します。 -
EstablishLogDeliveries
— プリンシパルがクエリログを顧客の Amazon CloudWatch Logs ロググループに配信できるようにします。 -
SetupLogGroupsDescribe
— プリンシパルが Amazon CloudWatch Logs ロググループの作成プロセスを使用できるようにします。 -
SetupLogGroupsCreate
— プリンシパルが Amazon CloudWatch Logs ロググループを作成できるようにします。 -
SetupLogGroupsResourcePolicy
— プリンシパルが Amazon CloudWatch Logs ロググループにリソースポリシーを設定できるようにします。 -
ConsoleLogSummaryQueryLogs
- プリンシパルにクエリログの閲覧を許可します。 -
ConsoleLogSummaryObtainLogs
- プリンシパルにログ結果の取得を許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsAccess", "Effect": "Allow", "Action": [ "cleanrooms:*" ], "Resource": "*" }, { "Sid": "PassServiceRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*", "Condition": { "StringEquals": { "iam:PassedToService": "cleanrooms.amazonaws.com" } } }, { "Sid": "ListRolesToPickServiceRole", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GetRoleAndListRolePoliciesToInspectServiceRole", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*" }, { "Sid": "ListPoliciesToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "GetPolicyToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:GetPolicy", "iam:GetPolicyVersion" ], "Resource": "arn:aws:iam::*:policy/*cleanrooms*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "ConsolePickQueryResultsBucketListAll", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "SetQueryResultsBucket", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucketVersions" ], "Resource": "arn:aws:s3:::cleanrooms-queryresults*" }, { "Sid": "WriteQueryResults", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:PutObject" ], "Resource": "arn:aws:s3:::cleanrooms-queryresults*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "ConsoleDisplayQueryResults", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::cleanrooms-queryresults*" }, { "Sid": "EstablishLogDeliveries", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsDescribe", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsCreate", "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsResourcePolicy", "Effect": "Allow", "Action": [ "logs:DescribeResourcePolicies", "logs:PutResourcePolicy" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "ConsoleLogSummaryQueryLogs", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*" }, { "Sid": "ConsoleLogSummaryObtainLogs", "Effect": "Allow", "Action": [ "logs:GetQueryResults" ], "Resource": "*" } ] }
AWS マネージドポリシー: AWSCleanRoomsFullAccessNoQuerying
IAM
principals に AWSCleanRoomsFullAccessNoQuerying
をアタッチできます。
このポリシーは、 AWS Clean Rooms コラボレーションのリソースとメタデータへのフルアクセス (読み取り、書き込み、更新) を許可する管理アクセス許可を付与します。このポリシーでは、クエリを実行するためのアクセス許可は除外されます。
許可の詳細
このポリシーには、以下の許可が含まれています。
-
CleanRoomsAccess
– コラボレーションでのクエリを除く AWS Clean Rooms、 のすべてのリソースに対するすべてのアクションへのフルアクセスを許可します。 -
CleanRoomsNoQuerying
–StartProtectedQuery
とUpdateProtectedQuery
を明示的に拒否し、クエリを禁止します。 -
PassServiceRole
- 名前に「cleanrooms」が含まれるサービスのみにサービスロールを渡すためのアクセス許可 (PassedToService
条件) を付与します。 -
ListRolesToPickServiceRole
– プリンシパルが を使用するときにサービスロールを選択できるように、すべてのロールを一覧表示できるようにします AWS Clean Rooms。 -
GetRoleAndListRolePoliciesToInspectServiceRole
- IAM のサービスロールと対応するポリシーを表示することをプリンシパルに許可します。 -
ListPoliciesToInspectServiceRolePolicy
- IAM のサービスロールと対応するポリシーを表示することをプリンシパルに許可します。 -
GetPolicyToInspectServiceRolePolicy
- IAM のサービスロールと対応するポリシーを表示することをプリンシパルに許可します。 -
ConsoleDisplayTables
— プリンシパルが、基盤となる AWS Glue テーブルに関するデータをコンソールに表示するために必要な AWS Glue メタデータに読み取り専用でアクセスできるようにします。 -
EstablishLogDeliveries
— プリンシパルがクエリログを顧客の Amazon CloudWatch Logs ロググループに配信できるようにします。 -
SetupLogGroupsDescribe
— プリンシパルが Amazon CloudWatch Logs ロググループの作成プロセスを使用できるようにします。 -
SetupLogGroupsCreate
— プリンシパルが Amazon CloudWatch Logs ロググループを作成できるようにします。 -
SetupLogGroupsResourcePolicy
— プリンシパルが Amazon CloudWatch Logs ロググループにリソースポリシーを設定できるようにします。 -
ConsoleLogSummaryQueryLogs
- プリンシパルにクエリログの閲覧を許可します。 -
ConsoleLogSummaryObtainLogs
- プリンシパルにログ結果の取得を許可します。 -
cleanrooms
– サービス内のコラボレーション、分析テンプレート、設定済みテーブル、メンバーシップ、関連リソースを管理します AWS Clean Rooms 。これらのリソースに関する情報の作成、更新、削除、一覧表示、取得など、さまざまなオペレーションを実行します。 -
iam
–cleanrooms
「」を含む名前のサービスロールを AWS Clean Rooms サービスに渡します。ロール、ポリシーを一覧表示し、サービスに関連する AWS Clean Rooms サービスロールとポリシーを検査します。 -
glue
– データベース、テーブル、パーティション、スキーマに関する情報を から取得します AWS Glue。これは、 AWS Clean Rooms サービスが基盤となるデータソースを表示して操作するために必要です。 -
logs
– CloudWatch Logs のログ配信、ロググループ、およびリソースポリシーを管理します。 AWS Clean Rooms サービスに関連するログをクエリして取得します。これらのアクセス許可は、サービス内のモニタリング、監査、トラブルシューティングの目的で必要です。
また、このポリシーは、アクション cleanrooms:StartProtectedQuery
および を明示的に拒否cleanrooms:UpdateProtectedQuery
し、ユーザーが保護されたクエリを直接実行または更新できないようにします。これは、制御された AWS Clean Rooms メカニズムを通じて実行する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsAccess", "Effect": "Allow", "Action": [ "cleanrooms:BatchGetCollaborationAnalysisTemplate", "cleanrooms:BatchGetSchema", "cleanrooms:BatchGetSchemaAnalysisRule", "cleanrooms:CreateAnalysisTemplate", "cleanrooms:CreateCollaboration", "cleanrooms:CreateConfiguredTable", "cleanrooms:CreateConfiguredTableAnalysisRule", "cleanrooms:CreateConfiguredTableAssociation", "cleanrooms:CreateMembership", "cleanrooms:DeleteAnalysisTemplate", "cleanrooms:DeleteCollaboration", "cleanrooms:DeleteConfiguredTable", "cleanrooms:DeleteConfiguredTableAnalysisRule", "cleanrooms:DeleteConfiguredTableAssociation", "cleanrooms:DeleteMember", "cleanrooms:DeleteMembership", "cleanrooms:GetAnalysisTemplate", "cleanrooms:GetCollaboration", "cleanrooms:GetCollaborationAnalysisTemplate", "cleanrooms:GetConfiguredTable", "cleanrooms:GetConfiguredTableAnalysisRule", "cleanrooms:GetConfiguredTableAssociation", "cleanrooms:GetMembership", "cleanrooms:GetProtectedQuery", "cleanrooms:GetSchema", "cleanrooms:GetSchemaAnalysisRule", "cleanrooms:ListAnalysisTemplates", "cleanrooms:ListCollaborationAnalysisTemplates", "cleanrooms:ListCollaborations", "cleanrooms:ListConfiguredTableAssociations", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMembers", "cleanrooms:ListMemberships", "cleanrooms:ListProtectedQueries", "cleanrooms:ListSchemas", "cleanrooms:UpdateAnalysisTemplate", "cleanrooms:UpdateCollaboration", "cleanrooms:UpdateConfiguredTable", "cleanrooms:UpdateConfiguredTableAnalysisRule", "cleanrooms:UpdateConfiguredTableAssociation", "cleanrooms:UpdateMembership", "cleanrooms:ListTagsForResource", "cleanrooms:UntagResource", "cleanrooms:TagResource" ], "Resource": "*" }, { "Sid": "CleanRoomsNoQuerying", "Effect": "Deny", "Action": [ "cleanrooms:StartProtectedQuery", "cleanrooms:UpdateProtectedQuery" ], "Resource": "*" }, { "Sid": "PassServiceRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*", "Condition": { "StringEquals": { "iam:PassedToService": "cleanrooms.amazonaws.com" } } }, { "Sid": "ListRolesToPickServiceRole", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GetRoleAndListRolePoliciesToInspectServiceRole", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*" }, { "Sid": "ListPoliciesToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "GetPolicyToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:GetPolicy", "iam:GetPolicyVersion" ], "Resource": "arn:aws:iam::*:policy/*cleanrooms*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "EstablishLogDeliveries", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsDescribe", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsCreate", "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsResourcePolicy", "Effect": "Allow", "Action": [ "logs:DescribeResourcePolicies", "logs:PutResourcePolicy" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "ConsoleLogSummaryQueryLogs", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*" }, { "Sid": "ConsoleLogSummaryObtainLogs", "Effect": "Allow", "Action": [ "logs:GetQueryResults" ], "Resource": "*" } ] }
AWS 管理ポリシー: AWSCleanRoomsMLReadOnlyAccess
AWSCleanRoomsMLReadOnlyAccess
をIAM プリンシパルにアタッチできます。
このポリシーは、AWSCleanRoomsMLReadOnlyAccess
コラボレーションのリソースとメタデータへの読み取り専用のアクセス許可を付与します。
このポリシーには、以下の権限が含まれています。
-
CleanRoomsConsoleNavigation
– AWS Clean Rooms コンソールの画面を表示するアクセス許可を付与します。 -
CleanRoomsMLRead
— プリンシパルに Clean Rooms ML サービスへの読み取り専用アクセスを許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsConsoleNavigation", "Effect": "Allow", "Action": [ "cleanrooms:GetCollaboration", "cleanrooms:GetConfiguredAudienceModelAssociation", "cleanrooms:GetMembership", "cleanrooms:ListAnalysisTemplates", "cleanrooms:ListCollaborationAnalysisTemplates", "cleanrooms:ListCollaborationConfiguredAudienceModelAssociations", "cleanrooms:ListCollaborations", "cleanrooms:ListConfiguredTableAssociations", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMembers", "cleanrooms:ListMemberships", "cleanrooms:ListProtectedQueries", "cleanrooms:ListSchemas", "cleanrooms:ListTagsForResource" ], "Resource": "*" }, { "Sid": "CleanRoomsMLRead", "Effect": "Allow", "Action": [ "cleanrooms-ml:Get*", "cleanrooms-ml:List*" ], "Resource": "*" } ] }
AWS マネージドポリシー: AWSCleanRoomsMLFullAccess
AWSCleanRoomsMLFullAcces
をIAM プリンシパルにアタッチできます。このポリシーは、Clean Rooms ML に必要なリソースとメタデータへのフルアクセス (読み取り、書き込み、更新) を許可する管理アクセス許可を付与します。
許可の詳細
このポリシーには、以下の許可が含まれています。
-
CleanRoomsMLFullAccess
– すべての Clean Rooms ML アクションへのアクセスを許可します。 -
PassServiceRole
- 名前に「cleanrooms-ml」が含まれるサービスのみにサービスロールを渡すためのアクセス許可 (PassedToService
条件) を付与します。 -
CleanRoomsConsoleNavigation
– AWS Clean Rooms コンソールの画面を表示するアクセス許可を付与します。 -
CollaborationMembershipCheck
– コラボレーション内でオーディエンス生成 (類似セグメント) ジョブを開始すると、クリーンルーム ML サービスがListMembers
を呼び出して、コラボレーションが有効であること、発信者がアクティブなメンバーであること、設定されたオーディエンスモデル所有者がアクティブなメンバーであることを確認します。このアクセス許可は常に必要です。コンソールナビゲーション SID はコンソールユーザーにのみ必要です。 -
AssociateModels
— プリンシパルが Clean Rooms ML モデルをコラボレーションに関連付けることを許可します。 -
TagAssociations
– 類似モデルとコラボレーションの関連付けにタグを追加することをプリンシパルに許可します。 -
ListRolesToPickServiceRole
– プリンシパルが を使用するときにサービスロールを選択できるように、すべてのロールを一覧表示できるようにします AWS Clean Rooms。 -
GetRoleAndListRolePoliciesToInspectServiceRole
- IAM のサービスロールと対応するポリシーを表示することをプリンシパルに許可します。 -
ListPoliciesToInspectServiceRolePolicy
- IAM のサービスロールと対応するポリシーを表示することをプリンシパルに許可します。 -
GetPolicyToInspectServiceRolePolicy
- IAM のサービスロールと対応するポリシーを表示することをプリンシパルに許可します。 -
ConsoleDisplayTables
– プリンシパルが、基盤となる AWS Glue テーブルに関するデータをコンソールに表示するために必要な AWS Glue メタデータに読み取り専用でアクセスできるようにします。 -
ConsolePickOutputBucket
– 設定済みのオーディエンスモデル出力用の Amazon S3 バケットを選択することをプリンシパルに許可します。 -
ConsolePickS3Location
– 設定済みのオーディエンスモデル出力のバケット内の場所を選択することをプリンシパルに許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsMLFullAccess", "Effect": "Allow", "Action": [ "cleanrooms-ml:*" ], "Resource": "*" }, { "Sid": "PassServiceRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/cleanrooms-ml*" ], "Condition": { "StringEquals": { "iam:PassedToService": "cleanrooms-ml.amazonaws.com" } } }, { "Sid": "CleanRoomsConsoleNavigation", "Effect": "Allow", "Action": [ "cleanrooms:GetCollaboration", "cleanrooms:GetConfiguredAudienceModelAssociation", "cleanrooms:GetMembership", "cleanrooms:ListAnalysisTemplates", "cleanrooms:ListCollaborationAnalysisTemplates", "cleanrooms:ListCollaborationConfiguredAudienceModelAssociations", "cleanrooms:ListCollaborations", "cleanrooms:ListConfiguredTableAssociations", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMembers", "cleanrooms:ListMemberships", "cleanrooms:ListProtectedQueries", "cleanrooms:ListSchemas", "cleanrooms:ListTagsForResource" ], "Resource": "*" }, { "Sid": "CollaborationMembershipCheck", "Effect": "Allow", "Action": [ "cleanrooms:ListMembers" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": ["cleanrooms-ml.amazonaws.com"] } } }, { "Sid": "AssociateModels", "Effect": "Allow", "Action": [ "cleanrooms:CreateConfiguredAudienceModelAssociation" ], "Resource": "*" }, { "Sid": "TagAssociations", "Effect": "Allow", "Action": [ "cleanrooms:TagResource" ], "Resource": "arn:aws:cleanrooms:*:*:membership/*/configuredaudiencemodelassociation/*" }, { "Sid": "ListRolesToPickServiceRole", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GetRoleAndListRolePoliciesToInspectServiceRole", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:role/service-role/cleanrooms-ml*", "arn:aws:iam::*:role/role/cleanrooms-ml*" ] }, { "Sid": "ListPoliciesToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "GetPolicyToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:GetPolicy", "iam:GetPolicyVersion" ], "Resource": "arn:aws:iam::*:policy/*cleanroomsml*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "ConsolePickOutputBucket", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "ConsolePickS3Location", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*cleanrooms-ml*" } ] }
AWS Clean RoomsAWS 管理ポリシーの更新
このサービスがこれらの変更の追跡を開始した AWS Clean Rooms 以降の の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知を受け取るには、 AWS Clean Rooms ドキュメント履歴ページの RSS フィードにサブスクライブしてください。
変更 | 説明 | 日付 |
---|---|---|
AWSCleanRoomsFullAccessNoQuerying – 既存のポリシーの更新 | cleanrooms:BatchGetSchemaAnalysisRuleがCleanRoomsAccessに追加されました。 | 2024 年 5 月 13 日 |
AWSCleanRoomsFullAccess – 既存のポリシーの更新 | コンソールの有無にかかわらずクエリ結果バケットを設定するためにアクセス許可が必要なため、このポリシーの SetQueryResultsBucketのステートメント ID を AWSCleanRoomsFullAccessから ConsolePickQueryResultsBucketに更新して、アクセス許可をより適切に表現しました。 | 2024 年 3 月 21 日 |
AWSCleanRoomsMLReadOnlyAccess - 新しいポリシー AWSCleanRoomsMLFullAccess - 新しいポリシー |
AWS Clean Rooms ML をサポートするために AWSCleanRoomsMLReadOnlyAccess と AWSCleanRoomsMLFullAccess が追加されました。 |
2023 年 11 月 29 日 |
AWSCleanRoomsFullAccessNoQuerying – 既存のポリシーの更新 | 新しい分析テンプレート機能を有効にするCleanRoomsAccessためにcleanrooms:CreateAnalysisTemplatecleanrooms:GetAnalysisTemplatecleanrooms:UpdateAnalysisTemplate cleanrooms:DeleteAnalysisTemplate、、、cleanrooms:BatchGetCollaborationAnalysisTemplate、、cleanrooms:ListAnalysisTemplatescleanrooms:GetCollaborationAnalysisTemplate、、 を cleanrooms:ListCollaborationAnalysisTemplatesに追加しました。 | 2023 年 7 月 31 日 |
AWSCleanRoomsFullAccessNoQuerying – 既存のポリシーの更新 | cleanrooms:ListTagsForResource、cleanrooms:UntagResource、および cleanrooms:TagResource が CleanRoomsAccess に追加され、リソースのタグ付けが可能になりました。 | 2023 年 3 月 21 日 |
AWS Clean Rooms が変更の追跡を開始しました |
AWS Clean Rooms が AWS マネージドポリシーの変更の追跡を開始しました。 |
2023 年 1 月 12 日 |