ML의 IAM 동작 AWS Clean Rooms - AWS Clean Rooms
교차 계정 작업작업에 태그 지정공동 작업자 검증크로스 계정 액세스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

ML의 IAM 동작 AWS Clean Rooms

교차 계정 작업

Clean Rooms ML을 사용하면 한 사람이 AWS 계정 생성한 특정 리소스에 다른 AWS 계정사람이 해당 계정에서 안전하게 액세스할 수 있습니다. A의 클라이언트가 AWS 계정 AWS 계정 B가 소유한 ConfiguredAudienceModel 리소스를 StartAudienceGenerationJob 호출하면 Clean Rooms ML은 해당 작업에 대해 두 개의 ARN을 생성합니다. 하나의 ARN은 AWS 계정 A에 있고 다른 하나는 B에 있습니다. AWS 계정 ARN은 두 개를 제외하면 동일합니다. AWS 계정

Clean Rooms ML은 두 계정 모두 작업에 자체 IAM 정책을 적용할 수 있도록 작업에 대해 두 개의 ARN을 생성합니다. 예를 들어 두 계정 모두 태그 기반 액세스 제어를 사용하고 조직의 정책을 적용할 수 있습니다. AWS 작업은 두 계정의 데이터를 모두 처리하므로 두 계정에서 작업 및 관련 데이터를 삭제할 수 있습니다. 두 계정 모두 다른 계정이 작업을 삭제하지 못하도록 차단할 수는 없습니다.

작업은 한 번만 실행되며 두 계정 모두 ListAudienceGenerationJobs를 호출할 때 작업을 볼 수 있습니다. 두 계정 모두 자신의 AWS 계정 ID로 ARN을 사용하여 작업의 GetDelete, 및 Export API를 호출할 수 있습니다.

다른 AWS 계정 ID로 ARN을 사용하는 경우 둘 다 작업에 액세스할 AWS 계정 수 없습니다.

작업 이름은 AWS 계정내에서 고유해야 합니다. AWS 계정 B의 이름은 $계정-$name입니다. B에서 작업을 볼 때 AWS 계정 A가 선택한 이름 앞에 AWS 계정 A가 붙습니다. AWS 계정

교차 계정이 StartAudienceGenerationJob 성공하려면 AWS 계정 B는 다음 예와 비슷한 리소스 정책을 사용하여 B의 새 작업과 AWS 계정 B의 새 작업 모두에서 해당 ConfiguredAudienceModel 작업을 허용해야 합니다. AWS 계정 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Clean-Rooms-<CAMA ID>",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "accountA" 
                ]
            },
            "Action": [
                "cleanrooms-ml:StartAudienceGenerationJob"
            ],
            "Resource": [
                "arn:aws:cleanrooms-ml:us-west-1:AccountB:configured-audience-model/id",
                "arn:aws:cleanrooms-ml:us-west-1:AccountB:audience-generation-job/*"
            ],
            // optional - always set by AWS Clean Rooms
"Condition":{"StringEquals":{"cleanrooms-ml:CollaborationId":"UUID"}}
        }
    ]
}

AWS Clean Rooms ML API를 사용하여 true로 manageResourcePolicies 설정된 유사 모델을 구성하는 경우 이 정책이 자동으로 AWS Clean Rooms 생성됩니다.

또한 A의 발신자 ID 정책에는 에 AWS 계정 대한 권한이 필요합니다StartAudienceGenerationJob. arn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/* 따라서 IAM 작업 리소스는 AWS 계정 A 작업, B 작업, AWS 계정 B StartAudienceGenerationJob 이렇게 세 가지가 있습니다. AWS 계정 ConfiguredAudienceModel

주의

작업을 AWS 계정 시작한 사람은 작업에 대한 AWS CloudTrail 감사 로그 이벤트를 수신합니다. ConfiguredAudienceModel을 소유한 AWS 계정 는 AWS CloudTrail 감사 로그 이벤트를 수신할 수 없습니다.

작업에 태그 지정

CreateConfiguredAudienceModelchildResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE 파라미터를 설정하면 구성된 유사 모델에서 생성된 계정 내 모든 유사 세그먼트 생성 작업은 구성된 유사 모델과 동일한 태그를 기본으로 사용합니다. 구성된 유사 모델은 상위 모델이고 유사 세그먼트 생성 작업은 하위 모델입니다.

자신의 계정 내에서 작업을 생성하는 경우 작업의 요청 태그가 상위 태그를 재정의합니다. 다른 계정에서 생성한 작업은 계정에 태그를 생성할 수 없습니다. childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE를 설정하고 다른 계정에서 작업을 생성하면 해당 작업의 복사본이 2개가 됩니다. 계정의 사본에는 상위 리소스 태그가 있고 작업 제출자 계정의 사본에는 요청에서 얻은 태그가 있습니다.

공동 작업자 검증

AWS Clean Rooms 컬래버레이션의 다른 구성원에게 권한을 부여하는 경우 리소스 정책에 조건 키가 cleanrooms-ml:CollaborationId 포함되어야 합니다. 이렇게 하면 collaborationId 파라미터가 요청에 포함되어야 합니다. StartAudienceGenerationJob collaborationId매개 변수가 요청에 포함되면 Clean Rooms ML은 공동 작업이 존재하고 작업 제출자가 공동 작업의 활성 구성원이며 구성된 유사 모델 소유자가 공동 작업의 활성 구성원인지 확인합니다.

구성된 유사 모델 리소스 정책을 AWS Clean Rooms 관리할 때 (manageResourcePolicies매개 변수는 TRUE CreateConfiguredAudienceModelAssociation 요청 시) 리소스 정책에 이 조건 키가 설정됩니다. 따라서 in을 지정해야 합니다. collaborationId StartAudienceGenerationJob

크로스 계정 액세스

계정 전반에서 StartAudienceGenerationJob만 호출할 수 있습니다. 다른 모든 Clean Rooms ML API는 사용자 계정의 리소스에서만 사용할 수 있습니다. 이렇게 하면 훈련 데이터, 유사 모델 구성 및 기타 정보를 비공개로 유지할 수 있습니다.

클린 룸 ML은 계정 전체의 Amazon S3 또는 AWS Glue 위치를 절대 공개하지 않습니다. 훈련 데이터 위치, 구성된 유사 모델 출력 위치, 유사 세그먼트 생성 작업 시드 위치는 계정 전반에서 절대 볼 수 없습니다. 다른 계정에서 제출한 대상 생성 작업을 Get으로 처리한 경우 서비스는 시드 위치를 표시하지 않습니다.