AWS Clean Rooms ML용 서비스 역할 설정 - AWS Clean Rooms
서비스 역할 생성하여 훈련 데이터 읽기서비스 역할을 생성하여 유사 세그먼트를 작성서비스 역할 생성하여 시드 데이터 읽기

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Clean Rooms ML용 서비스 역할 설정

서비스 역할 생성하여 훈련 데이터 읽기

AWS Clean Rooms 서비스 역할을 사용하여 교육 데이터를 읽습니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. CreateRole권한이 없는 경우 관리자에게 서비스 역할을 생성해 달라고 요청하세요.

서비스 역할을 생성하여 데이터 세트를 훈련하려면

  1. 관리자 계정으로 https://console.aws.amazon.com/iam/의 IAM 콘솔에 로그인합니다.

  2. 액세스 관리(Access management)에서 정책(Policies)을 선택합니다.

  3. [Create policy]를 선택합니다.

  4. 정책 편집기에서 JSON 탭을 선택한 다음 다음 정책을 복사하여 붙여넣습니다.

    참고

    다음 예제 정책은 AWS Glue 메타데이터와 해당 Amazon S3 데이터를 읽는 데 필요한 권한을 지원합니다. 하지만 S3 데이터를 설정한 방법에 따라 이 정책을 수정해야 할 수도 있습니다. 이 정책에는 데이터를 해독하기 위한 KMS 키가 포함되어 있지 않습니다.

    AWS Glue 리소스와 기본 Amazon S3 리소스는 AWS 리전 AWS Clean Rooms 협업과 동일해야 합니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartitions",
                "glue:GetPartition",
                "glue:BatchGetPartition", 
                "glue:GetUserDefinedFunctions"
            ],
            "Resource": [
                "arn:aws:glue:region:accountId:database/databases",
                "arn:aws:glue:region:accountId:table/databases/tables",
                "arn:aws:glue:region:accountId:catalog",
                "arn:aws:glue:region:accountId:database/default"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase"
            ],
            "Resource": [
                "arn:aws:glue:region:accountId:database/default"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::bucket"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        }
    ]
}

    KMS 키를 사용하여 데이터를 해독해야 하는 경우 이전 템플릿에 다음 AWS KMS 명령문을 추가하십시오.

    {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
    ]
}

  5. 다음을 선택합니다.

  6. 검토 및 생성에서 정책 이름설명을 입력하고 요약을 검토합니다.

  7. 정책 생성을 선택합니다.

    에 대한 정책을 만들었습니다. AWS Clean Rooms

  8. 액세스 관리에서 역할을 선택합니다.

    역할을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. 사용자를 선택하여 장기 보안 인증을 생성할 수도 있습니다.

  9. 역할 생성을 선택합니다.

  10. 역할 생성 마법사의 신뢰할 수 있는 엔터티 유형에서 사용자 지정 신뢰 정책을 선택합니다.

  11. 다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": { 
                    "aws:SourceAccount": ["accountId"]
                },
                "StringLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:training-dataset/*"
                }
            }
        }
    ]
}

    SourceAccount는 항상 사용자 AWS 계정입니다. 특정 훈련 데이터 세트로 SourceArn을 제한할 수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 미리 알 수 없기 때문에 여기에 와일드카드가 지정되어 있습니다.

  12. 다음을 선택하고 권한 추가에서 방금 생성한 정책의 이름을 입력합니다. (페이지를 새로 고쳐야 할 수 있습니다.)

  13. 생성한 정책 이름 옆에 있는 확인란을 선택하고 다음을 선택합니다.

  14. 이름 지정, 생성의 경우 역할의 이름설명을 입력합니다.

    참고

    역할 이름은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된 passRole 권한의 패턴과 일치해야 합니다.

    1. 검토: 신뢰할 수 있는 엔티티를 선택하고 필요한 경우 편집합니다.

    2. 권한 추가에서 권한을 검토하고 필요한 경우 편집합니다.

    3. 태그를 검토하고 필요한 경우 태그를 추가합니다.

    4. 역할 생성을 선택합니다.

  15. 의 서비스 역할이 AWS Clean Rooms 생성되었습니다.

서비스 역할을 생성하여 유사 세그먼트를 작성

AWS Clean Rooms 서비스 역할을 사용하여 유사 세그먼트를 버킷에 기록합니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. CreateRole권한이 없는 경우 관리자에게 서비스 역할을 생성해 달라고 요청하세요.

서비스 역할을 생성하여 유사 세그먼트를 작성하려면

  1. 관리자 계정으로 https://console.aws.amazon.com/iam/의 IAM 콘솔에 로그인합니다.

  2. 액세스 관리(Access management)에서 정책(Policies)을 선택합니다.

  3. [Create policy]를 선택합니다.

  4. 정책 편집기에서 JSON 탭을 선택한 다음 다음 정책을 복사하여 붙여넣습니다.

    참고

    다음 예제 정책은 AWS Glue 메타데이터와 해당 Amazon S3 데이터를 읽는 데 필요한 권한을 지원합니다. 하지만 S3 데이터를 설정한 방법에 따라 이 정책을 수정해야 할 수도 있습니다. 이 정책에는 데이터를 해독하기 위한 KMS 키가 포함되어 있지 않습니다.

    AWS Glue 리소스와 기본 Amazon S3 리소스는 AWS 리전 AWS Clean Rooms 협업과 동일해야 합니다.

    {
    "Version": "2012-10-17",
    "Statement": [
    {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::buckets"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        }
  ]
}

    KMS 키를 사용하여 데이터를 암호화해야 하는 경우 템플릿에 다음 AWS KMS 명령문을 추가하십시오.

    {
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey*",
                "kms:ReEncrypt*",
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
  ]
}

    KMS 키를 사용하여 데이터를 해독해야 하는 경우 템플릿에 다음 명령문을 추가하십시오. AWS KMS 

    {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
  ]
}

  5. 다음을 선택합니다.

  6. 검토 및 생성에서 정책 이름설명을 입력하고 요약을 검토합니다.

  7. 정책 생성을 선택합니다.

    에 대한 정책을 만들었습니다. AWS Clean Rooms

  8. 액세스 관리에서 역할을 선택합니다.

    역할을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. 사용자를 선택하여 장기 보안 인증을 생성할 수도 있습니다.

  9. 역할 생성을 선택합니다.

  10. 역할 생성 마법사의 신뢰할 수 있는 엔터티 유형에서 사용자 지정 신뢰 정책을 선택합니다.

  11. 다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": { 
                    "aws:SourceAccount": ["accountId"]

                },
                "StringLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:configured-audience-model/*"
                }
            }
        }
    ]
}

    SourceAccount는 항상 사용자 AWS 계정입니다. 특정 훈련 데이터 세트로 SourceArn을 제한할 수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 미리 알 수 없기 때문에 여기에 와일드카드가 지정되어 있습니다.

  12. 다음을 선택합니다.

  13. 생성한 정책 이름 옆에 있는 확인란을 선택하고 다음을 선택합니다.

  14. 이름 지정, 생성의 경우 역할의 이름설명을 입력합니다.

    참고

    역할 이름은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된 passRole 권한의 패턴과 일치해야 합니다.

    1. 검토: 신뢰할 수 있는 엔티티를 선택하고 필요한 경우 편집합니다.

    2. 권한 추가에서 권한을 검토하고 필요한 경우 편집합니다.

    3. 태그를 검토하고 필요한 경우 태그를 추가합니다.

    4. 역할 생성을 선택합니다.

  15. 의 서비스 역할이 AWS Clean Rooms 생성되었습니다.

서비스 역할 생성하여 시드 데이터 읽기

AWS Clean Rooms 서비스 역할을 사용하여 시드 데이터를 읽습니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. CreateRole권한이 없는 경우 관리자에게 서비스 역할을 만들어 달라고 요청하세요.

서비스 역할을 생성하여 시드 데이터를 읽으려면

  1. 관리자 계정으로 https://console.aws.amazon.com/iam/의 IAM 콘솔에 로그인합니다.

  2. 액세스 관리(Access management)에서 정책(Policies)을 선택합니다.

  3. [Create policy]를 선택합니다.

  4. 정책 편집기에서 JSON 탭을 선택한 다음 다음 정책을 복사하여 붙여넣습니다.

    참고

    다음 예제 정책은 AWS Glue 메타데이터와 해당 Amazon S3 데이터를 읽는 데 필요한 권한을 지원합니다. 하지만 S3 데이터를 설정한 방법에 따라 이 정책을 수정해야 할 수도 있습니다. 이 정책에는 데이터를 해독하기 위한 KMS 키가 포함되어 있지 않습니다.

    AWS Glue 리소스와 기본 Amazon S3 리소스는 AWS 리전 AWS Clean Rooms 협업과 동일해야 합니다.

    {
    "Version": "2012-10-17",
    "Statement": [
    {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
            ],
            "Resource": [
                "arn:aws:s3:::buckets"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketFolders/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "accountId"
                    ]
                }
            }
        }
  ]
}

    KMS 키를 사용하여 데이터를 해독해야 하는 경우 템플릿에 다음 AWS KMS 명령문을 추가하십시오.

    {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:region:accountId:key/keyId"
            ],
            "Condition": {
                "ArnLike": {
                        "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                }
            }
        }
  ]
}

  5. 다음을 선택합니다.

  6. 검토 및 생성에서 정책 이름설명을 입력하고 요약을 검토합니다.

  7. 정책 생성을 선택합니다.

    에 대한 정책을 만들었습니다. AWS Clean Rooms

  8. 액세스 관리에서 역할을 선택합니다.

    역할을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. 사용자를 선택하여 장기 보안 인증을 생성할 수도 있습니다.

  9. 역할 생성을 선택합니다.

  10. 역할 생성 마법사의 신뢰할 수 있는 엔터티 유형에서 사용자 지정 신뢰 정책을 선택합니다.

  11. 다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms-ml.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEqualsIfExists": {
                    "aws:SourceAccount": ["accountId"]

                },
                "StringLikeIfExists": { 
                    "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:audience-generation-job/*"
                }
            }
        }
    ]
}

    SourceAccount는 항상 사용자 AWS 계정입니다. 특정 훈련 데이터 세트로 SourceArn을 제한할 수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 미리 알 수 없기 때문에 여기에 와일드카드가 지정되어 있습니다.

  12. 다음을 선택합니다.

  13. 생성한 정책 이름 옆에 있는 확인란을 선택하고 다음을 선택합니다.

  14. 이름 지정, 생성의 경우 역할의 이름설명을 입력합니다.

    참고

    역할 이름은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된 passRole 권한의 패턴과 일치해야 합니다.

    1. 검토: 신뢰할 수 있는 엔티티를 선택하고 필요한 경우 편집합니다.

    2. 권한 추가에서 권한을 검토하고 필요한 경우 편집합니다.

    3. 태그를 검토하고 필요한 경우 태그를 추가합니다.

    4. 역할 생성을 선택합니다.

  15. 의 서비스 역할이 AWS Clean Rooms 생성되었습니다.