기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS 관리형 정책은 다음과 같습니다. AWS Clean Rooms
AWS 관리형 정책은 에서 생성하고 관리하는 독립형 정책입니다. AWS AWS 관리형 정책은 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었으므로 사용자, 그룹 및 역할에 권한을 할당하기 시작할 수 있습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한 권한을 부여하지 않을 수도 있다는 점에 유의하세요. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.
관리형 정책에 정의된 권한은 변경할 수 없습니다. AWS AWS 관리형 정책에 정의된 권한을 업데이트하는 경우 AWS 해당 업데이트는 정책이 연결된 모든 주체 ID (사용자, 그룹, 역할) 에 영향을 미칩니다. AWS 새 API 작업이 시작되거나 기존 서비스에 새 AWS 서비스 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 가장 높습니다.
자세한 내용은 IAM 사용 설명서의 AWS 관리형 정책을 참조하십시오.
AWS 관리형 정책: AWSCleanRoomsReadOnlyAccess
AWSCleanRoomsReadOnlyAccess를 IAM 보안 주체에 연결할 수 있습니다.
이 정책은 AWSCleanRoomsReadOnlyAccess 공동 작업의 리소스 및 메타데이터에 대해 읽기 전용 액세스 권한을 부여합니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
CleanRoomsRead— 보안 주체가 서비스에 대한 읽기 전용 액세스를 허용합니다. -
ConsoleDisplayTables— 기본 AWS Glue 테이블에 대한 데이터를 콘솔에 표시하는 데 필요한 AWS Glue 메타데이터에 대한 주도자의 읽기 전용 액세스를 허용합니다. -
ConsoleLogSummaryQueryLogs— 보안 주체가 쿼리 로그를 볼 수 있도록 허용합니다. -
ConsoleLogSummaryObtainLogs— 보안 주체가 로그 결과를 검색할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsRead", "Effect": "Allow", "Action": [ "cleanrooms:BatchGet*", "cleanrooms:Get*", "cleanrooms:List*" ], "Resource": "*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "ConsoleLogSummaryQueryLogs", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*" }, { "Sid": "ConsoleLogSummaryObtainLogs", "Effect": "Allow", "Action": [ "logs:GetQueryResults" ], "Resource": "*" } ] }
AWS 관리형 정책: AWSCleanRoomsFullAccess
AWSCleanRoomsFullAccess를 IAM 보안 주체에 연결할 수 있습니다.
이 정책은 AWS Clean Rooms 컬래버레이션의 리소스 및 메타데이터에 대한 전체 액세스 (읽기, 쓰기, 업데이트) 를 허용하는 관리자 권한을 부여합니다. 이 정책에는 쿼리를 수행할 수 있는 액세스 권한이 포함됩니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
CleanRoomsAccess— 에 대한 모든 리소스의 모든 작업에 대한 전체 액세스 권한을 AWS Clean Rooms부여합니다. -
PassServiceRole— 이름에 "cleanrooms“이 있는 서비스(PassedToService조건)에만 서비스 역할을 전달할 수 있는 액세스 권한을 부여합니다. -
ListRolesToPickServiceRole— 주체가 사용 시 서비스 역할을 선택할 수 있도록 모든 역할을 나열할 수 있습니다. AWS Clean Rooms -
GetRoleAndListRolePoliciesToInspectServiceRole— 보안 주체가 IAM의 서비스 역할과 해당 정책을 볼 수 있도록 허용합니다. -
ListPoliciesToInspectServiceRolePolicy— 보안 주체가 IAM의 서비스 역할과 해당 정책을 볼 수 있도록 허용합니다. -
GetPolicyToInspectServiceRolePolicy— 주체가 IAM의 서비스 역할과 해당 정책을 볼 수 있도록 허용합니다. -
ConsoleDisplayTables— 기본 AWS Glue 테이블에 대한 데이터를 콘솔에 표시하는 데 필요한 AWS Glue 메타데이터에 대해 주도자가 읽기 전용으로 액세스할 수 있도록 합니다. -
ConsolePickQueryResultsBucketListAll— 보안 주체가 사용 가능한 모든 S3 버킷 목록에서 Amazon S3 버킷(쿼리 결과가 작성되는)을 선택할 수 있도록 허용합니다. -
SetQueryResultsBucket— 보안 주체가 쿼리 결과를 기록되는 S3 버킷을 선택할 수 있습니다. -
ConsoleDisplayQueryResults— 보안 주체가 S3 버킷에서 읽은 쿼리 결과를 고객에게 표시할 수 있습니다. -
WriteQueryResults— 보안 주체가 쿼리 결과를 고객 소유의 S3 버킷에 쓸 수 있습니다. -
EstablishLogDeliveries— 보안 주체가 고객의 Amazon CloudWatch Logs 로그 그룹에 쿼리 로그를 전송할 수 있습니다. -
SetupLogGroupsDescribe— 보안 주체가 Amazon CloudWatch Logs 로그 그룹 생성 프로세스를 사용할 수 있습니다. -
SetupLogGroupsCreate— 보안 주체가 Amazon CloudWatch Logs 로그 그룹을 생성할 수 있습니다. -
SetupLogGroupsResourcePolicy— 보안 주체가 Amazon CloudWatch Logs 로그 그룹에 리소스 정책을 설정할 수 있습니다. -
ConsoleLogSummaryQueryLogs— 보안 주체가 쿼리 로그를 볼 수 있도록 허용합니다. -
ConsoleLogSummaryObtainLogs— 보안 주체가 로그 결과를 검색할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsAccess", "Effect": "Allow", "Action": [ "cleanrooms:*" ], "Resource": "*" }, { "Sid": "PassServiceRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*", "Condition": { "StringEquals": { "iam:PassedToService": "cleanrooms.amazonaws.com" } } }, { "Sid": "ListRolesToPickServiceRole", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GetRoleAndListRolePoliciesToInspectServiceRole", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*" }, { "Sid": "ListPoliciesToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "GetPolicyToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:GetPolicy", "iam:GetPolicyVersion" ], "Resource": "arn:aws:iam::*:policy/*cleanrooms*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "ConsolePickQueryResultsBucketListAll", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "SetQueryResultsBucket", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucketVersions" ], "Resource": "arn:aws:s3:::cleanrooms-queryresults*" }, { "Sid": "WriteQueryResults", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:PutObject" ], "Resource": "arn:aws:s3:::cleanrooms-queryresults*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "ConsoleDisplayQueryResults", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::cleanrooms-queryresults*" }, { "Sid": "EstablishLogDeliveries", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsDescribe", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsCreate", "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsResourcePolicy", "Effect": "Allow", "Action": [ "logs:DescribeResourcePolicies", "logs:PutResourcePolicy" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "ConsoleLogSummaryQueryLogs", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*" }, { "Sid": "ConsoleLogSummaryObtainLogs", "Effect": "Allow", "Action": [ "logs:GetQueryResults" ], "Resource": "*" } ] }
AWS 관리형 정책: AWSCleanRoomsFullAccessNoQuerying
AWSCleanRoomsFullAccessNoQuerying을 IAM
principals에 첨부할 수 있습니다.
이 정책은 AWS Clean Rooms 컬래버레이션의 리소스 및 메타데이터에 대한 전체 액세스 (읽기, 쓰기, 업데이트) 를 허용하는 관리자 권한을 부여합니다. 이 정책은 쿼리를 수행할 수 있는 액세스를 제외합니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
CleanRoomsAccess— 공동 작업에서의 쿼리를 제외한 모든 리소스의 모든 작업에 대한 AWS Clean Rooms전체 액세스 권한을 부여합니다. -
CleanRoomsNoQuerying— 쿼리를 방지하기 위해StartProtectedQuery와UpdateProtectedQuery를 명시적으로 거부합니다. -
PassServiceRole— 이름에 "cleanrooms“이 있는 서비스(PassedToService조건)에만 서비스 역할을 전달할 수 있는 액세스 권한을 부여합니다. -
ListRolesToPickServiceRole— 주도자가 사용 시 서비스 역할을 선택할 수 있도록 모든 역할을 나열할 수 있습니다. AWS Clean Rooms -
GetRoleAndListRolePoliciesToInspectServiceRole— 보안 주체가 IAM의 서비스 역할과 해당 정책을 볼 수 있도록 허용합니다. -
ListPoliciesToInspectServiceRolePolicy— 보안 주체가 IAM의 서비스 역할과 해당 정책을 볼 수 있도록 허용합니다. -
GetPolicyToInspectServiceRolePolicy— 주체가 IAM의 서비스 역할과 해당 정책을 볼 수 있도록 허용합니다. -
ConsoleDisplayTables— 기본 AWS Glue 테이블에 대한 데이터를 콘솔에 표시하는 데 필요한 AWS Glue 메타데이터에 대해 주도자가 읽기 전용으로 액세스할 수 있도록 합니다. -
EstablishLogDeliveries— 보안 주체가 고객의 Amazon CloudWatch Logs 로그 그룹에 쿼리 로그를 전송할 수 있습니다. -
SetupLogGroupsDescribe— 보안 주체가 Amazon CloudWatch Logs 로그 그룹 생성 프로세스를 사용할 수 있습니다. -
SetupLogGroupsCreate— 보안 주체가 Amazon CloudWatch Logs 로그 그룹을 생성할 수 있습니다. -
SetupLogGroupsResourcePolicy— 보안 주체가 Amazon CloudWatch Logs 로그 그룹에 리소스 정책을 설정할 수 있습니다. -
ConsoleLogSummaryQueryLogs— 보안 주체가 쿼리 로그를 볼 수 있도록 허용합니다. -
ConsoleLogSummaryObtainLogs— 보안 주체가 로그 결과를 검색할 수 있습니다. -
cleanrooms— 서비스 내에서 협업, 분석 템플릿, 구성된 테이블, 멤버십 및 관련 리소스를 관리합니다. AWS Clean Rooms 이러한 리소스에 대한 정보 생성, 업데이트, 삭제, 나열 및 검색과 같은 다양한 작업을 수행합니다. -
iam— 이름에cleanrooms"“이 포함된 AWS Clean Rooms 서비스 역할을 서비스에 전달합니다. 역할 및 정책을 나열하고 서비스와 관련된 서비스 역할 및 정책을 검사합니다. AWS Clean Rooms -
glue— 에서 AWS Glue데이터베이스, 테이블, 파티션 및 스키마에 대한 정보를 검색합니다. 이는 AWS Clean Rooms 서비스가 기본 데이터 소스를 표시하고 상호 작용하는 데 필요합니다. -
logs— 로그 배달, 로그 그룹 및 로그에 대한 CloudWatch 리소스 정책을 관리합니다. AWS Clean Rooms 서비스와 관련된 로그를 쿼리하고 검색합니다. 이러한 권한은 서비스 내에서 모니터링, 감사 및 문제 해결 목적으로 필요합니다.
또한 정책은 해당 작업을 명시적으로 cleanrooms:StartProtectedQuery 거부하고 사용자가 보호된 쿼리를 직접 실행하거나 업데이트하지 cleanrooms:UpdateProtectedQuery 못하도록 합니다. 이 경우 제어된 메커니즘을 통해 이 작업을 수행해야 합니다. AWS Clean Rooms
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsAccess", "Effect": "Allow", "Action": [ "cleanrooms:BatchGetCollaborationAnalysisTemplate", "cleanrooms:BatchGetSchema", "cleanrooms:BatchGetSchemaAnalysisRule", "cleanrooms:CreateAnalysisTemplate", "cleanrooms:CreateCollaboration", "cleanrooms:CreateConfiguredTable", "cleanrooms:CreateConfiguredTableAnalysisRule", "cleanrooms:CreateConfiguredTableAssociation", "cleanrooms:CreateMembership", "cleanrooms:DeleteAnalysisTemplate", "cleanrooms:DeleteCollaboration", "cleanrooms:DeleteConfiguredTable", "cleanrooms:DeleteConfiguredTableAnalysisRule", "cleanrooms:DeleteConfiguredTableAssociation", "cleanrooms:DeleteMember", "cleanrooms:DeleteMembership", "cleanrooms:GetAnalysisTemplate", "cleanrooms:GetCollaboration", "cleanrooms:GetCollaborationAnalysisTemplate", "cleanrooms:GetConfiguredTable", "cleanrooms:GetConfiguredTableAnalysisRule", "cleanrooms:GetConfiguredTableAssociation", "cleanrooms:GetMembership", "cleanrooms:GetProtectedQuery", "cleanrooms:GetSchema", "cleanrooms:GetSchemaAnalysisRule", "cleanrooms:ListAnalysisTemplates", "cleanrooms:ListCollaborationAnalysisTemplates", "cleanrooms:ListCollaborations", "cleanrooms:ListConfiguredTableAssociations", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMembers", "cleanrooms:ListMemberships", "cleanrooms:ListProtectedQueries", "cleanrooms:ListSchemas", "cleanrooms:UpdateAnalysisTemplate", "cleanrooms:UpdateCollaboration", "cleanrooms:UpdateConfiguredTable", "cleanrooms:UpdateConfiguredTableAnalysisRule", "cleanrooms:UpdateConfiguredTableAssociation", "cleanrooms:UpdateMembership", "cleanrooms:ListTagsForResource", "cleanrooms:UntagResource", "cleanrooms:TagResource" ], "Resource": "*" }, { "Sid": "CleanRoomsNoQuerying", "Effect": "Deny", "Action": [ "cleanrooms:StartProtectedQuery", "cleanrooms:UpdateProtectedQuery" ], "Resource": "*" }, { "Sid": "PassServiceRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*", "Condition": { "StringEquals": { "iam:PassedToService": "cleanrooms.amazonaws.com" } } }, { "Sid": "ListRolesToPickServiceRole", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GetRoleAndListRolePoliciesToInspectServiceRole", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource": "arn:aws:iam::*:role/service-role/*cleanrooms*" }, { "Sid": "ListPoliciesToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "GetPolicyToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:GetPolicy", "iam:GetPolicyVersion" ], "Resource": "arn:aws:iam::*:policy/*cleanrooms*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "EstablishLogDeliveries", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsDescribe", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsCreate", "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "SetupLogGroupsResourcePolicy", "Effect": "Allow", "Action": [ "logs:DescribeResourcePolicies", "logs:PutResourcePolicy" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": "cleanrooms.amazonaws.com" } } }, { "Sid": "ConsoleLogSummaryQueryLogs", "Effect": "Allow", "Action": [ "logs:StartQuery" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/cleanrooms*" }, { "Sid": "ConsoleLogSummaryObtainLogs", "Effect": "Allow", "Action": [ "logs:GetQueryResults" ], "Resource": "*" } ] }
AWS 관리형 정책: AWSCleanRoomsMLReadOnlyAccess
AWSCleanRoomsMLReadOnlyAccess를 IAM 보안 주체에 연결할 수 있습니다.
이 정책은 AWSCleanRoomsMLReadOnlyAccess 공동 작업의 리소스 및 메타데이터에 대해 읽기 전용 액세스 권한을 부여합니다.
이 정책에는 다음 권한이 포함되어 있습니다.
-
CleanRoomsConsoleNavigation— AWS Clean Rooms 콘솔 화면을 볼 수 있는 액세스 권한을 부여합니다. -
CleanRoomsMLRead— 주도자에게 Clean Rooms ML 서비스에 대한 읽기 전용 액세스를 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsConsoleNavigation", "Effect": "Allow", "Action": [ "cleanrooms:GetCollaboration", "cleanrooms:GetConfiguredAudienceModelAssociation", "cleanrooms:GetMembership", "cleanrooms:ListAnalysisTemplates", "cleanrooms:ListCollaborationAnalysisTemplates", "cleanrooms:ListCollaborationConfiguredAudienceModelAssociations", "cleanrooms:ListCollaborations", "cleanrooms:ListConfiguredTableAssociations", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMembers", "cleanrooms:ListMemberships", "cleanrooms:ListProtectedQueries", "cleanrooms:ListSchemas", "cleanrooms:ListTagsForResource" ], "Resource": "*" }, { "Sid": "CleanRoomsMLRead", "Effect": "Allow", "Action": [ "cleanrooms-ml:Get*", "cleanrooms-ml:List*" ], "Resource": "*" } ] }
AWS 관리형 정책: AWSCleanRoomsMLFullAccess
AWSCleanRoomsMLFullAcces를 IAM 보안 주체에 연결할 수 있습니다. 이 정책은 Clean Rooms ML에 필요한 리소스 및 메타데이터에 대한 전체 액세스 (읽기, 쓰기, 업데이트) 를 허용하는 관리자 권한을 부여합니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
CleanRoomsMLFullAccess— 모든 클린룸 ML 작업에 대한 액세스 권한을 부여합니다. -
PassServiceRole— 이름에 "cleanrooms-ml“이 있는 서비스(PassedToService조건)에만 서비스 역할을 전달할 수 있는 액세스 권한을 부여합니다. -
CleanRoomsConsoleNavigation— AWS Clean Rooms 콘솔 화면을 볼 수 있는 액세스 권한을 부여합니다. -
CollaborationMembershipCheck— 컬래버레이션 내에서 대상 생성 (유사 세그먼트) 작업을 시작하면 Clean Rooms ML 서비스가 전화를 걸어ListMembers협업이 유효한지, 발신자가 활성 구성원인지, 구성된 대상 모델 소유자가 활성 구성원인지 확인합니다. 이 권한은 항상 필요하며 콘솔 탐색 SID는 콘솔 사용자에게만 필요합니다. -
AssociateModels— 교장이 Clean Rooms ML 모델을 공동 작업과 연결할 수 있습니다. -
TagAssociations— 보안 주체가 유사 모델과 공동 작업 간의 연관성에 태그를 추가할 수 있습니다. -
ListRolesToPickServiceRole— 주도자가 사용 시 서비스 역할을 선택하기 위해 모든 역할을 나열할 수 있습니다. AWS Clean Rooms -
GetRoleAndListRolePoliciesToInspectServiceRole— 보안 주체가 IAM의 서비스 역할과 해당 정책을 볼 수 있도록 허용합니다. -
ListPoliciesToInspectServiceRolePolicy— 보안 주체가 IAM의 서비스 역할과 해당 정책을 볼 수 있도록 허용합니다. -
GetPolicyToInspectServiceRolePolicy— 주체가 IAM의 서비스 역할과 해당 정책을 볼 수 있도록 허용합니다. -
ConsoleDisplayTables— 기본 AWS Glue 테이블에 대한 데이터를 콘솔에 표시하는 데 필요한 AWS Glue 메타데이터에 대해 주도자가 읽기 전용으로 액세스할 수 있도록 합니다. -
ConsolePickOutputBucket— 보안 주체가 구성된 대상 모델 출력에 대한 Amazon S3 버킷을 선택할 수 있습니다. -
ConsolePickS3Location— 보안 주체가 구성된 대상 모델 출력에 대한 위치를 버킷 내에서 선택할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CleanRoomsMLFullAccess", "Effect": "Allow", "Action": [ "cleanrooms-ml:*" ], "Resource": "*" }, { "Sid": "PassServiceRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/cleanrooms-ml*" ], "Condition": { "StringEquals": { "iam:PassedToService": "cleanrooms-ml.amazonaws.com" } } }, { "Sid": "CleanRoomsConsoleNavigation", "Effect": "Allow", "Action": [ "cleanrooms:GetCollaboration", "cleanrooms:GetConfiguredAudienceModelAssociation", "cleanrooms:GetMembership", "cleanrooms:ListAnalysisTemplates", "cleanrooms:ListCollaborationAnalysisTemplates", "cleanrooms:ListCollaborationConfiguredAudienceModelAssociations", "cleanrooms:ListCollaborations", "cleanrooms:ListConfiguredTableAssociations", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMembers", "cleanrooms:ListMemberships", "cleanrooms:ListProtectedQueries", "cleanrooms:ListSchemas", "cleanrooms:ListTagsForResource" ], "Resource": "*" }, { "Sid": "CollaborationMembershipCheck", "Effect": "Allow", "Action": [ "cleanrooms:ListMembers" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": ["cleanrooms-ml.amazonaws.com"] } } }, { "Sid": "AssociateModels", "Effect": "Allow", "Action": [ "cleanrooms:CreateConfiguredAudienceModelAssociation" ], "Resource": "*" }, { "Sid": "TagAssociations", "Effect": "Allow", "Action": [ "cleanrooms:TagResource" ], "Resource": "arn:aws:cleanrooms:*:*:membership/*/configuredaudiencemodelassociation/*" }, { "Sid": "ListRolesToPickServiceRole", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GetRoleAndListRolePoliciesToInspectServiceRole", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:ListRolePolicies", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:role/service-role/cleanrooms-ml*", "arn:aws:iam::*:role/role/cleanrooms-ml*" ] }, { "Sid": "ListPoliciesToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:ListPolicies" ], "Resource": "*" }, { "Sid": "GetPolicyToInspectServiceRolePolicy", "Effect": "Allow", "Action": [ "iam:GetPolicy", "iam:GetPolicyVersion" ], "Resource": "arn:aws:iam::*:policy/*cleanroomsml*" }, { "Sid": "ConsoleDisplayTables", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:GetSchema", "glue:GetSchemaVersion", "glue:BatchGetPartition" ], "Resource": "*" }, { "Sid": "ConsolePickOutputBucket", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "ConsolePickS3Location", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*cleanrooms-ml*" } ] }
AWS Clean Rooms 관리형 정책 업데이트 AWS
이 서비스가 이러한 변경 사항을 추적하기 시작한 AWS Clean Rooms 이후의 AWS 관리형 정책 업데이트에 대한 세부 정보를 볼 수 있습니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 AWS Clean Rooms 문서 기록 페이지에서 RSS 피드를 구독하십시오.
| 변경 사항 | 설명 | 날짜 |
|---|---|---|
| AWSCleanRoomsFullAccessNoQuerying - 기존 정책에 대한 업데이트 | CleanRoomsAccess에 cleanrooms:BatchGetSchemaAnalysisRule가 추가되었습니다. | 2024년 5월 13일 |
| AWSCleanRoomsFullAccess - 기존 정책에 대한 업데이트 | 콘솔을 사용하거나 사용하지 않고 쿼리 결과 버킷을 설정하는 데 권한이 필요하므로 권한을 더 잘 나타내도록 이 AWSCleanRoomsFullAccess 정책에서 ConsolePickQueryResultsBucket 명령문 ID를 from to 로 업데이트했습니다. SetQueryResultsBucket | 2024년 3월 21일 |
|
AWSCleanRoomsMLReadOnlyAccess - 새 정책 AWSCleanRoomsMLFullAccess - 새 정책 |
AWSCleanRoomsMLReadOnlyAccess 및 AWSCleanRoomsMLFullAccess를 추가하여 AWS Clean Rooms ML을 지원합니다. |
2023년 11월 29일 |
| AWSCleanRoomsFullAccessNoQuerying - 기존 정책에 대한 업데이트 | 새 분석 템플릿 기능을 cleanrooms:ListCollaborationAnalysisTemplates CleanRoomsAccess 활성화하기 위해 cleanrooms:CreateAnalysisTemplate cleanrooms:GetAnalysisTemplate cleanrooms:UpdateAnalysisTemplate cleanrooms:DeleteAnalysisTemplate cleanrooms:ListAnalysisTemplates cleanrooms:GetCollaborationAnalysisTemplatecleanrooms:BatchGetCollaborationAnalysisTemplate,,,,, 및 를 추가했습니다. | 2023년 7월 31일 |
| AWSCleanRoomsFullAccessNoQuerying - 기존 정책에 대한 업데이트 | 리소스 태깅을 활성화하기 위해 cleanrooms:ListTagsForResource. cleanrooms:UntagResource 및 cleanrooms:TagResource를 CleanRoomsAccess에 추가했습니다. | 2023년 3월 21일 |
|
AWS Clean Rooms 변경 내용 추적 시작 |
AWS Clean Rooms AWS 관리형 정책의 변경 사항 추적을 시작했습니다. |
2023년 1월 12일 |
