기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
에 대한 서비스 역할을 설정합니다. AWS Clean Rooms
관리자 사용자 생성하기
사용하려면 AWS Clean Rooms직접 관리자 사용자를 생성하고 관리자 그룹에 관리자 사용자를 추가해야 합니다.
다음 옵션 중 하나를 선택하여 관리 사용자를 생성합니다.
| 관리자를 관리하는 방법 한 가지 선택 | 목적 | By | 다른 방법 |
|---|---|---|---|
| IAM Identity Center에서 (권장) |
단기 보안 인증 정보를 사용하여 AWS에 액세스합니다. 이는 보안 모범 사례와 일치합니다. 모범 사례에 대한 자세한 내용은 IAM 사용 설명서의 IAM의 보안 모범 사례를 참조하십시오. |
AWS IAM Identity Center 사용 설명서의 시작하기 지침을 따르세요. | 사용 AWS IAM Identity CenterAWS Command Line Interface 설명서에서 사용하도록 AWS CLI 구성하여 프로그래밍 액세스를 구성하십시오. |
| IAM에서 (권장되지 않음) |
장기 보안 인증 정보를 사용하여 AWS에 액세스합니다. | IAM 사용 설명서의 첫 IAM 관리 사용자 및 사용자 그룹 만들기에 나온 지침을 따릅니다. | IAM 사용 설명서에 나온 IAM 사용자의 액세스 키 관리 단계를 수행하여 프로그래밍 방식의 액세스를 구성합니다. |
공동 작업 구성원의 IAM 역할 생성
구성원은 협업에 참여하는 AWS 고객입니다.
공동 작업 구성원의 IAM 역할을 생성하는 방법
-
사용 설명서의 IAM 사용자에게 권한을 위임할 역할 생성 절차를 따르십시오.AWS Identity and Access Management
-
정책 생성 단계의 경우 정책 편집기에서 JSON 탭을 선택한 다음 컬래버레이션 구성원에게 부여된 기능에 따라 정책을 추가합니다.
AWS Clean Rooms 일반적인 사용 사례를 기반으로 다음과 같은 관리형 정책을 제공합니다.
다음을 수행하려는 경우 ... 그럼... 을(를) 사용하세요. 리소스 및 메타데이터 보기 AWS 관리형 정책: AWSCleanRoomsReadOnlyAccess Query AWS 관리형 정책: AWSCleanRoomsFullAccess 결과 쿼리 및 수신 AWS 관리형 정책: AWSCleanRoomsFullAccess 협업 리소스를 관리하되 쿼리는 하지 마세요. AWS 관리형 정책: AWSCleanRoomsFullAccessNoQuerying 에서 제공하는 AWS Clean Rooms다양한 관리형 정책에 대한 자세한 내용은 을 참조하십시오. AWS 관리형 정책은 다음과 같습니다. AWS Clean Rooms
서비스 역할 생성하여 데이터 읽기
AWS Clean Rooms 서비스 역할을 사용하여 데이터를 읽습니다.
다음 두 가지 방법으로 이 서비스 역할을 만들 수 있습니다.
| 만약... | Then |
|---|---|
| 서비스 역할을 생성하는 데 필요한 IAM 권한이 있어야 합니다. | AWS Clean Rooms 콘솔을 사용하여 서비스 역할을 생성합니다. |
|
또는 IAM 역할을 수동으로 만들고 싶습니다. |
다음 중 하나를 수행하십시오.
|
서비스 역할을 생성하여 데이터를 읽으려면
참고
사용자 또는 IAM 관리자는 AWS Clean Rooms 콘솔을 사용하여 서비스 역할을 생성하는 데 필요한 권한이 없는 경우에만 이 절차를 따라야 합니다.
-
사용 설명서의AWS Identity and Access Management 사용자 지정 신뢰 정책을 사용하여 역할 생성 (콘솔) 절차를 따르십시오.
-
사용자 지정 신뢰 정책을 사용하여 역할 만들기 (콘솔) 절차에 따라 다음 사용자 지정 신뢰 정책을 사용하십시오.
참고
특정 공동 작업 멤버십의 상황에서만 역할을 사용할 수 있도록 하려면 신뢰 정책의 범위를 더 좁힐 수 있습니다. 자세한 정보는 교차 서비스 혼동된 대리자 예방을 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RoleTrustPolicyForCleanRoomsService", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
사용자 지정 신뢰 정책을 사용하여 역할 만들기 (콘솔) 절차에 따라 다음 권한 정책을 사용하십시오.
참고
다음 예제 정책은 AWS Glue 메타데이터와 해당 Amazon S3 데이터를 읽는 데 필요한 권한을 지원합니다. 하지만 S3 데이터를 설정한 방법에 따라 이 정책을 수정해야 할 수도 있습니다. 예를 들어, S3 데이터에 대한 사용자 지정 KMS 키를 설정한 경우 추가 AWS KMS 권한으로 이 정책을 수정해야 할 수 있습니다.
AWS Glue 리소스와 기본 Amazon S3 리소스는 AWS 리전 AWS Clean Rooms 협업과 동일해야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "NecessaryGluePermissions", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "arn:aws:glue:aws-region:accountId:database/database", "arn:aws:glue:aws-region:accountId:table/table", "arn:aws:glue:aws-region:accountId:catalog" ] }, { "Effect": "Allow", "Action": [ "glue:GetSchema", "glue:GetSchemaVersion" ], "Resource": [ "*" ] }, { "Sid": "NecessaryS3BucketPermissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "s3BucketOwnerAccountId" ] } } }, { "Sid": "NecessaryS3ObjectPermissions", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3::bucket/prefix/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "s3BucketOwnerAccountId" ] } } } ] } -
각
자리 표시자를자체 정보로 바꾸십시오. -
계속해서 사용자 지정 신뢰 정책을 사용하여 역할 만들기 (콘솔) 절차를 따라 역할을 생성하십시오.
결과를 받을 서비스 역할을 생성하세요.
참고
결과만 받을 수 있는 구성원인 경우 (콘솔에서는 구성원 권한은 결과 받기만 가능) 이 절차를 따르세요.
결과를 쿼리하고 받을 수 있는 멤버인 경우 (콘솔에서는 멤버 권한은 결과 쿼리와 수신 모두 가능), 이 절차를 건너뛰어도 됩니다.
결과만 받을 수 있는 컬래버레이션 구성원의 경우, 서비스 역할을 AWS Clean Rooms 사용하여 컬래버레이션의 쿼리 데이터 결과를 지정된 Amazon S3 버킷에 기록합니다.
다음 두 가지 방법으로 이 서비스 역할을 생성할 수 있습니다.
| 만약... | Then |
|---|---|
| 서비스 역할을 생성하는 데 필요한 IAM 권한이 있어야 합니다. | AWS Clean Rooms 콘솔을 사용하여 서비스 역할을 생성합니다. |
|
또는 IAM 역할을 수동으로 만들고 싶습니다. |
다음 중 하나를 수행하십시오.
|
결과를 받을 서비스 역할을 만들려면
참고
AWS Clean Rooms 콘솔을 사용하여 서비스 역할을 생성하는 데 필요한 권한이 없는 경우에만 사용자 또는 IAM 관리자가 이 절차를 따라야 합니다.
-
사용 설명서의AWS Identity and Access Management 사용자 지정 신뢰 정책을 사용하여 역할 생성 (콘솔) 절차를 따르십시오.
-
사용자 지정 신뢰 정책을 사용하여 역할 만들기 (콘솔) 절차에 따라 다음 사용자 지정 신뢰 정책을 사용하십시오.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIfExternalIdMatches", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "sts:ExternalId": "arn:aws:*:region:*:dbuser:*/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa*" } } }, { "Sid": "AllowIfSourceArnMatches", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ForAnyValue:ArnEquals": { "aws:SourceArn": [ "arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa" ] } } } ] } -
사용자 지정 신뢰 정책을 사용하여 역할 만들기 (콘솔) 절차에 따라 다음 권한 정책을 사용하십시오.
참고
다음 예제 정책은 AWS Glue 메타데이터와 해당 Amazon S3 데이터를 읽는 데 필요한 권한을 지원합니다. 하지만 S3 데이터를 설정한 방법에 따라 이 정책을 수정해야 할 수도 있습니다.
AWS Glue 리소스와 기본 Amazon S3 리소스는 AWS 리전 AWS Clean Rooms 협업과 동일해야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket_name" ], "Condition": { "StringEquals": { "aws:ResourceAccount":"accountId" } } }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket_name/optional_key_prefix/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount":"accountId" } } } ] } -
각
플레이스홀더를자체 정보로 바꾸십시오.-
리전– AWS 리전의 이름. 예를 들어us-east-1입니다. -
a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa— 쿼리할 수 있는 구성원의 멤버십 ID입니다. 멤버십 ID는 공동 작업의 세부 정보 탭에서 찾을 수 있습니다. 이렇게 하면 해당 AWS Clean Rooms 구성원이 이 협업에서 분석을 실행할 때만 역할을 맡게 됩니다. -
arn:aws:cleanrooms:us-east- 1:5555555555:멤버십/A1B2C3D4-5678-90AB-CDef-exampleAAAAA— 쿼리할 수 있는 회원의 단일 멤버십 ARN. 멤버십 ARN은 공동 작업의 세부 정보 탭에서 찾을 수 있습니다. 따라서 이 AWS Clean Rooms 구성원이 이 공동 작업에서 분석을 실행할 때만 역할을 맡게 됩니다. -
bucket_name– S3 버킷의 Amazon 리소스 이름(ARN). Amazon 리소스 이름(ARN)은 Amazon S3에 있는 버킷의 속성 탭에서 찾을 수 있습니다. -
계정 ID— S3 AWS 계정 버킷이 위치한 ID입니다.bucket_name/optional_key_prefix— S3에 있는 결과 대상의 Amazon 리소스 이름(ARN). Amazon 리소스 이름(ARN)은 Amazon S3에 있는 버킷의 속성 탭에서 찾을 수 있습니다.
-
-
계속해서 사용자 지정 신뢰 정책을 사용하여 역할 생성 (콘솔) 절차를 따라 역할을 생성하십시오.
