As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurar funções de serviço para AWS Clean Rooms ML
Tópicos
Criar um perfil de serviço para ler dados de treinamento
AWS Clean Rooms usa uma função de serviço para ler dados de treinamento. Você pode criar esse perfil usando o console se você tiver as permissões necessárias do IAM. Se você não tiver CreateRole permissões, peça ao administrador que crie a função de serviço.
Para criar um perfil de serviço para treinar um conjunto de dados
-
Faça login no console do IAM em (https://console.aws.amazon.com/iam/
) com sua conta de administrador. -
Em Access management (Gerenciamento de acesso), escolha Policies (Políticas).
-
Escolha Create policy (Criar política).
-
No Editor de políticas, selecione a guia JSON e copie e cole a política a seguir.
nota
O exemplo de política a seguir suporta as permissões necessárias para ler AWS Glue meta-dados e seus dados correspondentes do Amazon S3. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do S3. Essa política não inclui uma chave KMS para descriptografar dados.
Seus AWS Glue recursos e os recursos subjacentes do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartitions", "glue:GetPartition", "glue:BatchGetPartition", "glue:GetUserDefinedFunctions" ], "Resource": [ "arn:aws:glue:region:accountId:database/databases", "arn:aws:glue:region:accountId:table/databases/tables", "arn:aws:glue:region:accountId:catalog", "arn:aws:glue:region:accountId:database/default" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase" ], "Resource": [ "arn:aws:glue:region:accountId:database/default" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::bucket" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }Se você precisar usar uma chave KMS para descriptografar dados, adicione esta AWS KMS instrução ao modelo anterior:
{ "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
Escolha Próximo.
-
Em Analisar e criar, insira um Nome da política e uma Descrição e analise o Resumo.
-
Escolha Criar política.
Você criou uma política para AWS Clean Rooms.
-
Em Gerenciamento de acesso, escolha Perfis.
Com Perfis, é possível criar credenciais de curto prazo, o que é recomendado para aumentar a segurança. Você também pode escolher Usuários para criar credenciais de longo prazo.
-
Selecione Criar perfil.
-
No assistente Criar perfil, para Tipo de entidade confiável, escolha Política de confiança personalizada.
-
Copie e cole a seguinte política de confiança personalizada no editor JSON.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:training-dataset/*" } } } ] }A AWS conta
SourceAccounté sempre sua. OSourceArnpode ser limitado a um conjunto de dados de treinamento específico, mas somente após a criação desse conjunto de dados. Como você não pode conhecer com antecedência o ARN do conjunto de dados de treinamento, o caractere curinga é especificado aqui. -
Escolha Próximo e, em Adicionar permissões, insira o nome da política que você acabou de criar. (Você pode precisar recarregar a página.)
-
Marque a caixa de seleção ao lado do nome da política que você criou e escolha Próximo.
-
Para Nome, revisar e criar, insira um nome de perfil e uma descrição.
nota
O nome do perfil deve corresponder ao padrão nas
passRolepermissões concedidas ao membro que pode consultar e receber resultados e funções do membro.-
Revise Selecionar entidades confiáveis e edite, se necessário.
-
Revise as permissões em Adicionar permissões e edite, se necessário.
-
Revise as tags e adicione tags, se necessário.
-
Selecione Criar perfil.
-
-
A função de serviço para AWS Clean Rooms foi criada.
Criar um perfil de serviço para escrever um segmento de semelhanças
AWS Clean Rooms usa uma função de serviço para gravar segmentos semelhantes em um bucket. Você pode criar esse perfil usando o console se você tiver as permissões necessárias do IAM. Se você não tiver CreateRole permissões, peça ao administrador que crie a função de serviço.
Para criar um perfil de serviço para escrever um segmento de semelhanças
-
Faça login no console do IAM em (https://console.aws.amazon.com/iam/
) com sua conta de administrador. -
Em Access management (Gerenciamento de acesso), escolha Policies (Políticas).
-
Escolha Create policy (Criar política).
-
No Editor de políticas, selecione a guia JSON e copie e cole a política a seguir.
nota
O exemplo de política a seguir suporta as permissões necessárias para ler AWS Glue meta-dados e seus dados correspondentes do Amazon S3. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do S3. Essa política não inclui uma chave KMS para descriptografar dados.
Seus AWS Glue recursos e os recursos subjacentes do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::buckets" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }Se você precisar usar uma chave KMS para criptografar dados, adicione esta AWS KMS declaração ao modelo:
{ "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*", ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] }Se você precisar usar uma chave KMS para descriptografar dados, adicione esta AWS KMS instrução ao modelo:
{ "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
Escolha Próximo.
-
Em Analisar e criar, insira um Nome da política e uma Descrição e analise o Resumo.
-
Escolha Criar política.
Você criou uma política para AWS Clean Rooms.
-
Em Gerenciamento de acesso, escolha Perfis.
Com Perfis, é possível criar credenciais de curto prazo, o que é recomendado para aumentar a segurança. Você também pode escolher Usuários para criar credenciais de longo prazo.
-
Selecione Criar perfil.
-
No assistente Criar perfil, para Tipo de entidade confiável, escolha Política de confiança personalizada.
-
Copie e cole a seguinte política de confiança personalizada no editor JSON.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:configured-audience-model/*" } } } ] }A AWS conta
SourceAccounté sempre sua. OSourceArnpode ser limitado a um conjunto de dados de treinamento específico, mas somente após a criação desse conjunto de dados. Como você não pode conhecer com antecedência o ARN do conjunto de dados de treinamento, o caractere curinga é especificado aqui. -
Escolha Próximo.
-
Marque a caixa de seleção ao lado do nome da política que você criou e escolha Próximo.
-
Para Nome, revisar e criar, insira um nome de perfil e uma descrição.
nota
O nome do perfil deve corresponder ao padrão nas
passRolepermissões concedidas ao membro que pode consultar e receber resultados e funções do membro.-
Revise Selecionar entidades confiáveis e edite, se necessário.
-
Revise as permissões em Adicionar permissões e edite, se necessário.
-
Revise as tags e adicione tags, se necessário.
-
Selecione Criar perfil.
-
-
A função de serviço para AWS Clean Rooms foi criada.
Criar um perfil de serviço para ler dados de seed
AWS Clean Rooms usa uma função de serviço para ler dados iniciais. Você pode criar esse perfil usando o console se você tiver as permissões necessárias do IAM. Se você não tiver CreateRole permissões, peça ao administrador que crie a função de serviço.
Para criar um perfil de serviço para ler dados de seed
-
Faça login no console do IAM em (https://console.aws.amazon.com/iam/
) com sua conta de administrador. -
Em Access management (Gerenciamento de acesso), escolha Policies (Políticas).
-
Escolha Create policy (Criar política).
-
No Editor de políticas, selecione a guia JSON e copie e cole a política a seguir.
nota
O exemplo de política a seguir suporta as permissões necessárias para ler AWS Glue meta-dados e seus dados correspondentes do Amazon S3. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do S3. Essa política não inclui uma chave KMS para descriptografar dados.
Seus AWS Glue recursos e os recursos subjacentes do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", ], "Resource": [ "arn:aws:s3:::buckets" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucketFolders/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "accountId" ] } } } ] }Se você precisar usar uma chave KMS para descriptografar dados, adicione esta AWS KMS instrução ao modelo:
{ "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:region:accountId:key/keyId" ], "Condition": { "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*" } } } ] } -
Escolha Próximo.
-
Em Analisar e criar, insira um Nome da política e uma Descrição e analise o Resumo.
-
Escolha Criar política.
Você criou uma política para AWS Clean Rooms.
-
Em Gerenciamento de acesso, escolha Perfis.
Com Perfis, é possível criar credenciais de curto prazo, o que é recomendado para aumentar a segurança. Você também pode escolher Usuários para criar credenciais de longo prazo.
-
Selecione Criar perfil.
-
No assistente Criar perfil, para Tipo de entidade confiável, escolha Política de confiança personalizada.
-
Copie e cole a seguinte política de confiança personalizada no editor JSON.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeRole", "Effect": "Allow", "Principal": { "Service": "cleanrooms-ml.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEqualsIfExists": { "aws:SourceAccount": ["accountId"] }, "StringLikeIfExists": { "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:audience-generation-job/*" } } } ] }A AWS conta
SourceAccounté sempre sua. OSourceArnpode ser limitado a um conjunto de dados de treinamento específico, mas somente após a criação desse conjunto de dados. Como você não pode conhecer com antecedência o ARN do conjunto de dados de treinamento, o caractere curinga é especificado aqui. -
Escolha Próximo.
-
Marque a caixa de seleção ao lado do nome da política que você criou e escolha Próximo.
-
Para Nome, revisar e criar, insira um nome de perfil e uma descrição.
nota
O nome do perfil deve corresponder ao padrão nas
passRolepermissões concedidas ao membro que pode consultar e receber resultados e funções do membro.-
Revise Selecionar entidades confiáveis e edite, se necessário.
-
Revise as permissões em Adicionar permissões e edite, se necessário.
-
Revise as tags e adicione tags, se necessário.
-
Selecione Criar perfil.
-
-
A função de serviço para AWS Clean Rooms foi criada.
