Configurar funções de serviço para AWS Clean Rooms - AWS Clean Rooms

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar funções de serviço para AWS Clean Rooms

As seções a seguir descrevem as funções necessárias para realizar cada tarefa.

Criação de um usuário administrador

Para usar AWS Clean Rooms, você precisa criar um usuário administrador para si mesmo e adicionar o usuário administrador a um grupo de administradores.

Para criar um usuário administrador, selecione uma das opções a seguir.

Selecionar uma forma de gerenciar o administrador Para Por Você também pode
Centro de Identidade do IAM

(Recomendado)

Usar credenciais de curto prazo para acessar a AWS.

Isso está de acordo com as práticas recomendadas de segurança. Para obter informações sobre as práticas recomendadas, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

Seguindo as instruções em Conceitos básicos no Guia do usuário do AWS IAM Identity Center . Configure o acesso programático configurando o AWS CLI para uso AWS IAM Identity Center no Guia do AWS Command Line Interface usuário.
No IAM

(Não recomendado)

Usar credenciais de longo prazo para acessar a AWS. Seguindo as instruções em Criar um acesso de emergência para um usuário do IAM no Guia do usuário do IAM. Configurar o acesso programático, com base em Gerenciar chaves de acesso para usuários do IAM no Guia do usuário do IAM.

Criar um perfil do IAM para um membro da colaboração

Um membro é um AWS cliente que participa de uma colaboração.

Para criar um perfil do IAM para um membro da colaboração
  1. Siga o procedimento Criar um perfil para delegar permissões a um usuário do IAM no Guia do usuário do AWS Identity and Access Management .

  2. Na etapa Criar política, selecione a guia JSON no Editor de políticas e adicione políticas de acordo com as habilidades concedidas ao membro da colaboração.

    AWS Clean Rooms oferece as seguintes políticas gerenciadas com base em casos de uso comuns.

    Se você deseja ... Em seguida, use ...
    Veja os recursos e os meta-dados AWS política gerenciada: AWSCleanRoomsReadOnlyAccess
    Consulta AWS política gerenciada: AWSCleanRoomsFullAccess
    Consultar e executar trabalhos AWS política gerenciada: AWSCleanRoomsFullAccess
    Consulte e receba resultados AWS política gerenciada: AWSCleanRoomsFullAccess
    Gerenciar recursos de colaboração, mas não fazer consultas AWS política gerenciada: AWSCleanRoomsFullAccessNoQuerying

    Para obter informações sobre as diferentes políticas gerenciadas oferecidas pela AWS Clean Rooms, consulteAWS políticas gerenciadas para AWS Clean Rooms,

Crie uma função de serviço para ler dados do Amazon S3

AWS Clean Rooms usa uma função de serviço para ler os dados do Amazon S3.

Há duas maneiras de criar essa função de serviço.

  • Se você tiver as permissões do IAM necessárias para criar uma função de serviço, use o AWS Clean Rooms console para criar uma função de serviço.

  • Se você não tiver iam:CreateRole iam:AttachRolePolicy permissões ou quiser criar as funções do IAM manualmente, faça o seguinte: iam:CreatePolicy

    • Use o procedimento a seguir para criar uma função de serviço usando políticas de confiança personalizadas.

    • Peça ao administrador que crie o perfil de serviço usando o procedimento a seguir.

nota

Você ou seu administrador do IAM devem seguir esse procedimento somente se não tiverem as permissões necessárias para criar uma função de serviço usando o AWS Clean Rooms console.

Para criar uma função de serviço para ler dados do Amazon S3 usando políticas de confiança personalizadas
  1. Crie uma função usando políticas de confiança personalizadas. Para obter mais informações, consulte o procedimento Criar uma função usando políticas de confiança personalizadas (console) no Guia do AWS Identity and Access Management usuário.

  2. Use a política de confiança personalizada a seguir de acordo com o procedimento Criar um perfil usando políticas de confiança personalizadas (console).

    nota

    Se você quiser ajudar a garantir que a função seja usada somente no contexto de uma determinada associação de colaboração, você pode detalhar ainda mais a política de confiança. Para obter mais informações, consulte Prevenção contra o ataque do “substituto confuso” em todos os serviços.

    JSON
    { "Version": "2012-10-17", "Statement": [ { "Sid": "RoleTrustPolicyForCleanRoomsService", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  3. Use a política de permissões a seguir de acordo com o procedimento Criar um perfil usando políticas de confiança personalizadas (console).

    nota

    O exemplo de política a seguir suporta as permissões necessárias para ler AWS Glue meta-dados e seus dados correspondentes do Amazon S3. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do Amazon S3. Por exemplo, se você configurou uma chave KMS personalizada para seus dados do Amazon S3, talvez seja necessário alterar essa política com permissões AWS Key Management Service adicionais AWS KMS().

    Seus AWS Glue recursos e os recursos subjacentes do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms

    JSON
    { "Version": "2012-10-17", "Statement": [ { "Sid": "NecessaryGluePermissions", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "arn:aws:glue:us-east-1:111122223333:database/databaseName", "arn:aws:glue:us-east-1:111122223333:table/databaseName/tableName", "arn:aws:glue:us-east-1:111122223333:catalog" ] }, { "Effect": "Allow", "Action": [ "glue:GetSchema", "glue:GetSchemaVersion" ], "Resource": [ "*" ] }, { "Sid": "NecessaryS3BucketPermissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket" ], "Condition": { "StringEquals": { "s3:ResourceAccount": [ "444455556666" ] } } }, { "Sid": "NecessaryS3ObjectPermissions", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::bucket/prefix/*" ], "Condition": { "StringEquals": { "s3:ResourceAccount": [ "444455556666" ] } } } ] }
    nota

    Essa política faz referência a duas diferentes Conta da AWS IDs para apoiar uma AWS Clean Rooms colaboração em que os metadados do catálogo de dados e o armazenamento real de dados são gerenciados por partes diferentes:

    • 111122223333 - Essa é a conta que possui os recursos do Catálogo de Dados (bancos de AWS Glue dados, tabelas e catálogo). A primeira instrução concede permissões para acessar esquemas de tabelas, informações de partição e metadados do catálogo dessa conta. AWS Glue

    • 444455556666 - Essa é a conta que possui o bucket do Amazon S3 contendo os arquivos de dados reais. As permissões do Amazon S3 (declarações 3 e 4) são restritas aos buckets pertencentes a essa conta por meio da condição. s3:ResourceAccount

    Essa configuração oferece suporte a arquiteturas comuns de dados corporativos, nas quais uma equipe gerencia o catálogo de dados e as definições do esquema, enquanto outra é proprietária da infraestrutura subjacente de armazenamento de dados. A s3:ResourceAccount condição fornece uma camada de segurança adicional, garantindo que as operações do Amazon S3 funcionem somente em buckets pertencentes à conta designada.

  4. Substitua cada placeholder por suas próprias informações.

  5. Continue seguindo o procedimento Criar um perfil usando políticas de confiança personalizadas (console) para criar o perfil.

Crie uma função de serviço para ler dados do Amazon Athena

AWS Clean Rooms usa uma função de serviço para ler os dados do Amazon Athena.

Para criar uma função de serviço para ler dados do Athena usando políticas de confiança personalizadas
  1. Crie uma função usando políticas de confiança personalizadas. Para obter mais informações, consulte o procedimento Criar uma função usando políticas de confiança personalizadas (console) no Guia do AWS Identity and Access Management usuário.

  2. Use a política de confiança personalizada a seguir de acordo com o procedimento Criar um perfil usando políticas de confiança personalizadas (console).

    nota

    Se você quiser ajudar a garantir que a função seja usada somente no contexto de uma determinada associação de colaboração, você pode detalhar ainda mais a política de confiança. Para obter mais informações, consulte Prevenção contra o ataque do “substituto confuso” em todos os serviços.

    JSON
    { "Version": "2012-10-17", "Statement": [ { "Sid": "RoleTrustPolicyForCleanRoomsService", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  3. Use a política de permissões a seguir de acordo com o procedimento Criar um perfil usando políticas de confiança personalizadas (console).

    nota

    O exemplo de política a seguir oferece suporte às permissões necessárias para ler AWS Glue metadados e seus dados correspondentes do Athena. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do Amazon S3. Por exemplo, se você já configurou uma chave KMS personalizada para seus dados do Amazon S3, talvez seja necessário alterar essa política com permissões adicionais. AWS KMS

    Seus AWS Glue recursos e os recursos subjacentes do Athena devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms

    JSON
    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "athena:GetDataCatalog", "athena:GetWorkGroup", "athena:GetTableMetadata", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution" ], "Resource": [ "arn:aws:athena:us-east-1:111122223333:workgroup/workgroup", "arn:aws:athena:us-east-1:111122223333:datacatalog/AwsDataCatalog" ] }, { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetTable", "glue:GetPartitions" ], "Resource": [ "arn:aws:glue:us-east-1:111122223333:catalog", "arn:aws:glue:us-east-1:111122223333:database/database name", "arn:aws:glue:us-east-1:111122223333:table/database name/table name" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetBucketLocation", "s3:AbortMultipartUpload", "s3:ListBucket", "s3:PutObject", "s3:ListMultipartUploadParts" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ] }, { "Effect": "Allow", "Action": "lakeformation:GetDataAccess", "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/*" } ] }
  4. Substitua cada placeholder por suas próprias informações.

  5. Continue seguindo o procedimento Criar um perfil usando políticas de confiança personalizadas (console) para criar o perfil.

Configurar permissões do Lake Formation

Se você consultar recursos protegidos com as permissões do Lake Formation, a função de serviço deverá ter as permissões de acesso Selecionar table/view e Descrever no AWS Glue banco de dados em que a exibição está armazenada.

Para obter mais informações, consulte:

Crie uma função de serviço para ler dados do Snowflake

AWS Clean Rooms usa uma função de serviço para recuperar suas credenciais para que o Snowflake leia seus dados dessa fonte.

Há duas maneiras de criar esse perfil de serviço:

  • Se você tiver as permissões do IAM necessárias para criar uma função de serviço, use o AWS Clean Rooms console para criar uma função de serviço.

  • Se você não tiver iam:CreateRole iam:AttachRolePolicy permissões ou quiser criar as funções do IAM manualmente, faça o seguinte: iam:CreatePolicy

    • Use o procedimento a seguir para criar uma função de serviço usando políticas de confiança personalizadas.

    • Peça ao administrador que crie o perfil de serviço usando o procedimento a seguir.

nota

Você ou seu administrador do IAM devem seguir esse procedimento somente se não tiverem as permissões necessárias para criar uma função de serviço usando o AWS Clean Rooms console.

Para criar uma função de serviço para ler dados do Snowflake usando políticas de confiança personalizadas
  1. Crie uma função usando políticas de confiança personalizadas. Para obter mais informações, consulte o procedimento Criar uma função usando políticas de confiança personalizadas (console) no Guia do AWS Identity and Access Management usuário.

  2. Use a política de confiança personalizada a seguir de acordo com o procedimento Criar um perfil usando políticas de confiança personalizadas (console).

    nota

    Se você quiser ajudar a garantir que a função seja usada somente no contexto de uma determinada associação de colaboração, você pode detalhar ainda mais a política de confiança. Para obter mais informações, consulte Prevenção contra o ataque do “substituto confuso” em todos os serviços.

    JSON
    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIfSourceArnMatches", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ForAnyValue:ArnEquals": { "aws:SourceArn": [ "arn:aws:cleanrooms:us-east-1:111122223333:membership/membershipId", "arn:aws:cleanrooms:us-east-1:444455556666:membership/queryRunnerMembershipId" ] } } } ] }
    nota

    Essa política de confiança faz referência a duas diferentes Conta da AWS IDs para apoiar uma AWS Clean Rooms colaboração em que as responsabilidades de execução da consulta são distribuídas entre várias partes:

    • 111122223333 - Essa é a conta que contém uma associação participando da colaboração. Essa associação pode possuir tabelas de dados, regras de análise ou outros recursos de colaboração que exijam acesso à função.

    • 444455556666 - Essa é a conta que contém a associação responsável pela execução de consultas (o “executor de consultas”). Essa associação executa consultas protegidas e precisa assumir essa função para acessar os recursos computacionais e de dados necessários.

    Essa configuração permite cenários em que uma parte fornece modelos de dados ou de análise enquanto outra parte executa as consultas reais. Ambas as funções exigem permissões diferentes, mas complementares, por meio da mesma função de execução. A aws:SourceArn condição garante que somente AWS Clean Rooms as operações originadas dessas duas associações específicas possam assumir a função, mantendo a segurança e dando suporte ao fluxo de trabalho distribuído de execução de tarefas e gerenciamento de resultados.

  3. Use uma das seguintes políticas de permissões de acordo com o procedimento Criar uma função usando políticas de confiança personalizadas (console).

    Política de permissão para segredos criptografados com uma chave KMS de propriedade do cliente

    JSON
    { "Version": "2012-10-17", "Statement": [ { "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secretIdentifier", "Effect": "Allow" }, { "Sid": "AllowDecryptViaSecretsManagerForKey", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-east-1:444455556666:key/keyIdentifier", "Effect": "Allow", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secretIdentifier" } } } ] }
    nota

    Essa política faz referência a duas diferentes Conta da AWS IDs para dar suporte a um cenário de gerenciamento de segredos entre contas:

    • 111122223333 - Essa é a conta que possui e armazena o segredo. A primeira declaração concede permissão para recuperar o valor secreto dessa conta.

    • 444455556666 - Essa é a conta que possui a AWS KMS chave usada para criptografar o segredo. A segunda declaração concede permissão para decifrar o segredo usando a AWS KMS chave dessa conta.

    Essa configuração é comum em ambientes corporativos em que:

    • Os segredos são gerenciados centralmente em uma conta (Conta 1)

    • As chaves de criptografia são gerenciadas por uma conta separada de segurança ou serviços compartilhados (Conta 2)

    • A política de AWS KMS chaves na Conta 2 também deve permitir que o serviço na Conta 1 use a chave para encryption/decryption operações

    A kms:EncryptionContext:SecretARN condição garante que a AWS KMS chave só possa ser usada para descriptografar esse segredo específico, fornecendo uma camada adicional de segurança para acesso entre contas.

    Política de permissão para segredos criptografados com um Chave gerenciada pela AWS

    JSON
    { "Version": "2012-10-17", "Statement": [ { "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secretIdentifier", "Effect": "Allow" } ] }
  4. Substitua cada placeholder por suas próprias informações.

  5. Continue seguindo o procedimento Criar um perfil usando políticas de confiança personalizadas (console) para criar o perfil.

Crie uma função de serviço para ler o código de um bucket do S3 (função do modelo de PySpark análise)

AWS Clean Rooms usa uma função de serviço para ler o código do bucket S3 especificado por um membro da colaboração ao usar um modelo de PySpark análise.

Para criar uma função de serviço para ler o código de um bucket do S3
  1. Crie uma função usando políticas de confiança personalizadas. Para obter mais informações, consulte o procedimento Criar uma função usando políticas de confiança personalizadas (console) no Guia do AWS Identity and Access Management usuário.

  2. Use a política de confiança personalizada a seguir de acordo com o procedimento Criar um perfil usando políticas de confiança personalizadas (console).

    JSON
    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ForAnyValue:ArnEquals": { "aws:SourceArn": [ "arn:aws:cleanrooms:us-east-1:111122223333:membership/jobRunnerMembershipId", "arn:aws:cleanrooms:us-east-1:444455556666:membership/analysisTemplateOwnerMembershipId" ] } } } ] }
    nota

    Essa política de confiança faz referência a duas diferentes Conta da AWS IDs para dar suporte a um cenário de AWS Clean Rooms colaboração entre várias partes:

    • 111122223333 - Essa é a conta que contém a associação responsável pela execução de consultas (o “executor do trabalho”). Essa associação executa os trabalhos de análise e precisa assumir essa função para acessar os recursos necessários.

    • 444455556666 - Essa é a conta que possui o modelo de análise e sua associação associada (o “proprietário do modelo de análise”). Essa associação define quais consultas podem ser executadas e também precisa assumir essa função para gerenciar e executar a análise.

    Essa configuração é típica em AWS Clean Rooms colaborações em que várias partes participam da mesma colaboração, cada uma com suas próprias Conta da AWS e com membros. Tanto o executor da consulta quanto o proprietário do modelo de análise precisam acessar recursos compartilhados. A aws:SourceArn condição garante que somente AWS Clean Rooms as operações originadas dessas duas associações específicas possam assumir a função, fornecendo controle de acesso preciso para a colaboração entre várias partes.

  3. Use a política de permissões a seguir de acordo com o procedimento Criar um perfil usando políticas de confiança personalizadas (console).

    nota

    O exemplo de política a seguir suporta as permissões necessárias para ler seu código do Amazon S3. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do S3.

    Seus recursos do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms

    JSON
    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": ["arn:aws:s3:::s3Path"], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "s3BucketOwnerAccountId" ] } } } ] }
  4. Substitua cada um placeholder por suas próprias informações:

    • s3Path— A localização do bucket S3 do seu código.

    • s3BucketOwnerAccountId— O Conta da AWS ID do proprietário do bucket S3.

    • region – O nome da Região da AWS. Por exemplo, .us-east-1

    • jobRunnerAccountId— O Conta da AWS ID do membro que pode executar consultas e trabalhos.

    • jobRunnerMembershipId— O ID de membro do membro que pode consultar e executar trabalhos. A ID de membro pode ser encontrada na guia Detalhes da colaboração. Isso garante que AWS Clean Rooms esteja assumindo a função somente quando esse membro executa a análise nessa colaboração.

    • analysisTemplateAccountId— O Conta da AWS ID do modelo de análise.

    • analysisTemplateOwnerMembershipId— O ID de membro do membro que possui o modelo de análise. A ID de membro pode ser encontrada na guia Detalhes da colaboração.

  5. Continue seguindo o procedimento Criar um perfil usando políticas de confiança personalizadas (console) para criar o perfil.

Crie uma função de serviço para escrever os resultados de um PySpark trabalho

AWS Clean Rooms usa uma função de serviço para gravar os resultados de um PySpark trabalho em um bucket S3 especificado.

Para criar uma função de serviço para gravar os resultados de um PySpark trabalho
  1. Crie uma função usando políticas de confiança personalizadas. Para obter mais informações, consulte o procedimento Criar uma função usando políticas de confiança personalizadas (console) no Guia do AWS Identity and Access Management usuário.

  2. Use a política de confiança personalizada a seguir de acordo com o procedimento Criar um perfil usando políticas de confiança personalizadas (console).

    JSON
    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ForAnyValue:ArnEquals": { "aws:SourceArn": [ "arn:aws:cleanrooms:us-east-1:111122223333:membership/jobRunnerMembershipId", "arn:aws:cleanrooms:us-east-1:444455556666:membership/rrMembershipId" ] } } } ] }
    nota

    Essa política de confiança faz referência a duas diferentes Conta da AWS IDs para apoiar uma AWS Clean Rooms colaboração com funções operacionais distintas:

    • 111122223333 - Essa é a conta que contém a associação responsável pela execução de trabalhos de análise (o “executor de tarefas”). Essa associação executa as cargas de trabalho computacionais e precisa assumir essa função para acessar os recursos de processamento.

    • 444455556666 - Essa é a conta que contém a associação com responsabilidades do receptor de resultados (RR). Essa associação está autorizada a receber e acessar a saída dos trabalhos de análise e precisa de acesso à função para gravar os resultados nos locais designados.

    Essa configuração permite AWS Clean Rooms cenários em que uma parte executa a análise computacional enquanto outra recebe e gerencia os resultados. Ambas as funções exigem permissões diferentes, mas complementares, por meio da mesma função de execução. A aws:SourceArn condição garante que somente AWS Clean Rooms as operações originadas dessas duas associações específicas possam assumir a função, mantendo a segurança e dando suporte ao fluxo de trabalho distribuído de execução de tarefas e gerenciamento de resultados.

  3. Use a política de permissões a seguir de acordo com o procedimento Criar um perfil usando políticas de confiança personalizadas (console).

    nota

    O exemplo de política a seguir suporta as permissões necessárias para gravar no Amazon S3. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou o S3.

    Seus recursos do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms

    JSON
    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::bucket/optionalPrefix/*", "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "s3BucketOwnerAccountId" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": "arn:aws:s3:::bucket", "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "s3BucketOwnerAccountId" ] } } } ] }
  4. Substitua cada um placeholder por suas próprias informações:

    • region – O nome da Região da AWS. Por exemplo, .us-east-1

    • jobRunnerAccountId— O Conta da AWS ID no qual o bucket do S3 está localizado.

    • jobRunnerMembershipId— O ID de membro do membro que pode consultar e executar trabalhos. A ID de membro pode ser encontrada na guia Detalhes da colaboração. Isso garante que AWS Clean Rooms esteja assumindo a função somente quando esse membro executa a análise nessa colaboração.

    • rrAccountId— O Conta da AWS ID no qual o bucket do S3 está localizado.

    • rrMembershipId— O ID de membro do membro que pode receber os resultados. A ID de membro pode ser encontrada na guia Detalhes da colaboração. Isso garante que AWS Clean Rooms esteja assumindo a função somente quando esse membro executa a análise nessa colaboração.

    • bucket— O nome e a localização do bucket do S3.

    • optionalPrefix— Um prefixo opcional se você quiser salvar seus resultados com um prefixo S3 específico.

    • s3BucketOwnerAccountId— O Conta da AWS ID do proprietário do bucket S3.

  5. Continue seguindo o procedimento Criar um perfil usando políticas de confiança personalizadas (console) para criar o perfil.

Criar um perfil de serviço para receber resultados

nota

Se você for o membro que só pode receber resultados (no console, Suas habilidades de membro são apenas Receber resultados), siga este procedimento.

Se você for um membro que pode consultar e receber resultados (no console, Suas habilidades de membro são Consultar e Receber resultados), poderá ignorar este procedimento.

Para membros da colaboração que só podem receber resultados, AWS Clean Rooms usa uma função de serviço para gravar os resultados dos dados consultados na colaboração no bucket do S3 especificado.

Há duas maneiras de criar esse perfil de serviço:

  • Se você tiver as permissões do IAM necessárias para criar uma função de serviço, use o AWS Clean Rooms console para criar uma função de serviço.

  • Se você não tiver iam:CreateRole iam:AttachRolePolicy permissões ou quiser criar as funções do IAM manualmente, faça o seguinte: iam:CreatePolicy

    • Use o procedimento a seguir para criar uma função de serviço usando políticas de confiança personalizadas.

    • Peça ao administrador que crie o perfil de serviço usando o procedimento a seguir.

nota

Você ou seu administrador do IAM devem seguir esse procedimento somente se não tiverem as permissões necessárias para criar uma função de serviço usando o AWS Clean Rooms console.

Para criar uma função de serviço para receber resultados usando políticas de confiança personalizadas
  1. Crie uma função usando políticas de confiança personalizadas. Para obter mais informações, consulte o procedimento Criar uma função usando políticas de confiança personalizadas (console) no Guia do AWS Identity and Access Management usuário.

  2. Use a política de confiança personalizada a seguir de acordo com o procedimento Criar um perfil usando políticas de confiança personalizadas (console).

    JSON
    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIfExternalIdMatches", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "sts:ExternalId": "arn:aws:*:region:*:dbuser:*/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa*" } } }, { "Sid": "AllowIfSourceArnMatches", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ForAnyValue:ArnEquals": { "aws:SourceArn": [ "arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa" ] } } } ] }
  3. Use a política de permissões a seguir de acordo com o procedimento Criar um perfil usando políticas de confiança personalizadas (console).

    nota

    O exemplo de política a seguir suporta as permissões necessárias para ler AWS Glue meta-dados e seus dados correspondentes do Amazon S3. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do S3.

    Seus AWS Glue recursos e os recursos subjacentes do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms

    JSON
    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket_name" ], "Condition": { "StringEquals": { "aws:ResourceAccount":"accountId" } } }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket_name/optional_key_prefix/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount":"accountId" } } } ] }
  4. Substitua cada um placeholder por suas próprias informações:

    • region – O nome da Região da AWS. Por exemplo, .us-east-1

    • a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa— O ID de membro do membro que pode consultar. A ID de membro pode ser encontrada na guia Detalhes da colaboração. Isso garante que AWS Clean Rooms esteja assumindo a função somente quando esse membro executa a análise nessa colaboração.

    • arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa— O ARN de associação único do membro que pode consultar. O ARN da associação pode ser encontrado na guia Detalhes da colaboração. Isso garante AWS Clean Rooms que ele assuma a função somente quando esse membro executa a análise nessa colaboração.

    • bucket_name— O nome de recurso da Amazon (ARN) do bucket S3. O nome do recurso da Amazon (ARN) pode ser encontrado na guia Propriedades do bucket no Amazon S3.

    • accountId— O Conta da AWS ID no qual o bucket do S3 está localizado.

      bucket_name/optional_key_prefix— O Amazon Resource Name (ARN) do destino dos resultados no Amazon S3. O nome do recurso da Amazon (ARN) pode ser encontrado na guia Propriedades do bucket no Amazon S3.

  5. Continue seguindo o procedimento Criar um perfil usando políticas de confiança personalizadas (console) para criar o perfil.