As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurar funções de serviço para AWS Clean Rooms
Tópicos
- Criação de um usuário administrador
- Criar um perfil do IAM para um membro da colaboração
- Crie uma função de serviço para ler dados do Amazon S3
- Crie uma função de serviço para ler dados do Amazon Athena
- Crie uma função de serviço para ler dados do Snowflake
- Criar um perfil de serviço para receber resultados
Criação de um usuário administrador
Para usar AWS Clean Rooms, você precisa criar um usuário administrador para si mesmo e adicionar o usuário administrador a um grupo de administradores.
Para criar um usuário administrador, selecione uma das opções a seguir.
| Selecionar uma forma de gerenciar o administrador | Para | Por | Você também pode |
|---|---|---|---|
| Centro de Identidade do IAM (Recomendado) |
Use credenciais de curto prazo para acessar a AWS. Isso está de acordo com as práticas recomendadas de segurança. Para obter informações sobre as práticas recomendadas, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM. |
Seguindo as instruções em Conceitos básicos no Guia do usuário do AWS IAM Identity Center . | Configure o acesso programático configurando o AWS CLI para uso AWS IAM Identity Center no Guia do AWS Command Line Interface usuário. |
| No IAM (Não recomendado) |
Use credenciais de curto prazo para acessar a AWS. | Siga as instruções em Criar um usuário do IAM para acesso de emergência no Guia do usuário do IAM. | Configure o acesso programático gerenciando chaves de acesso para usuários do IAM no Guia do usuário do IAM. |
Criar um perfil do IAM para um membro da colaboração
Um membro é um AWS cliente que participa de uma colaboração.
Para criar um perfil do IAM para um membro da colaboração
-
Siga o procedimento Criar um perfil para delegar permissões a um usuário do IAM no Guia do usuário do AWS Identity and Access Management .
-
Na etapa Criar política, selecione a guia JSON no Editor de políticas e adicione políticas de acordo com as habilidades concedidas ao membro da colaboração.
AWS Clean Rooms oferece as seguintes políticas gerenciadas com base em casos de uso comuns.
Se você deseja ... Em seguida, use ... Veja os recursos e os meta-dados AWS política gerenciada: AWSCleanRoomsReadOnlyAccess Consulta AWS política gerenciada: AWSCleanRoomsFullAccess Consulte e receba resultados AWS política gerenciada: AWSCleanRoomsFullAccess Gerenciar recursos de colaboração, mas não fazer consultas AWS política gerenciada: AWSCleanRoomsFullAccessNoQuerying Para obter informações sobre as diferentes políticas gerenciadas oferecidas pela AWS Clean RoomsAWS políticas gerenciadas para AWS Clean Rooms, consulte
Crie uma função de serviço para ler dados do Amazon S3
AWS Clean Rooms usa uma função de serviço para ler os dados do Amazon S3.
Há duas maneiras de criar essa função de serviço.
-
Se você tiver as permissões do IAM necessárias para criar uma função de serviço, use o AWS Clean Rooms console para criar uma função de serviço.
-
Se você não tiver
iam:CreateRoleiam:AttachRolePolicypermissões ou quiser criar as funções do IAM manualmente, faça o seguinte:iam:CreatePolicy-
Use o procedimento a seguir para criar uma função de serviço usando políticas de confiança personalizadas.
-
Peça ao administrador que crie o perfil de serviço usando o procedimento a seguir.
-
nota
Você ou seu administrador do IAM devem seguir esse procedimento somente se não tiverem as permissões necessárias para criar uma função de serviço usando o AWS Clean Rooms console.
Para criar uma função de serviço para ler dados do Amazon S3 usando políticas de confiança personalizadas
-
Crie uma função usando políticas de confiança personalizadas. Para obter mais informações, consulte o procedimento Criar uma função usando políticas de confiança personalizadas (console) no Guia do AWS Identity and Access Management usuário.
-
Use a política de confiança personalizada a seguir de acordo com o procedimento Criar um perfil usando políticas de confiança personalizadas (console).
nota
Se você quiser ajudar a garantir que a função seja usada somente no contexto de uma determinada associação de colaboração, você pode detalhar ainda mais a política de confiança. Para obter mais informações, consulte Prevenção do problema do substituto confuso entre serviços.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RoleTrustPolicyForCleanRoomsService", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
Use a política de permissões a seguir de acordo com o procedimento Criar um perfil usando políticas de confiança personalizadas (console).
nota
O exemplo de política a seguir suporta as permissões necessárias para ler AWS Glue meta-dados e seus dados correspondentes do Amazon S3. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do Amazon S3. Por exemplo, se você configurou uma chave KMS personalizada para seus dados do Amazon S3, talvez seja necessário alterar essa política com permissões AWS Key Management Service adicionais AWS KMS().
Seus AWS Glue recursos e os recursos subjacentes do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms
{ "Version": "2012-10-17", "Statement": [ { "Sid": "NecessaryGluePermissions", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "arn:aws:glue:aws-region:accountId:database/database", "arn:aws:glue:aws-region:accountId:table/table", "arn:aws:glue:aws-region:accountId:catalog" ] }, { "Effect": "Allow", "Action": [ "glue:GetSchema", "glue:GetSchemaVersion" ], "Resource": [ "*" ] }, { "Sid": "NecessaryS3BucketPermissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "s3BucketOwnerAccountId" ] } } }, { "Sid": "NecessaryS3ObjectPermissions", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3::bucket/prefix/*" ], "Condition":{ "StringEquals":{ "s3:ResourceAccount":[ "s3BucketOwnerAccountId" ] } } } ] } -
Substitua cada
placeholderpor suas próprias informações. -
Continue seguindo o procedimento Criar um perfil usando políticas de confiança personalizadas (console) para criar o perfil.
Crie uma função de serviço para ler dados do Amazon Athena
AWS Clean Rooms usa uma função de serviço para ler os dados do Amazon Athena.
Para criar uma função de serviço para ler dados do Athena usando políticas de confiança personalizadas
-
Crie uma função usando políticas de confiança personalizadas. Para obter mais informações, consulte o procedimento Criar uma função usando políticas de confiança personalizadas (console) no Guia do AWS Identity and Access Management usuário.
-
Use a política de confiança personalizada a seguir de acordo com o procedimento Criar um perfil usando políticas de confiança personalizadas (console).
nota
Se você quiser ajudar a garantir que a função seja usada somente no contexto de uma determinada associação de colaboração, você pode detalhar ainda mais a política de confiança. Para obter mais informações, consulte Prevenção do problema do substituto confuso entre serviços.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RoleTrustPolicyForCleanRoomsService", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
Use a política de permissões a seguir de acordo com o procedimento Criar um perfil usando políticas de confiança personalizadas (console).
nota
O exemplo de política a seguir oferece suporte às permissões necessárias para ler AWS Glue metadados e seus dados correspondentes do Athena. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do Amazon S3. Por exemplo, se você já configurou uma chave KMS personalizada para seus dados do Amazon S3, talvez seja necessário alterar essa política com permissões adicionais. AWS KMS
Seus AWS Glue recursos e os recursos subjacentes do Athena devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "athena:GetDataCatalog", "athena:GetWorkGroup", "athena:GetTableMetadata", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution" ], "Resource": [ "arn:aws:athena:region:accountId:workgroup/workgroup", "arn:aws:athena:region:accountId:datacatalog/AwsDataCatalog" ] }, { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetTable", "glue:GetPartitions" ], "Resource": [ "arn:aws:glue:region:accountId:catalog", "arn:aws:glue:region:accountId:database/database name", "arn:aws:glue:region:accountId:table/database name/table name" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetBucketLocation", "s3:AbortMultipartUpload", "s3:ListBucket", "s3:PutObject", "s3:ListMultipartUploadParts" ], "Resource": [ "arn:aws:s3:::bucket", "arn:aws:s3:::bucket/*" ] }, { "Effect": "Allow", "Action": "lakeformation:GetDataAccess", "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:region:accountId:key/*" } ] } -
Substitua cada
placeholderpor suas próprias informações. -
Continue seguindo o procedimento Criar um perfil usando políticas de confiança personalizadas (console) para criar o perfil.
Configurar permissões do Lake Formation
A função de serviço deve ter permissões de acesso Selecionar e Descrever na Visualização GDC e Descrever no AWS Glue banco de dados em que a Visualização GDC está armazenada.
Crie uma função de serviço para ler dados do Snowflake
AWS Clean Rooms usa uma função de serviço para recuperar suas credenciais para que o Snowflake leia seus dados dessa fonte.
Há duas maneiras de criar esse perfil de serviço:
-
Se você tiver as permissões do IAM necessárias para criar uma função de serviço, use o AWS Clean Rooms console para criar uma função de serviço.
-
Se você não tiver
iam:CreateRoleiam:AttachRolePolicypermissões ou quiser criar as funções do IAM manualmente, faça o seguinte:iam:CreatePolicy-
Use o procedimento a seguir para criar uma função de serviço usando políticas de confiança personalizadas.
-
Peça ao administrador que crie o perfil de serviço usando o procedimento a seguir.
-
nota
Você ou seu administrador do IAM devem seguir esse procedimento somente se não tiverem as permissões necessárias para criar uma função de serviço usando o AWS Clean Rooms console.
Para criar uma função de serviço para ler dados do Snowflake usando políticas de confiança personalizadas
-
Crie uma função usando políticas de confiança personalizadas. Para obter mais informações, consulte o procedimento Criar uma função usando políticas de confiança personalizadas (console) no Guia do AWS Identity and Access Management usuário.
-
Use a política de confiança personalizada a seguir de acordo com o procedimento Criar um perfil usando políticas de confiança personalizadas (console).
nota
Se você quiser ajudar a garantir que a função seja usada somente no contexto de uma determinada associação de colaboração, você pode detalhar ainda mais a política de confiança. Para obter mais informações, consulte Prevenção do problema do substituto confuso entre serviços.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIfSourceArnMatches", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ForAnyValue:ArnEquals": { "aws:SourceArn": [ "arn:aws:cleanrooms:region:accountId:membership/membershipId", "arn:aws:cleanrooms:region:queryRunnerAccountId:membership/queryRunnerMembershipId" ] } } } ] } -
Use uma das seguintes políticas de permissões de acordo com o procedimento Criar uma função usando políticas de confiança personalizadas (console).
Política de permissão para segredos criptografados com uma chave KMS de propriedade do cliente
{ "Version": "2012-10-17", "Statement": [ { "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:region:secretAccountId:secret:secretIdentifier", "Effect": "Allow" }, { "Sid": "AllowDecryptViaSecretsManagerForKey", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:region:keyOwnerAccountId:key/keyIdentifier", "Effect": "Allow", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.region.amazonaws.com", "kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:region:secretAccountId:secret:secretIdentifier" } } } ] }Política de permissão para segredos criptografados com um Chave gerenciada pela AWS
{ "Version": "2012-10-17", "Statement": [ { "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:region:accountId:secret:secretIdentifier", "Effect": "Allow" } ] } -
Substitua cada
placeholderpor suas próprias informações. -
Continue seguindo o procedimento Criar um perfil usando políticas de confiança personalizadas (console) para criar o perfil.
Criar um perfil de serviço para receber resultados
nota
Se você for o membro que só pode receber resultados (no console, Suas habilidades de membro são apenas Receber resultados), siga este procedimento.
Se você for um membro que pode consultar e receber resultados (no console, Suas habilidades de membro são Consultar e Receber resultados), poderá ignorar este procedimento.
Para membros da colaboração que só podem receber resultados, AWS Clean Rooms usa uma função de serviço para gravar os resultados dos dados consultados na colaboração no bucket do S3 especificado.
Há duas maneiras de criar esse perfil de serviço:
-
Se você tiver as permissões do IAM necessárias para criar uma função de serviço, use o AWS Clean Rooms console para criar uma função de serviço.
-
Se você não tiver
iam:CreateRoleiam:AttachRolePolicypermissões ou quiser criar as funções do IAM manualmente, faça o seguinte:iam:CreatePolicy-
Use o procedimento a seguir para criar uma função de serviço usando políticas de confiança personalizadas.
-
Peça ao administrador que crie o perfil de serviço usando o procedimento a seguir.
-
nota
Você ou seu administrador do IAM devem seguir esse procedimento somente se não tiverem as permissões necessárias para criar uma função de serviço usando o AWS Clean Rooms console.
Para criar uma função de serviço para receber resultados usando políticas de confiança personalizadas
-
Crie uma função usando políticas de confiança personalizadas. Para obter mais informações, consulte o procedimento Criar uma função usando políticas de confiança personalizadas (console) no Guia do AWS Identity and Access Management usuário.
-
Use a política de confiança personalizada a seguir de acordo com o procedimento Criar um perfil usando políticas de confiança personalizadas (console).
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIfExternalIdMatches", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "sts:ExternalId": "arn:aws:*:region:*:dbuser:*/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa*" } } }, { "Sid": "AllowIfSourceArnMatches", "Effect": "Allow", "Principal": { "Service": "cleanrooms.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ForAnyValue:ArnEquals": { "aws:SourceArn": [ "arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa" ] } } } ] } -
Use a política de permissões a seguir de acordo com o procedimento Criar um perfil usando políticas de confiança personalizadas (console).
nota
O exemplo de política a seguir suporta as permissões necessárias para ler AWS Glue meta-dados e seus dados correspondentes do Amazon S3. No entanto, talvez seja necessário modificar essa política dependendo de como você configurou seus dados do S3.
Seus AWS Glue recursos e os recursos subjacentes do Amazon S3 devem estar no mesmo nível da Região da AWS colaboração. AWS Clean Rooms
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket_name" ], "Condition": { "StringEquals": { "aws:ResourceAccount":"accountId" } } }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket_name/optional_key_prefix/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount":"accountId" } } } ] } -
Substitua cada um
placeholderpor suas próprias informações:-
region– O nome da Região da AWS. Por exemplo,us-east-1. -
a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa— O ID de membro do membro que pode consultar. A ID de membro pode ser encontrada na guia Detalhes da colaboração. Isso garante que AWS Clean Rooms esteja assumindo a função somente quando esse membro executa a análise nessa colaboração. -
arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa— O ARN de associação único do membro que pode consultar. O ARN da associação pode ser encontrado na guia Detalhes da colaboração. Isso garante AWS Clean Rooms que ele assuma a função somente quando esse membro executa a análise nessa colaboração. -
bucket_name— O nome de recurso da Amazon (ARN) do bucket S3. O nome do recurso da Amazon (ARN) pode ser encontrado na guia Propriedades do bucket no Amazon S3. -
accountId— O Conta da AWS ID no qual o bucket do S3 está localizado.bucket_name/optional_key_prefix— O Amazon Resource Name (ARN) do destino dos resultados no Amazon S3. O nome do recurso da Amazon (ARN) pode ser encontrado na guia Propriedades do bucket no Amazon S3.
-
-
Continue seguindo o procedimento Criar um perfil usando políticas de confiança personalizadas (console) para criar o perfil.
