本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 AWS Clean Rooms 中创建协作
协作是 AWS Clean Rooms 中的安全逻辑边界,成员可以在其中对配置表执行 SQL 查询。
AWS Clean Rooms 中的任何成员都可以创建协作。
协作创建者可以指定一个成员来查询和接收结果。但是,协作创建者可能希望阻止可以查询的成员访问查询结果。在这种情况下,协作创建者可以指定一名可以查询的成员,另一名可以接收结果的成员。
在大多数情况下,可以查询的成员也是为查询计算费用付费的成员。但是,协作创建者可以将其他成员配置为负责为查询计算费用付费。
有关如何使用 AWS SDK 创建协作的信息,请参阅 AWS Clean Rooms API 参考。
创建协作
在开始之前,请确保您已完成以下先决条件:
-
您拥有要邀请参与协作的每位成员的姓名和 AWS 账户 ID。
-
您有权与协作的所有成员共享每个成员的姓名和 AWS 账户 ID。
注意
创建协作后,您无法添加更多成员。
使用 AWS Clean Rooms 控制台创建协作
-
登录 AWS Management Console并打开 AWS Clean Rooms 控制台
,AWS 账户作为协作创建者。 -
在左侧导航窗格中,选择协作。
-
在右上角,选择创建协作。
-
对于步骤 1: 定义协作,请执行以下操作:
-
在详细信息中,输入协作的名称和描述。
受邀参与协作的协作成员将可以看到这些信息。名称和描述可帮助他们了解协作的意义。
-
对于成员:
-
对于成员 1: 您,输入您希望在协作中显示的成员显示名称。
注意
成员 AWS 账户 ID 会自动包含您的 AWS 账户 ID。
-
在成员 2 中,输入要邀请参与协作的成员的成员显示名称和成员 AWS 账户 ID。
所有受邀参与协作的人都可以看到成员显示名称和成员 AWS 账户 ID。输入并保存这些字段的值后,它们不可编辑。
注意
您必须告知协作成员,协作中所有受邀和活跃的协作者都将看到他们的成员 AWS 账户 ID 和成员显示名称。
-
如果要添加其他成员,请选择添加其他成员。然后输入要邀请参与协作以贡献数据的每个成员的成员显示名称和成员 AWS 账户 ID。
-
-
对于成员能力,请选择以下选项之一,
如果要... 操作... 查询协作中的数据并接收结果 -
将自己选为可以运行查询的成员。
-
将可以接收结果的成员的默认设置保留为与运行查询的人相同。
查询协作中的数据并分配其他成员来接收结果 -
将自己选为可以运行查询的成员。
-
从下拉列表中选择可以接收结果的成员。
接收协作中的查询结果并分配其他成员来查询数据 -
从下拉列表中选择可以运行查询的成员。
-
从下拉列表中将自己选为可以接收结果的成员。
创建和管理协作,分配其他成员来查询数据,并分配其他成员来接收结果 -
从下拉列表中选择可以运行查询的成员。
-
从下拉列表中选择可以接收结果的成员。
-
-
对于付款配置,选择下列选项之一:
如果要... 操作... 将可以运行查询的成员指定为支付查询计算费用的成员 将为查询付费的成员的默认设置保留为与运行查询的人相同。 分配其他成员来支付查询计算费用 从下拉列表中选择将为查询付费的成员。 -
如果要启用查询日志记录,请选中支持对此协作进行查询日志记录复选框。
-
如果要启用加密计算功能,请选中支持在此协作中进行加密计算复选框,然后选择以下加密计算参数:
-
允许 cleartext 列
如果您不希望在加密表中允许 cleartext 列,请选择否。
如果您希望在加密表中允许 cleartext 列,请选择是。
要在特定列上运行 SUM 或 AVG,这些列必须是 cleartext。
-
允许重复
如果您不希望 fingerprint 列中允许重复条目,请选择否。
如果您希望 fingerprint 列中允许重复条目,请选择是。
-
允许对具有不同名称的列进行 JOIN
如果您不希望对具有不同名称的 fingerprint 列进行联接,请选择否。
如果您希望对具有不同名称的 fingerprint 列进行联接,请选择是。
-
保留 NULL 值
如果您不希望保留 NULL 值,请选择否。NULL 值不会在加密表中显示为 NULL。
如果您希望保留 NULL 值,请选择是。NULL 值将在加密表中显示为 NULL。
有关加密计算参数的更多信息,请参阅加密计算参数。
有关如何解密数据以在 AWS Clean Rooms 中使用的更多信息,请参阅使用 Clean Rooms 加密计算准备加密的数据表。
注意
在完成下一步之前,请仔细验证这些配置。创建协作后,您只能编辑协作名称、描述以及查询日志是否存储在 Amazon CloudWatch Logs 中。
-
-
如果要为协作资源启用标签,请选择添加新标签,然后输入键和值对。
-
选择 Next(下一步)。
-
-
对于步骤 2: 配置成员身份,执行以下操作:
-
选择一个选项:
如果选择... 操作... 是,立即通过创建成员身份来加入 同时创建协作和您的成员身份。 您在协作中的状态为活跃。
不,我将稍后创建成员身份 仅创建协作。 您在协作中的状态为非活跃。
-
如果您是可以接收结果的成员,请在查询结果设置默认值下选择一个选项:
如果您... 操作... 保持立即设置默认设置复选框处于选中状态。(默认处于选中状态。) -
对于 Amazon S3 中的结果目标,请输入 Amazon S3 目标。
-
对于查询结果格式,请选择 CSV 或 PARQUET。
清除立即设置默认设置复选框 仅创建协作。 您在协作中的状态为非活跃。
-
-
如果您在步骤 4.e 中选择启用查询日志记录,请为 Amazon CloudWatch Logs 中的日志存储选择以下选项之一:
如果选择... 操作... 打开 与您相关的查询日志存储在 Amazon CloudWatch Logs 中。 每个成员只能接收他们发起的查询或包含其数据的查询的日志。
可以接收结果的成员还会收到协作中运行的所有查询的日志,即使查询中未访问他们的数据也是如此。
关闭 与您相关的查询日志存储在 Amazon CloudWatch Logs 账户中。 注意
打开查询日志记录后,可能需要几分钟才能设置日志存储并开始在 Amazon CloudWatch Logs 中接收日志。在这段短暂的时间内,可以查询的成员可能会运行实际上并未发送日志的查询。
-
如果要为成员身份资源启用标签,请选择添加新标签,然后输入键和值对。
-
如果您是支付查询费用的成员,请选中我同意支付此协作中的查询计算费用复选框以表示您接受。
注意
必须选中此复选框才能继续。
有关如何计算费用的更多信息,请参阅的定价 AWS Clean Rooms。
如果您是为查询计算费用付费的成员,但不是可以查询的成员,则建议您使用 AWS Budgets 来配置 AWS Clean Rooms 预算,并在达到预算上限时接收通知。有关设置预算的更多信息,请参阅《AWS Cost Management 用户指南》中的使用 AWS Budgets 管理成本。有关设置通知的更多信息,请参阅《AWS Cost Management 用户指南》中的针对预算通知创建 Amazon SNS 主题。如果已达到预算上限,您可以联系可以查询的成员或退出协作。如果您退出协作,将不再允许运行查询,因此将不再向您收取查询计算费用。
-
选择 Next(下一步)。
-
-
对于步骤 3: 查看并创建,执行以下操作:
-
查看您在之前的步骤中所做的选择,并在必要时进行编辑。
-
选择以下选项之一:
如果您选择了... 则选择... 同步创建成员身份和协作(是,立即通过创建成员身份来加入) 创建协作和成员身份 创建协作,此时不创建成员身份(不,我将稍后创建成员身份) 创建协作
-
成功创建协作后,您可以在协作下看到协作详细信息页面。
后续步骤
您现在已准备好执行以下操作:
-
准备要在 AWS Clean Rooms 中查询的数据表 (如果您想查询自己的数据,则是可选的。)
-
将配置表与协作关联。(如果您想查询自己的数据,则是可选的。)
-
为配置表配置分析规则。(如果您想查询自己的数据,则是可选的。)
-
管理协作。
