本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAM行為 AWS Clean Rooms 機器學習 (ML)
跨帳戶工作
無塵室 ML 允許一個人創建某些資源 AWS 帳戶 在他們的帳戶中被另一個人安全地訪問 AWS 帳戶。 當客戶端進入 AWS 帳戶 對所擁有StartAudienceGenerationJob
的ConfiguredAudienceModel
資源的呼叫 AWS 帳戶 B,無塵室 ML ARNs 為該工作創建了兩個。一ARN入 AWS 帳戶 A 和另一個在 AWS 帳戶 B. 除了他們的外,它們ARNs是相同的 AWS 帳戶.
無塵室 ML 會ARNs為工作建立兩個,以確保兩個帳戶都可以將自己的IAM原則套用至工作。例如,兩個帳戶都可以使用以標籤為基礎的存取控制,並套用其中的原則 AWS 組織。工作會處理來自兩個帳戶的資料,因此兩個帳戶都可以刪除工作及其相關資料。兩個帳戶都不能阻止其他帳戶刪除工作。
只有一個作業執行,而且兩個帳戶在呼叫時都可以看到工作ListAudienceGenerationJobs
。兩個帳戶都可以使用自己的來呼叫Delete
、和Export
APIs在工作上 Get
ARN AWS 帳戶 識別碼。
既不 AWS 帳戶 可以在與另一個一起使ARN用時訪問工作 AWS 帳戶 識別碼。
工作的名稱必須是唯一的 AWS 帳戶。 中的名稱 AWS 帳戶 B 是 $accountA-$name
。 由選擇的名稱 AWS 帳戶 A 前綴為 AWS 帳戶
在中檢視工作時的 A AWS 帳戶 B.
為了使跨帳戶StartAudienceGenerationJob
成功, AWS 帳戶 B 必須同時允許對中的新工作執行該動作 AWS 帳戶 B 和ConfiguredAudienceModel
在 AWS 帳戶 B 使用類似下列範例的資源策略:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Clean-Rooms-<CAMA ID>", "Effect": "Allow", "Principal": { "AWS": [ "
accountA
" ] }, "Action": [ "cleanrooms-ml:StartAudienceGenerationJob" ], "Resource": [ "arn:aws:cleanrooms-ml:us-west-1:AccountB
:configured-audience-model/id
", "arn:aws:cleanrooms-ml:us-west-1:AccountB
:audience-generation-job/*" ], // optional - always set by AWS Clean Rooms "Condition":{"StringEquals":{"cleanrooms-ml:CollaborationId":"UUID
"}} } ] }
如果您使用 AWS Clean Rooms ML 創API建manageResourcePolicies
設置為 true 的配置相似模型, AWS Clean Rooms 會為您建立此原則。
此外,呼叫者的身份政策 AWS 帳戶 需要上的StartAudienceGenerationJob
權限arn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/*
。因此,有三種行動IAM資源StartAudienceGenerationJob
: AWS 帳戶 一份工作, AWS 帳戶 B 工作,和 AWS 帳戶 乙ConfiguredAudienceModel
.
警告
所以此 AWS 帳戶 開始工作會收到 AWS CloudTrail 有關工作的稽核記錄事件。所以此 AWS 帳戶 擁有ConfiguredAudienceModel
沒有收到 AWS CloudTrail
稽核記錄事件。
標記工作
當您設定childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE
參數時CreateConfiguredAudienceModel
,帳戶內所有從設定的相似模型建立的相似節段產生工作,預設為具有與已設定的相似相似模型相同的標記。設定的相似模型是父項,相似區段產生工作是子項。
如果您要在自己的帳戶中建立工作,則工作的要求標籤會覆寫父標籤。由其他帳戶建立的工作絕不會在您的帳戶中建立標籤。如果您設置childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE
了另一個帳戶創建了一個作業,則該作業有兩個副本。您帳戶中的副本具有父資源標籤,而工作提交者帳戶中的副本具有來自請求的標籤。
驗證協同合作者
授與權限給其他成員時 AWS Clean Rooms 協同作業時,資源策略應包含條件索引鍵cleanrooms-ml:CollaborationId
。這會強制要StartAudienceGenerationJob求中包含collaborationId
參數。當collaborationId
參數包含在請求中時,Clean Rooms ML 會驗證協同合作是否存在、工作提交者是共同作業的作用中成員,而設定的相似模型擁有者是共同作業的作用中成員。
當 AWS Clean Rooms 管理您配置的相似模型資源策略(manageResourcePolicies
參數TRUE
在CreateConfiguredAudienceModelAssociation 請求中),此條件鍵將在資源策略中設置。因此,您必須指定collaborationId
中的StartAudienceGenerationJob。
跨帳戶存取權
只StartAudienceGenerationJob
能跨帳戶呼叫。所有其他無塵室 ML 只APIs能與您自己帳戶中的資源搭配使用。這樣可確保您的訓練資料、相似模型組態和其他資訊保持私密。
無塵室 ML 永遠不會透露 Amazon S3 或 AWS Glue 跨帳戶的位置。訓練資料位置、設定的相似模型輸出位置,以及相似區段產生工作植入位置,在帳戶之間永遠不會顯示。除非在協同作業中啟用查詢記錄,否則種子資料是否來自SQL查詢,而查詢本身在各個帳戶中都不可見。如果您Get
是另一個帳戶提交的受眾產生工作,則服務不會顯示種子位置。