IAM行為 AWS Clean Rooms 機器學習 (ML) - AWS Clean Rooms
跨帳戶工作標記工作驗證協同合作者跨帳戶存取權

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM行為 AWS Clean Rooms 機器學習 (ML)

跨帳戶工作

無塵室 ML 允許一個人創建某些資源 AWS 帳戶 在他們的帳戶中被另一個人安全地訪問 AWS 帳戶。 當客戶端進入 AWS 帳戶 對所擁有StartAudienceGenerationJobConfiguredAudienceModel資源的呼叫 AWS 帳戶 B,無塵室 ML ARNs 為該工作創建了兩個。一ARN入 AWS 帳戶 A 和另一個在 AWS 帳戶 B. 除了他們的外,它們ARNs是相同的 AWS 帳戶.

無塵室 ML 會ARNs為工作建立兩個,以確保兩個帳戶都可以將自己的IAM原則套用至工作。例如,兩個帳戶都可以使用以標籤為基礎的存取控制,並套用其中的原則 AWS 組織。工作會處理來自兩個帳戶的資料,因此兩個帳戶都可以刪除工作及其相關資料。兩個帳戶都不能阻止其他帳戶刪除工作。

只有一個作業執行,而且兩個帳戶在呼叫時都可以看到工作ListAudienceGenerationJobs。兩個帳戶都可以使用自己的來呼叫Delete、和ExportAPIs在工作上 Get ARN AWS 帳戶 識別碼。

既不 AWS 帳戶 可以在與另一個一起使ARN用時訪問工作 AWS 帳戶 識別碼。

工作的名稱必須是唯一的 AWS 帳戶。 中的名稱 AWS 帳戶 B 是 $accountA-$name。 由選擇的名稱 AWS 帳戶 A 前綴為 AWS 帳戶 在中檢視工作時的 A AWS 帳戶 B.

為了使跨帳戶StartAudienceGenerationJob成功, AWS 帳戶 B 必須同時允許對中的新工作執行該動作 AWS 帳戶 B 和ConfiguredAudienceModel在 AWS 帳戶 B 使用類似下列範例的資源策略:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Clean-Rooms-<CAMA ID>",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "accountA" 
                ]
            },
            "Action": [
                "cleanrooms-ml:StartAudienceGenerationJob"
            ],
            "Resource": [
                "arn:aws:cleanrooms-ml:us-west-1:AccountB:configured-audience-model/id",
                "arn:aws:cleanrooms-ml:us-west-1:AccountB:audience-generation-job/*"
            ],
            // optional - always set by AWS Clean Rooms
"Condition":{"StringEquals":{"cleanrooms-ml:CollaborationId":"UUID"}}
        }
    ]
}

如果您使用 AWS Clean Rooms ML 創APImanageResourcePolicies設置為 true 的配置相似模型, AWS Clean Rooms 會為您建立此原則。

此外,呼叫者的身份政策 AWS 帳戶 需要上的StartAudienceGenerationJob權限arn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/*。因此,有三種行動IAM資源StartAudienceGenerationJob: AWS 帳戶 一份工作, AWS 帳戶 B 工作,和 AWS 帳戶 乙ConfiguredAudienceModel.

警告

所以此 AWS 帳戶 開始工作會收到 AWS CloudTrail 有關工作的稽核記錄事件。所以此 AWS 帳戶 擁有ConfiguredAudienceModel沒有收到 AWS CloudTrail 稽核記錄事件。

標記工作

當您設定childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE參數時CreateConfiguredAudienceModel,帳戶內所有從設定的相似模型建立的相似節段產生工作,預設為具有與已設定的相似相似模型相同的標記。設定的相似模型是父項,相似區段產生工作是子項。

如果您要在自己的帳戶中建立工作,則工作的要求標籤會覆寫父標籤。由其他帳戶建立的工作絕不會在您的帳戶中建立標籤。如果您設置childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE了另一個帳戶創建了一個作業,則該作業有兩個副本。您帳戶中的副本具有父資源標籤,而工作提交者帳戶中的副本具有來自請求的標籤。

驗證協同合作者

授與權限給其他成員時 AWS Clean Rooms 協同作業時,資源策略應包含條件索引鍵cleanrooms-ml:CollaborationId。這會強制要StartAudienceGenerationJob求中包含collaborationId參數。當collaborationId參數包含在請求中時,Clean Rooms ML 會驗證協同合作是否存在、工作提交者是共同作業的作用中成員,而設定的相似模型擁有者是共同作業的作用中成員。

當 AWS Clean Rooms 管理您配置的相似模型資源策略(manageResourcePolicies參數TRUECreateConfiguredAudienceModelAssociation 請求中),此條件鍵將在資源策略中設置。因此,您必須指定collaborationId中的StartAudienceGenerationJob

跨帳戶存取權

StartAudienceGenerationJob能跨帳戶呼叫。所有其他無塵室 ML 只APIs能與您自己帳戶中的資源搭配使用。這樣可確保您的訓練資料、相似模型組態和其他資訊保持私密。

無塵室 ML 永遠不會透露 Amazon S3 或 AWS Glue 跨帳戶的位置。訓練資料位置、設定的相似模型輸出位置,以及相似區段產生工作植入位置,在帳戶之間永遠不會顯示。除非在協同作業中啟用查詢記錄,否則種子資料是否來自SQL查詢,而查詢本身在各個帳戶中都不可見。如果您Get是另一個帳戶提交的受眾產生工作,則服務不會顯示種子位置。