設定 AWS Clean Rooms ML 的服務角色

建立服務角色以讀取訓練資料

AWS Clean Rooms 使用服務角色來讀取訓練資料。如果您擁有必要的 IAM 許可，則可以使用主控台建立此角色。如果您沒有CreateRole權限，請要求管理員建立服務角色。

若要建立服務角色以訓練資料集

1. 使用您的管理員帳戶登入 IAM 主控台 (https://console.aws.amazon.com/iam/)。

2. 在 Access management (存取管理) 下，請選擇 Policies (政策)。

3. 選擇 Create policy (建立政策)。

4. 在 [原則編輯器] 中，選取 [JSON] 索引標籤，然後複製並貼上下列原則。

   注意

   下列範例政策支援讀取 AWS Glue 中繼資料及其對應 Amazon S3 資料所需的許可。但是，您可能需要修改此政策，具體取決於您設定 S3 資料的方式。此原則不包含用於解密資料的 KMS 金鑰。

   您的 AWS Glue 資源和基礎 Amazon S3 資源必須與協同 AWS Clean Rooms 合 AWS 區域 作相同。

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "glue:GetDatabase",
                   "glue:GetDatabases",
                   "glue:GetTable",
                   "glue:GetTables",
                   "glue:GetPartitions",
                   "glue:GetPartition",
                   "glue:BatchGetPartition", 
                   "glue:GetUserDefinedFunctions"
               ],
               "Resource": [
                   "arn:aws:glue:region:accountId:database/databases",
                   "arn:aws:glue:region:accountId:table/databases/tables",
                   "arn:aws:glue:region:accountId:catalog",
                   "arn:aws:glue:region:accountId:database/default"
               ]
           },
           {
               "Effect": "Allow",
               "Action": [
                   "glue:CreateDatabase"
               ],
               "Resource": [
                   "arn:aws:glue:region:accountId:database/default"
               ]
           },
           {
               "Effect": "Allow",
               "Action": [
                   "s3:ListBucket",
                   "s3:GetBucketLocation"
               ],
               "Resource": [
                   "arn:aws:s3:::bucket"
               ],
               "Condition":{
                   "StringEquals":{
                       "s3:ResourceAccount":[
                           "accountId"
                       ]
                   }
               }
           },
           {
               "Effect": "Allow",
               "Action": [
                   "s3:GetObject"
               ],
               "Resource": [
                   "arn:aws:s3:::bucketFolders/*"
               ],
               "Condition":{
                   "StringEquals":{
                       "s3:ResourceAccount":[
                           "accountId"
                       ]
                   }
               }
           }
       ]
   }

   如果您需要使用 KMS 金鑰來解密資料，請將此 AWS KMS 陳述式新增至先前的範本：

   {
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt",
               ],
               "Resource": [
                   "arn:aws:kms:region:accountId:key/keyId"
               ],
               "Condition": {
                   "ArnLike": {
                           "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                   }
               }
           }
       ]
   }
   		                    

5. 選擇下一步。

6. 對於檢閱和建立，請輸入策略名稱和說明，然後檢閱摘要。

7. 選擇建立政策。

   您已針對建立策略 AWS Clean Rooms。

8. 在 Access management (存取管理) 下，請選擇 Roles (角色)。

   使用角色時，您可以建立短期認證，建議您提高安全性。您也可以選擇 [使用者] 建立長期認證。

9. 選擇建立角色。

10. 在 [建立角色] 精靈中，針對 [信任的實體類型] 選擇 [自訂信任原則]。

11. 將以下自訂信任原則複製並貼到 JSON 編輯器中。

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "AllowAssumeRole",
                "Effect": "Allow",
                "Principal": {
                    "Service": "cleanrooms-ml.amazonaws.com"
                },
                "Action": "sts:AssumeRole",
                "Condition": {
                    "StringEqualsIfExists": { 
                        "aws:SourceAccount": ["accountId"]
                    },
                    "StringLikeIfExists": { 
                        "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:training-dataset/*"
                    }
                }
            }
        ]
    }
    

    永遠SourceAccount是您的 AWS 帳戶。SourceArn可以限制為特定的訓練資料集，但只能在建立該資料集之後。因為您無法預先知道訓練資料集 ARN，因此會在此指定萬用字元。

12. 選擇 [下一步]，然後在 [新增權限] 底下輸入您剛建立的原則名稱。（您可能需要重新加載頁面。）

13. 選取您建立之原則名稱旁的核取方塊，然後選擇 [下一步]。

14. 在名稱、檢閱和建立中，輸入角色名稱和說明。

    注意

    角色名稱必須與授予可查詢和接收結果和成員角色的成員passRole權限中的模式相符。

    1. 檢閱選取信任的實體，並視需要進行編輯。

    2. 檢閱新增權限中的權限，並視需要進行編輯。

    3. 檢閱標籤，並視需要新增標籤。

    4. 選擇建立角色。

15. AWS Clean Rooms 已建立的服務角色。

建立服務角色以撰寫相似區段

AWS Clean Rooms 使用服務角色將相似區段寫入值區。如果您擁有必要的 IAM 許可，則可以使用主控台建立此角色。如果您沒有CreateRole權限，請要求管理員建立服務角色。

若要建立服務角色以撰寫相似區段

1. 使用您的管理員帳戶登入 IAM 主控台 (https://console.aws.amazon.com/iam/)。

2. 在 Access management (存取管理) 下，請選擇 Policies (政策)。

3. 選擇 Create policy (建立政策)。

4. 在 [原則編輯器] 中，選取 [JSON] 索引標籤，然後複製並貼上下列原則。

   注意

   下列範例政策支援讀取 AWS Glue 中繼資料及其對應 Amazon S3 資料所需的許可。但是，您可能需要修改此政策，具體取決於您設定 S3 資料的方式。此原則不包含用於解密資料的 KMS 金鑰。

   您的 AWS Glue 資源和基礎 Amazon S3 資源必須與協同 AWS Clean Rooms 合 AWS 區域 作相同。

   {
       "Version": "2012-10-17",
       "Statement": [
       {
               "Effect": "Allow",
               "Action": [
                   "s3:ListBucket",
                   "s3:GetBucketLocation"
               ],
               "Resource": [
                   "arn:aws:s3:::buckets"
               ],
               "Condition":{
                   "StringEquals":{
                       "s3:ResourceAccount":[
                           "accountId"
                       ]
                   }
               }
           },
           {
               "Effect": "Allow",
               "Action": [
                   "s3:PutObject"
               ],
               "Resource": [
                   "arn:aws:s3:::bucketFolders/*"
               ],
               "Condition":{
                   "StringEquals":{
                       "s3:ResourceAccount":[
                           "accountId"
                       ]
                   }
               }
           }
     ]
   }

   如果您需要使用 KMS 金鑰來加密資料，請將此 AWS KMS 陳述式新增至範本：

   {
               "Effect": "Allow",
               "Action": [
                   "kms:Encrypt",
                   "kms:GenerateDataKey*",
                   "kms:ReEncrypt*",
               ],
               "Resource": [
                   "arn:aws:kms:region:accountId:key/keyId"
               ],
               "Condition": {
                   "ArnLike": {
                           "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                   }
               }
           }
     ]
   }

   如果您需要使用 KMS 金鑰來解密資料，請將此 AWS KMS 陳述式新增至範本：

   {
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt",
                   "kms:DescribeKey"
               ],
               "Resource": [
                   "arn:aws:kms:region:accountId:key/keyId"
               ],
               "Condition": {
                   "ArnLike": {
                           "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                   }
               }
           }
     ]
   }

5. 選擇下一步。

6. 對於檢閱和建立，請輸入策略名稱和說明，然後檢閱摘要。

7. 選擇建立政策。

   您已針對建立策略 AWS Clean Rooms。

8. 在 Access management (存取管理) 下，請選擇 Roles (角色)。

   使用角色時，您可以建立短期認證，建議您提高安全性。您也可以選擇 [使用者] 建立長期認證。

9. 選擇建立角色。

10. 在 [建立角色] 精靈中，針對 [信任的實體類型] 選擇 [自訂信任原則]。

11. 將以下自訂信任原則複製並貼到 JSON 編輯器中。

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "AllowAssumeRole",
                "Effect": "Allow",
                "Principal": {
                    "Service": "cleanrooms-ml.amazonaws.com"
                },
                "Action": "sts:AssumeRole",
                "Condition": {
                    "StringEqualsIfExists": { 
                        "aws:SourceAccount": ["accountId"]
    
                    },
                    "StringLikeIfExists": { 
                        "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:configured-audience-model/*"
                    }
                }
            }
        ]
    }
    

    永遠SourceAccount是您的 AWS 帳戶。SourceArn可以限制為特定的訓練資料集，但只能在建立該資料集之後。因為您無法預先知道訓練資料集 ARN，因此會在此指定萬用字元。

12. 選擇下一步。

13. 選取您建立之原則名稱旁的核取方塊，然後選擇 [下一步]。

14. 在名稱、檢閱和建立中，輸入角色名稱和說明。

    注意

    角色名稱必須與授予可查詢和接收結果和成員角色的成員passRole權限中的模式相符。

    1. 檢閱選取信任的實體，並視需要進行編輯。

    2. 檢閱新增權限中的權限，並視需要進行編輯。

    3. 檢閱標籤，並視需要新增標籤。

    4. 選擇建立角色。

15. AWS Clean Rooms 已建立的服務角色。

建立服務角色以讀取種子資料

AWS Clean Rooms 使用服務角色來讀取種子資料。如果您擁有必要的 IAM 許可，則可以使用主控台建立此角色。如果您沒有CreateRole權限，請要求管理員建立服務角色。

若要建立服務角色以讀取種子資料

1. 使用您的管理員帳戶登入 IAM 主控台 (https://console.aws.amazon.com/iam/)。

2. 在 Access management (存取管理) 下，請選擇 Policies (政策)。

3. 選擇 Create policy (建立政策)。

4. 在 [原則編輯器] 中，選取 [JSON] 索引標籤，然後複製並貼上下列原則。

   注意

   下列範例政策支援讀取 AWS Glue 中繼資料及其對應 Amazon S3 資料所需的許可。但是，您可能需要修改此政策，具體取決於您設定 S3 資料的方式。此原則不包含用於解密資料的 KMS 金鑰。

   您的 AWS Glue 資源和基礎 Amazon S3 資源必須與協同 AWS Clean Rooms 合 AWS 區域 作相同。

   {
       "Version": "2012-10-17",
       "Statement": [
       {
               "Effect": "Allow",
               "Action": [
                   "s3:ListBucket",
               ],
               "Resource": [
                   "arn:aws:s3:::buckets"
               ],
               "Condition":{
                   "StringEquals":{
                       "s3:ResourceAccount":[
                           "accountId"
                       ]
                   }
               }
           },
           {
               "Effect": "Allow",
               "Action": [
                   "s3:GetObject"
               ],
               "Resource": [
                   "arn:aws:s3:::bucketFolders/*"
               ],
               "Condition":{
                   "StringEquals":{
                       "s3:ResourceAccount":[
                           "accountId"
                       ]
                   }
               }
           }
     ]
   }

   如果您需要使用 KMS 金鑰來解密資料，請將此 AWS KMS 陳述式新增至範本：

   {
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt",
                   "kms:DescribeKey"
               ],
               "Resource": [
                   "arn:aws:kms:region:accountId:key/keyId"
               ],
               "Condition": {
                   "ArnLike": {
                           "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
                   }
               }
           }
     ]
   }

5. 選擇下一步。

6. 對於檢閱和建立，請輸入策略名稱和說明，然後檢閱摘要。

7. 選擇建立政策。

   您已針對建立策略 AWS Clean Rooms。

8. 在 Access management (存取管理) 下，請選擇 Roles (角色)。

   使用角色時，您可以建立短期認證，建議您提高安全性。您也可以選擇 [使用者] 建立長期認證。

9. 選擇建立角色。

10. 在 [建立角色] 精靈中，針對 [信任的實體類型] 選擇 [自訂信任原則]。

11. 將以下自訂信任原則複製並貼到 JSON 編輯器中。

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "AllowAssumeRole",
                "Effect": "Allow",
                "Principal": {
                    "Service": "cleanrooms-ml.amazonaws.com"
                },
                "Action": "sts:AssumeRole",
                "Condition": {
                    "StringEqualsIfExists": {
                        "aws:SourceAccount": ["accountId"]
    
                    },
                    "StringLikeIfExists": { 
                        "aws:SourceArn": "arn:aws:cleanrooms-ml:region:account:audience-generation-job/*"
                    }
                }
            }
        ]
    }
    

    永遠SourceAccount是您的 AWS 帳戶。SourceArn可以限制為特定的訓練資料集，但只能在建立該資料集之後。因為您無法預先知道訓練資料集 ARN，因此會在此指定萬用字元。

12. 選擇下一步。

13. 選取您建立之原則名稱旁的核取方塊，然後選擇 [下一步]。

14. 在名稱、檢閱和建立中，輸入角色名稱和說明。

    注意

    角色名稱必須與授予可查詢和接收結果和成員角色的成員passRole權限中的模式相符。

    1. 檢閱選取信任的實體，並視需要進行編輯。

    2. 檢閱新增權限中的權限，並視需要進行編輯。

    3. 檢閱標籤，並視需要新增標籤。

    4. 選擇建立角色。

15. AWS Clean Rooms 已建立的服務角色。