Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# IAM-Verhalten für benutzerdefinierte Clean Rooms ML-Modelle
<a name="ml-behaviors-byom"></a>

## Kontoübergreifende Jobs
<a name="ml-behaviors-byom-cross-account-jobs"></a>

Clean Rooms ML ermöglicht den sicheren Zugriff auf bestimmte Ressourcen, die mit einer von einer Person erstellten Zusammenarbeit verknüpft sind AWS-Konto , von einer anderen AWS-Konto Person in ihrem Konto sicher abgerufen werden. Ein Client in AWS-Konto A, der über die Fähigkeit eines Mitglieds verfügt, Abfragen auszuführen `CreateTrainedModel``CreateMLInputChannel`, kann eine `ConfiguredModelAlgorithmAssociation` Ressource aufrufen, die einem anderen Mitglied der Kollaboration gehört, sofern dies durch die benutzerdefinierte Analyseregel, die mit erstellt wurde, zulässig `ConfiguredModelAlgorithmAssociation` ist`CreateConfiguredTableAnalysisRule`. `StartTrainedModelInferenceJob`

Darüber hinaus kann jedes aktive Mitglied einer Kollaboration Daten löschen, die mit einem trainierten Modell oder einem ML-Eingangskanal verknüpft sind, über den Befehl `DeleteTrainedModelOutput` und `DeleteMLInputChannelData` APIs.

## Kontoübergreifender Zugriff
<a name="ml-behaviors-byom-cross-account-access"></a>

Clean Rooms ML ermöglicht es Benutzern, Metadaten zu Ressourcen, die von anderen Konten erstellt wurden, über `GetCollaboration` und abzurufen `ListCollaboration` APIs. Clean Rooms ML gibt keine KMS-Schlüssel ARNs, -Tags, Umgebungsvariablen oder Hyperparameter (für die `TrainedModel` Aktion) an andere Konten weiter.

## Zugriff auf Mitgliedschaft und Zusammenarbeit
<a name="ml-behaviors-byom-membership-collaboration-access"></a>

Beim Zugriff auf Mitgliedschafts- und Kollaborationsressourcen im Kontext von benutzerdefinierten Clean Rooms ML-Modellen benötigt die Identitätsrichtlinie eines Benutzers Berechtigungen für die Aktionen `cleanrooms:PassMembership` oder beides. `cleanrooms:PassCollaboration` Alle APIs , die zustimmen, `membershipId` benötigen die `cleanrooms:PassMembership` Erlaubnis, und alle APIs , die zustimmen, `collaborationId` benötigen die `cleanrooms:PassCollaboration` Erlaubnis. Es wird ein Beispiel für eine Identitätsrichtlinie für eine Rolle bereitgestellt, die `createTrainedModel` im Kontext einer Mitglieds-ID aufgerufen werden kann, die `GetCollaborationTrainedModel` im Kontext einer Kollaborations-ID aufgerufen werden kann.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCleanroomsMLActions",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:PassCollaboration",
                "cleanrooms:PassMembership"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowMembershipAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetMembership"
            ],
            "Resource": [
                "arn:aws:cleanrooms:us-east-1:111122223333:membership/memberId"
            ]
        },
        {
            "Sid": "AllowCollaborationAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaboration"
            ],
            "Resource": [
                "arn:aws:cleanrooms:us-east-1:111122223333:collaboration/collaborationId"
            ]
        }
    ]
}
```

------