Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in AWS Clean Rooms
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der übergreifenden Verantwortlichkeit](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit der Cloud und Sicherheit in der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, für die gelten AWS Clean Rooms, finden Sie unter [AWS-Services in Umfang nach Compliance-Programm](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Service, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Nutzung anwenden können AWS Clean Rooms. Es zeigt Ihnen, wie Sie die Konfiguration vornehmen AWS Clean Rooms , um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, die Sie bei der Überwachung und Sicherung Ihrer AWS Clean Rooms Ressourcen unterstützen.
**Topics**
+ [Datenschutz](data-protection.md)
+ [Verwenden von servicegebundenen Rollen](using-service-linked-roles.md)
+ [Datenaufbewahrung](data-retention.md)
+ [Best Practices](best-practices.md)
+ [Identitäts- und Zugriffsverwaltung](security-iam.md)
+ [Compliance-Validierung](SERVICE-compliance.md)
+ [Ausfallsicherheit](disaster-recovery-resiliency.md)
+ [Sicherheit der Infrastruktur](infrastructure-security.md)
+ [AWS PrivateLink](vpc-interface-endpoints.md)
# Datenschutz in AWS Clean Rooms
Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) und geteilter Verantwortung gilt für den Datenschutz in AWS Clean Rooms. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit der Konsole, der AWS Clean Rooms API oder auf andere AWS-Services Weise arbeiten oder diese verwenden. AWS CLI AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
## Verschlüsselung im Ruhezustand
AWS Clean Rooms verschlüsselt immer alle Dienstmetadaten im Ruhezustand, ohne dass eine zusätzliche Konfiguration erforderlich ist. Diese Verschlüsselung erfolgt automatisch, wenn Sie sie verwenden AWS Clean Rooms.
Clean Rooms ML verschlüsselt alle im Service gespeicherten Daten im Ruhezustand mit AWS KMS. Wenn Sie sich dafür entscheiden, Ihren eigenen KMS-Schlüssel bereitzustellen, werden die Inhalte Ihrer Lookalike-Modelle und Jobs zur Generierung von Lookalike-Segmenten im Ruhezustand mit Ihrem KMS-Schlüssel verschlüsselt.
Wenn Sie AWS Clean Rooms benutzerdefinierte ML-Modelle verwenden, verschlüsselt der Dienst alle Daten, die im Ruhezustand gespeichert sind, mit. AWS KMS AWS Clean Rooms unterstützt die Verwendung von symmetrischen, vom Kunden verwalteten Schlüsseln, die Sie erstellen, besitzen und verwalten, um Daten im Ruhezustand zu verschlüsseln. Wenn vom Kunden verwaltete Schlüssel nicht angegeben AWS-eigene Schlüssel sind, werden diese standardmäßig verwendet.
AWS Clean Rooms verwendet Zuschüsse und wichtige Richtlinien für den Zugriff auf vom Kunden verwaltete Schlüssel. Sie können den Zugriff auf die Genehmigung jederzeit widerrufen oder den Zugriff des Services auf den vom Kunden verwalteten Schlüssel entfernen. Wenn Sie dies tun, können Sie auf AWS Clean Rooms keine der mit dem vom Kunden verwalteten Schlüssel verschlüsselten Daten zugreifen, was sich auf Vorgänge auswirkt, die von diesen Daten abhängig sind. Wenn Sie beispielsweise versuchen, ein trainiertes Modell aus einem verschlüsselten ML-Eingabekanal zu erstellen, AWS Clean Rooms auf den kein Zugriff möglich ist, würde der Vorgang einen `ValidationException` Fehler zurückgeben.
**Anmerkung**
Sie können die Verschlüsselungsoptionen in Amazon S3 verwenden, um Ihre Daten im Ruhezustand zu schützen.
Weitere Informationen finden Sie unter [Spezifizierung der Amazon S3 S3-Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-s3-encryption.html) im *Amazon S3 S3-Benutzerhandbuch*.
Wenn Sie darin eine ID-Zuordnungstabelle verwenden AWS Clean Rooms, verschlüsselt der Service alle Daten, die im Ruhezustand gespeichert sind, mit AWS KMS. Wenn Sie Ihren eigenen KMS-Schlüssel angeben, wird der Inhalt Ihrer ID-Zuordnungstabelle im Ruhezustand mit Ihrem KMS-Schlüssel über AWS Entity Resolution verschlüsselt. Weitere Informationen zu den erforderlichen Berechtigungen für die Arbeit mit Verschlüsselungen mit einem ID-Mapping-Workflow finden [Sie unter Erstellen einer Workflow-Jobrolle für AWS Entity Resolution](https://docs.aws.amazon.com/entityresolution/latest/userguide/create-workflow-job-role.html) im *AWS Entity Resolution Benutzerhandbuch*.
## Verschlüsselung während der Übertragung
AWS Clean Rooms verwendet Transport Layer Security (TLS) für die Verschlüsselung bei der Übertragung. Die Kommunikation mit AWS Clean Rooms erfolgt immer über HTTPS, sodass Ihre Daten bei der Übertragung immer verschlüsselt werden, unabhängig davon, ob sie in Amazon S3, Amazon Athena oder Snowflake gespeichert sind. Dies schließt alle Daten ein, die bei der Verwendung von Clean Rooms ML übertragen werden.
## Verschlüsselung der zugrunde liegenden Daten
Weitere Hinweise zum Verschlüsseln der zugrunde liegenden Daten finden Sie unter. [Kryptografisches Rechnen für Clean Rooms](crypto-computing.md)
## Schlüsselrichtlinie
Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren kundenseitig verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie im AWS Key Management Service Entwicklerhandbuch unter Verwaltung des Zugriffs auf vom Kunden verwaltete Schlüssel.
Um Ihren vom Kunden verwalteten Schlüssel mit Ihren AWS Clean Rooms benutzerdefinierten ML-Modellen zu verwenden, müssen die folgenden API-Operationen in der Schlüsselrichtlinie zulässig sein:
+ `kms:DescribeKey`— Stellt dem Kunden verwaltete Schlüsseldetails zur Verfügung, damit AWS Clean Rooms der Schlüssel validiert werden kann.
+ `kms:Decrypt`— Ermöglicht den Zugriff auf die verschlüsselten Daten AWS Clean Rooms , um sie zu entschlüsseln und sie für verwandte Aufgaben zu verwenden.
+ `kms:CreateGrant`- Clean Rooms ML verschlüsselt in Amazon ECR gespeicherte Schulungs- und Inferenzbilder, indem Zuschüsse für Amazon ECR erstellt werden. Weitere Informationen finden Sie unter [Verschlüsselung im Ruhezustand in Amazon ECR.](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html) Clean Rooms ML verwendet Amazon SageMaker AI auch zur Ausführung von Trainings- und Inferenzjobs und erstellt Zuschüsse für SageMaker KI, um die an die Instances angehängten Amazon EBS-Volumes sowie die Ausgabedaten in Amazon S3 zu verschlüsseln. Weitere Informationen finden Sie unter [Schützen von Daten im Ruhezustand mithilfe von Verschlüsselung in Amazon SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/encryption-at-rest.html).
+ `kms:GenerateDataKey`- Clean Rooms ML verschlüsselt Daten im Ruhezustand, die in Amazon S3 gespeichert sind, mithilfe serverseitiger Verschlüsselung mit. AWS KMS keys Weitere Informationen finden Sie unter [Serverseitige Verschlüsselung mit AWS KMS keys (SSE-KMS) in Amazon S3 verwenden](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html).
Im Folgenden finden Sie Beispiele für Richtlinienerklärungen, die Sie AWS Clean Rooms für die folgenden Ressourcen hinzufügen können:
**ML-Eingangskanal mit synthetischen Daten**
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow access to principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::666666666666:role/ExampleRole"
},
"Action": [
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"Encrypt",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"CreateGrant",
"DescribeKey",
"RetireGrant",
"GenerateDataKey"
]
},
"BoolIfExists": {
"kms:GrantIsForAWSResource": true
}
}
},
{
"Sid": "Allow describe key for principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::444455556666:role/ExampleRole"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
}
}
},
{
"Sid": "Allow grant operations for AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"Encrypt",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"CreateGrant",
"DescribeKey",
"RetireGrant",
"GenerateDataKey"
]
}
}
},
{
"Sid": "Allow describe key for AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
**ML-Eingangskanal ohne synthetische Daten**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow access to principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::666666666666:role/ExampleRole"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
}
}
},
{
"Sid": "Allow access to AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
**Trainierter Modelljob oder Job mit trainierter Modellinferenz**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow grant operations for principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::666666666666:role/ExampleRole"
},
"Action": [
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"Encrypt",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"CreateGrant",
"DescribeKey",
"RetireGrant",
"GenerateDataKey"
]
},
"BoolIfExists": {
"kms:GrantIsForAWSResource": true
}
}
},
{
"Sid": "Allow describe key for principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::444455556666:role/ExampleRole"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
}
}
},
{
"Sid": "Allow grant operations for AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"Encrypt",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"CreateGrant",
"DescribeKey",
"RetireGrant",
"GenerateDataKey"
]
}
}
},
{
"Sid": "Allow describe key for AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
Clean Rooms ML unterstützt nicht die Angabe des Dienstverschlüsselungskontextes oder des Quellkontextes in vom Kunden verwalteten Schlüsselrichtlinien. Der vom Service intern verwendete Verschlüsselungskontext ist für Kunden in sichtbar CloudTrail.
# Verwenden von serviceverknüpften Rollen für AWS Clean Rooms
AWS Clean Rooms verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. AWS Clean Rooms Mit Diensten verknüpfte Rollen sind vordefiniert AWS Clean Rooms und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstbezogene Rolle AWS Clean Rooms erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS Clean Rooms definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS Clean Rooms kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre AWS Clean Rooms Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.
**Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte Dienstverknüpfte Rollen nach den Diensten, für die **Ja steht**.** Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Berechtigungen für dienstverknüpfte Rollen für AWS Clean Rooms
AWS Clean Rooms verwendet die serviceverknüpfte Rolle mit dem Namen „**AWSServiceRoleForAWSCleanRooms**“, um CloudWatch Metriken im Zusammenhang mit Clean Rooms in Ihrem Konto zu veröffentlichen. AWS
Die AWSService RoleFor AWSClean serviceverknüpfte Rooms-Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `cleanrooms.amazonaws.com`
Die genannte Rollenberechtigungsrichtlinie AWSClean RoomsServiceRolePolicy ermöglicht es AWS Clean Rooms , die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ Aktion: `cloudwatch:PutMetricData` für `all AWS resources, restricted to the AWS Clean Rooms namespace`
Sie müssen Berechtigungen konfigurieren, damit eine Benutzer, Gruppen oder Rollen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer dienstbezogenen Rolle für AWS Clean Rooms
Sie können die IAM-Konsole verwenden, um eine serviceverknüpfte Rolle mit dem Anwendungsfall **AWSServiceRoleForAWSCleanRooms** zu erstellen. Erstellen Sie in der AWS CLI oder der AWS API eine dienstverknüpfte Rolle mit dem `cleanrooms.amazonaws.com` Dienstnamen. Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
## Bearbeiten einer dienstbezogenen Rolle für AWS Clean Rooms
AWS Clean Rooms erlaubt es Ihnen nicht, die serviceverknüpfte AWSService RoleFor AWSClean Rooms-Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer dienstbezogenen Rolle für AWS Clean Rooms
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
Um die **AWSServiceRoleForAWSCleanRäume** zu löschen, müssen Sie zunächst alle [Kollaborationen](https://docs.aws.amazon.com/clean-rooms/latest/userguide/delete-collaboration.html) und [Mitgliedschaften](https://docs.aws.amazon.com/clean-rooms/latest/userguide/leave-collab.html) in Ihrem löschen. AWS-Konto
**Anmerkung**
Wenn der AWS Clean Rooms Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die mit dem Dienst verknüpfte AWSService RoleFor AWSClean Rooms-Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für serviceverknüpfte Rollen AWS Clean Rooms
AWS Clean Rooms unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter [AWS -Regionen und Endpunkte](https://docs.aws.amazon.com/general/latest/gr/clean-rooms.html#clean-rooms_region).
# Aufbewahrung von Daten in AWS Clean Rooms
Alle Daten, die vorübergehend in eine AWS Clean Rooms Kollaboration eingelesen werden, werden nach Abschluss der Abfrage gelöscht.
Wenn Sie ein Lookalike-Modell erstellen, liest Clean Rooms ML Ihre Trainingsdaten, wandelt sie in ein für unser ML-Modell geeignetes Format um und speichert die trainierten Modellparameter in Clean Rooms ML. Clean Rooms ML speichert keine Kopie Ihrer Trainingsdaten. AWS Clean Rooms In SQL-Abfragen werden keine Ihrer Daten gespeichert, nachdem die Abfrage ausgeführt wurde. Clean Rooms ML verwendet dann das trainierte Modell, um das Verhalten all Ihrer Benutzer zusammenzufassen. Clean Rooms ML speichert für jeden Benutzer in Ihren Daten einen Datensatz auf Benutzerebene, solange Ihr Lookalike-Modell aktiv ist.
Wenn Sie einen Job zur Generierung von Lookalike-Segmenten starten, liest Clean Rooms ML die Ausgangsdaten, liest die Verhaltenszusammenfassungen aus dem zugehörigen Lookalike-Modell und erstellt ein Lookalike-Segment, das im Service gespeichert wird. AWS Clean Rooms Clean Rooms ML speichert keine Kopie Ihrer Ausgangsdaten. Clean Rooms ML speichert die Ausgabe des Jobs auf Benutzerebene, solange der Job aktiv ist.
Wenn Ihre Ausgangsdaten aus einer SQL-Abfrage stammen, wird die Ausgabe dieser Abfrage nur für die Dauer des Jobs im Dienst gespeichert. Die Ergebnisse der Abfrage werden im Ruhezustand und bei der Übertragung verschlüsselt.
Wenn Sie die Auftragsdaten Ihres Lookalike-Modells oder der Generierung von Lookalike-Segmenten entfernen möchten, verwenden Sie die API, um sie zu löschen. Clean Rooms ML löscht asynchron alle mit dem Modell oder Job verknüpften Daten. Sobald dieser Vorgang abgeschlossen ist, löscht Clean Rooms ML die Metadaten für das Modell oder den Job und sie sind in der API nicht mehr sichtbar. Clean Rooms ML bewahrt gelöschte Daten 3 Tage lang auf, um eine Notfallwiederherstellung zu verhindern. Sobald der Job oder das Modell in der API nicht mehr sichtbar ist und 3 Tage vergangen sind, wurden alle mit dem Modell oder Job verknüpften Daten dauerhaft gelöscht.
# Bewährte Methoden für die Zusammenarbeit bei Daten in AWS Clean Rooms
In diesem Thema werden die bewährten Methoden für die Durchführung von Datenkooperationen in beschrieben. AWS Clean Rooms
AWS Clean Rooms folgt dem [Modell der AWS gemeinsamen Verantwortung.](https://aws.amazon.com/compliance/shared-responsibility-model/) AWS Clean Rooms bietet [Analyseregeln](analysis-rules.md), die Sie konfigurieren können, um Ihre Fähigkeit zu verbessern, vertrauliche Daten in einer Zusammenarbeit zu schützen. Die Analyseregeln, in denen Sie konfigurieren, setzen die von AWS Clean Rooms Ihnen konfigurierten Einschränkungen (Abfragesteuerelemente und Abfrageausgabesteuerungen) durch. Sie sind dafür verantwortlich, die Einschränkungen festzulegen und die Analyseregeln entsprechend zu konfigurieren.
Datenkooperationen können mehr als nur Ihre Nutzung von AWS Clean Rooms beinhalten. Damit Sie den größtmöglichen Nutzen aus Datenkooperationen ziehen können, empfehlen wir Ihnen, bei der Verwendung von Analyseregeln AWS Clean Rooms und insbesondere bei der Verwendung von Analyseregeln die folgenden bewährten Methoden anzuwenden.
**Topics**
+ [Bewährte Methoden mit AWS Clean Rooms](#best-practices-with-clean-rooms)
+ [Bewährte Methoden für die Verwendung von Analyseregeln in AWS Clean Rooms](#best-practices-for-analysis-rules)
## Bewährte Methoden mit AWS Clean Rooms
Sie sind dafür verantwortlich, das Risiko jeder Datenzusammenarbeit zu bewerten und es mit Ihren Datenschutzanforderungen wie externen und internen Compliance-Programmen und -Richtlinien zu vergleichen. Wir empfehlen Ihnen, bei der Verwendung von zusätzliche Maßnahmen zu ergreifen AWS Clean Rooms. Diese Maßnahmen können dazu beitragen, Risiken besser zu managen und vor Versuchen Dritter zu schützen, Ihre Daten neu zu identifizieren (z. B. differenzierende Angriffe oder Side-Channel-Angriffe).
Erwägen Sie beispielsweise, bei Ihren anderen Mitarbeitern eine Due-Diligence-Prüfung durchzuführen und rechtliche Vereinbarungen mit ihnen zu treffen, *bevor* Sie eine Zusammenarbeit eingehen. Um die Verwendung Ihrer Daten zu überwachen, sollten Sie auch die Einführung anderer Prüfmechanismen in Betracht ziehen. AWS Clean Rooms
## Bewährte Methoden für die Verwendung von Analyseregeln in AWS Clean Rooms
Mit den Analyseregeln in AWS Clean Rooms können Sie die Abfragen einschränken, die ausgeführt werden können, indem Sie die Abfragesteuerelemente für eine konfigurierte Tabelle festlegen. Sie können beispielsweise eine Abfragesteuerung dafür einrichten, wie eine konfigurierte Tabelle verknüpft und welche Spalten ausgewählt werden können. Sie können die Abfrageausgabe auch einschränken, indem Sie Steuerelemente für Abfrageergebnisse festlegen, z. B. Aggregationsschwellenwerte für Ausgabezeilen. Der Dienst lehnt jede Abfrage ab und entfernt Zeilen, die nicht den Analyseregeln entsprechen, die von Mitgliedern in ihren konfigurierten Tabellen in der Abfrage festgelegt wurden.
Wir empfehlen die folgenden *10 bewährten Methoden* für die Verwendung von Analyseregeln in Ihrer konfigurierten Tabelle:
+ Erstellen Sie separate konfigurierte Tabellen für separate Anwendungsfälle für Abfragen (z. B. Zielgruppenplanung oder Zuordnung). Sie können mehrere konfigurierte Tabellen mit derselben zugrunde liegenden AWS Glue Tabelle erstellen.
+ Geben Sie in der Analyseregel Spalten an (z. B. Dimensionsspalten, Listenspalten, Verbindungsspalten), die für Abfragen in einer Kollaboration erforderlich sind. Dies kann dazu beitragen, das Risiko zu verringern, dass Angriffe differenziert werden oder dass andere Mitglieder Ihre Daten zurückentwickeln können. Verwenden Sie die Funktion **Allowlist-Spalten**, um andere Spalten zu notieren, die Sie möglicherweise in future abfragbar machen möchten. Um die Spalten anzupassen, die für eine bestimmte Zusammenarbeit verwendet werden können, erstellen Sie zusätzliche konfigurierte Tabellen mit derselben Basistabelle. AWS Glue
+ Geben Sie in der Analyseregel die Funktionen an, die für die Analyse in der Kollaboration erforderlich sind. Dies kann dazu beitragen, das Risiko zu verringern, das durch seltene Funktionsfehler entsteht, die Informationen zu einem einzelnen Datenpunkt enthalten können. Um die Funktionen anzupassen, die für eine bestimmte Zusammenarbeit verwendet werden können, erstellen Sie zusätzliche konfigurierte Tabellen mit derselben zugrunde liegenden AWS Glue Tabelle.
+ Fügen Sie Aggregationseinschränkungen für alle Spalten hinzu, deren Werte auf Zeilenebene sensibel sind. Dies schließt Spalten in Ihrer konfigurierten Tabelle ein, die auch in den Tabellen und Analyseregeln anderer Kollaborationsmitglieder als Aggregationseinschränkung vorhanden sind. Dazu gehören auch Spalten in Ihrer konfigurierten Tabelle, die nicht abfragbar sind, d. h. Spalten, die sich in Ihrer konfigurierten Tabelle befinden, aber nicht in der Analyseregel enthalten sind. Aggregationsbeschränkungen können dazu beitragen, das Risiko zu verringern, das durch die Korrelation von Abfrageergebnissen mit Daten außerhalb der Zusammenarbeit entsteht.
+ Erstellen Sie Testkollaborationen und Analyseregeln, um Einschränkungen zu testen, die mit bestimmten Analyseregeln erstellt wurden.
+ Überprüfen Sie die von den Mitarbeitern konfigurierten Tabellen und die Analyseregeln der Mitglieder in den konfigurierten Tabellen, um sicherzustellen, dass sie den für die Zusammenarbeit vereinbarten Regeln entsprechen. Dies kann dazu beitragen, das Risiko zu verringern, dass andere Mitglieder ihre eigenen Daten manipulieren, um Abfragen auszuführen, die nicht vereinbart wurden.
+ Sehen Sie sich die bereitgestellte Beispielabfrage (nur Konsole) an, die in Ihrer konfigurierten Tabelle aktiviert ist, nachdem Sie die Analyseregel eingerichtet haben.
**Anmerkung**
Zusätzlich zu der bereitgestellten Beispielabfrage sind weitere Abfragen möglich, die auf der Analyseregel und anderen Tabellen und Analyseregeln für Kollaborationsmitglieder basieren.
+ Sie können eine Analyseregel für eine konfigurierte Tabelle in einer Kollaboration hinzufügen oder aktualisieren. Wenn Sie dies tun, überprüfen Sie alle Kollaborationen, denen die konfigurierte Tabelle zugeordnet ist, und die sich daraus ergebenden Auswirkungen. Auf diese Weise können Sie sicherstellen, dass keine Kollaborationen veraltete Analyseregeln verwenden.
+ Überprüfen Sie die in der Kollaboration ausgeführten Abfragen, um sicherzustellen, dass die Abfragen den Anwendungsfällen oder Abfragen entsprechen, die für die Zusammenarbeit vereinbart wurden. (Die Abfragen sind in den Abfrageprotokollen verfügbar, wenn die Funktion zur **Abfrageprotokollierung** aktiviert ist.) Dies kann dazu beitragen, das Risiko zu verringern, dass Mitglieder Analysen durchführen, die nicht vereinbart wurden, und potenzielle Angriffe wie Seitenkanalangriffe.
+ Überprüfen Sie die konfigurierten Tabellenspalten, die in den Analyseregeln der Kollaborationsmitglieder und in Abfragen verwendet werden, um sicherzustellen, dass sie den in der Zusammenarbeit vereinbarten Werten entsprechen. (Die Abfragen sind in den Abfrageprotokollen verfügbar, wenn diese Funktion aktiviert ist.) Dies kann dazu beitragen, das Risiko zu verringern, dass andere Mitglieder ihre eigenen Daten manipulieren, um Abfragen durchzuführen, über die keine Einigung erzielt wurde.
# Identity and Access Management für AWS Clean Rooms
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Ressourcen zu verwenden. AWS Clean Rooms IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security-iam-audience)
+ [Authentifizierung mit Identitäten](#security-iam-auth-with-identities)
+ [Verwalten des Zugriffs mit Richtlinien](#security-iam-managing-access)
+ [Wie AWS Clean Rooms funktioniert mit IAM](security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Richtlinien für AWS Clean Rooms](security_iam_id-based-policy-examples.md)
+ [AWS verwaltete Richtlinien für AWS Clean Rooms](security-iam-awsmanpol.md)
+ [Fehlerbehebung bei AWS Clean Rooms Identität und Zugriff](security_iam_troubleshoot.md)
+ [Serviceübergreifende Confused-Deputy-Prävention](cross-service-confused-deputy-prevention.md)
+ [IAM-Verhalten für AWS Clean Rooms ML](ml-behaviors.md)
+ [IAM-Verhalten für benutzerdefinierte Clean Rooms ML-Modelle](ml-behaviors-byom.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei AWS Clean Rooms Identität und Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Wie AWS Clean Rooms funktioniert mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien für AWS Clean Rooms](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen als IAM-Benutzer *authentifiziert* (angemeldet AWS) sein oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich AWS als föderierte Identität anmelden, indem Sie Anmeldeinformationen verwenden, die über eine Identitätsquelle bereitgestellt wurden. AWS IAM Identity Center (IAM Identity Center) -Benutzer oder die Single Sign-On-Authentifizierung Ihres Unternehmens sind Beispiele für föderierte Identitäten. Wenn Sie sich als Verbundidentität anmelden, hat der Administrator vorher mithilfe von IAM-Rollen einen Identitätsverbund eingerichtet. Wenn Sie über einen Verbund darauf zugreifen AWS , übernehmen Sie indirekt eine Rolle.
Je nachdem, welcher Benutzertyp Sie sind, können Sie sich beim AWS-Managementkonsole oder beim AWS Zugangsportal anmelden. Weitere Informationen zur Anmeldung finden Sie AWS unter [So melden Sie sich bei Ihrem an AWS-Konto](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *AWS-Anmeldung Benutzerhandbuch*.
Wenn Sie AWS programmgesteuert zugreifen, AWS stellt es ein Software Development Kit (SDK) und eine Befehlszeilenschnittstelle (CLI) bereit, um Ihre Anfragen mit Ihren Anmeldeinformationen kryptografisch zu signieren. Wenn Sie keine AWS Tools verwenden, müssen Sie Anfragen selbst signieren. Weitere Informationen über die empfohlene Methode zur eigenständigen Signierung von Anfragen finden Sie unter [Signierprozess mit Signaturversion 4](https://docs.aws.amazon.com//general/latest/gr/signature-version-4.html) in der *Allgemeine AWS-Referenz*.
Unabhängig von der verwendeten Authentifizierungsmethode müssen Sie möglicherweise zusätzliche Sicherheitsinformationen bereitstellen. AWS Empfiehlt beispielsweise, die Multi-Faktor-Authentifizierung (MFA) zu verwenden, um die Sicherheit Ihres Kontos zu erhöhen. Weitere Informationen finden Sie unter [Multi-Faktor-Authentifizierung](https://docs.aws.amazon.com//singlesignon/latest/userguide/enable-mfa.html) im *AWS IAM Identity Center -Benutzerhandbuch* und [Verwenden der Multi-Faktor-Authentifizierung (MFA) in AWS](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_mfa.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, die vollständigen Zugriff auf alle AWS-Services Ressourcen im Konto hat. Diese Identität wird als AWS-Konto -*Root-Benutzer* bezeichnet. Für den Zugriff auf den Root-Benutzer müssen Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, die zur Erstellung des Kontos verwendet wurden. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden, auch nicht für administrative Aufgaben. Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen und verwenden Sie diese, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Root-Benutzer des AWS-Kontos Anmeldeinformationen und IAM-Identitäten](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html#aws_tasks-that-require-root) in der. *Allgemeine AWS-Referenz*
### Verbundidentität
Es hat sich bewährt, dass menschliche Benutzer für den Zugriff mit temporären Anmeldeinformationen einen Verbund mit einem Identitätsanbieter AWS-Services verwenden müssen.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) oder indem Sie eine AWS Oder-API-Operation AWS CLI aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie ist ein Objekt, AWS das, wenn es einer Identität oder Ressource zugeordnet ist, deren Berechtigungen definiert. AWS wertet diese Richtlinien aus, wenn ein Prinzipal (Benutzer, Root-Benutzer oder Rollensitzung) eine Anfrage stellt. Die Berechtigungen in den Richtlinien legen fest, ob eine Anforderung zugelassen oder abgelehnt wird. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu Struktur und Inhalten von JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** kann **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen.
Eine IAM-Entität (Benutzer oder Rolle) besitzt zunächst keine Berechtigungen. Standardmäßig können Benutzer nichts tun, nicht einmal ihr eigenes Passwort ändern. Um einem Benutzer die Berechtigung für eine Aktion zu erteilen, muss ein Administrator einem Benutzer eine Berechtigungsrichtlinie zuweisen. Alternativ kann der Administrator den Benutzer zu einer Gruppe hinzufügen, die über die gewünschten Berechtigungen verfügt. Wenn ein Administrator einer Gruppe Berechtigungen erteilt, erhalten alle Benutzer in dieser Gruppe diese Berechtigungen.
IAM-Richtlinien definieren Berechtigungen für eine Aktion unabhängig von der Methode, die Sie zur Ausführung der Aktion verwenden. Angenommen, es gibt eine Richtlinie, die Berechtigungen für die `iam:GetRole`-Aktion erteilt. Ein Benutzer mit dieser Richtlinie kann Rolleninformationen von der AWS-Managementkonsole AWS CLI, der oder der AWS API abrufen.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können weiter als *Inline-Richtlinien* oder *verwaltete Richtlinien* kategorisiert werden. Inline-Richtlinien sind direkt in einen einzelnen Benutzer, eine einzelne Gruppe oder eine einzelne Rolle eingebettet. Verwaltete Richtlinien sind eigenständige Richtlinien, die Sie mehreren Benutzern, Gruppen und Rollen in Ihrem AWS-Konto anfügen können. Zu den verwalteten Richtlinien gehören AWS verwaltete Richtlinien und vom Kunden verwaltete Richtlinien. Informationen dazu, wie Sie zwischen einer verwalteten Richtlinie und einer eingebundenen Richtlinie wählen, finden Sie unter [Auswahl zwischen verwalteten und eingebundenen Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche, weniger verbreitete Richtlinientypen. Mit diesen Richtlinientypen können Sie die maximalen Berechtigungen festlegen, die Ihnen durch die gängigeren Richtlinientypen gewährt werden.
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze ist ein erweitertes Feature, mit der Sie die maximalen Berechtigungen festlegen können, die eine identitätsbasierte Richtlinie einer IAM-Entität (IAM-Benutzer oder -Rolle) erteilen kann. Sie können eine Berechtigungsgrenze für eine Entität festlegen. Die resultierenden Berechtigungen sind eine Schnittmenge der identitätsbasierten Richtlinien der Entität und ihrer Berechtigungsgrenzen. Ressourcenbasierte Richtlinien, die den Benutzer oder die Rolle im Feld `Principal` angeben, werden nicht durch Berechtigungsgrenzen eingeschränkt. Eine explizite Zugriffsverweigerung in einer dieser Richtlinien setzt eine Zugriffserlaubnis außer Kraft. Weitere Informationen über Berechtigungsgrenzen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *IAM-Benutzerhandbuch*.
+ **Dienststeuerungsrichtlinien (SCPs)** — SCPs sind JSON-Richtlinien, die die maximalen Berechtigungen für eine Organisation oder Organisationseinheit (OU) in festlegen AWS Organizations. AWS Organizations ist ein Dienst zur Gruppierung und zentralen Verwaltung mehrerer Objekte AWS-Konten , die Ihrem Unternehmen gehören. Wenn Sie alle Funktionen in einer Organisation aktivieren, können Sie Richtlinien zur Servicesteuerung (SCPs) auf einige oder alle Ihre Konten anwenden. Das SCP schränkt die Berechtigungen für Entitäten in Mitgliedskonten ein, einschließlich der einzelnen Root-Benutzer des AWS-Kontos Entitäten. Weitere Informationen zu Organizations und SCPs finden Sie unter [So SCPs arbeiten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html) Sie im *AWS Organizations Benutzerhandbuch*.
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die Sie als Parameter übergeben, wenn Sie eine temporäre Sitzung für eine Rolle oder einen verbundenen Benutzer programmgesteuert erstellen. Die resultierenden Sitzungsberechtigungen sind eine Schnittmenge der auf der Identität des Benutzers oder der Rolle basierenden Richtlinien und der Sitzungsrichtlinien. Berechtigungen können auch aus einer ressourcenbasierten Richtlinie stammen. Eine explizite Zugriffsverweigerung in einer dieser Richtlinien setzt eine Zugriffserlaubnis außer Kraft. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# Wie AWS Clean Rooms funktioniert mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf zu verwalten AWS Clean Rooms, sollten Sie sich darüber informieren, welche IAM-Funktionen zur Verfügung stehen. AWS Clean Rooms
**IAM-Funktionen, die Sie mit verwenden können AWS Clean Rooms**
| IAM-Feature | AWS Clean Rooms Unterstützung |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Teilweise |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Richtlinienbedingungsschlüssel (servicespezifisch)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Teilweise |
| [ACLs](#security_iam_service-with-iam-acls) | Nein |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags) | Ja |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Forward Access Sessions (FAS)](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service) | Ja |
| [Service-verknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Nein |
Einen allgemeinen Überblick darüber, wie die meisten IAM-Funktionen AWS-Services funktionieren AWS Clean Rooms und wie sie [funktionieren AWS-Services , finden Sie im *IAM-Benutzerhandbuch*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Identitätsbasierte Richtlinien für AWS Clean Rooms
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Beispiele für identitätsbasierte Richtlinien für AWS Clean Rooms
Beispiele für AWS Clean Rooms identitätsbasierte Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Clean Rooms](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte Richtlinien finden Sie in AWS Clean Rooms
**Unterstützt ressourcenbasierte Richtlinien:** Teilweise
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
Der AWS Clean Rooms Dienst unterstützt nur eine Art von ressourcenbasierter Richtlinie, die als *konfiguriertes Lookalike-Modell bezeichnet wird (verwaltete Ressourcenrichtlinie), die an ein konfiguriertes Lookalike-Modell* angehängt ist. Diese Richtlinie definiert, welche Principals Aktionen auf dem konfigurierten Lookalike-Modell ausführen können.
Informationen zum Anhängen einer ressourcenbasierten Richtlinie an ein konfiguriertes Lookalike-Modell finden Sie unter. **[IAM-Verhalten für AWS Clean Rooms ML](ml-behaviors.md)**
## Politische Maßnahmen für AWS Clean Rooms
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Eine Liste der AWS Clean Rooms Aktionen finden Sie unter [Aktionen definiert von AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscleanrooms.html) in der *Serviceautorisierungsreferenz*.
Bei Richtlinienaktionen wird vor der Aktion das folgende Präfix AWS Clean Rooms verwendet.
```
cleanrooms
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"cleanrooms:action1",
"cleanrooms:action2"
]
```
Beispiele für AWS Clean Rooms identitätsbasierte Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Clean Rooms](security_iam_id-based-policy-examples.md)
## Politische Ressourcen für AWS Clean Rooms
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Eine Liste der AWS Clean Rooms Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Resources defined by AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-resources-for-iam-policies) in der *Service Authorization Reference*. Informationen zu den Aktionen, mit denen Sie den ARN einzelner Ressourcen angeben können, finden Sie unter [Von AWS Clean Rooms definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).
Beispiele für AWS Clean Rooms identitätsbasierte Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Clean Rooms](security_iam_id-based-policy-examples.md)
## Bedingungsschlüssel für Richtlinien für AWS Clean Rooms
**Unterstützt dienstspezifische Richtlinien-Bedingungsschlüssel: Teilweise**
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Informationen darüber, wie AWS Clean Rooms ML Richtlinien-Bedingungsschlüssel verwendet, finden Sie unter **[IAM-Verhalten für AWS Clean Rooms ML](ml-behaviors.md)**.
## ACLs in AWS Clean Rooms
**Unterstützt ACLs:** Nein
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
## ABAC mit AWS Clean Rooms
**Unterstützt ABAC (Tags in Richtlinien):** Ja
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
## Verwenden temporärer Anmeldeinformationen mit AWS Clean Rooms
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Zugriffssitzungen weiterleiten für AWS Clean Rooms
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward-Access-Sitzungen (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, in Kombination mit der Anforderung, Anfragen AWS-Service an nachgelagerte Dienste zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Servicerollen für AWS Clean Rooms
**Unterstützt Servicerollen:** Ja
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Warnung**
Durch das Ändern der Berechtigungen für eine Servicerolle kann die AWS Clean Rooms Funktionalität beeinträchtigt werden. Bearbeiten Sie Servicerollen nur, AWS Clean Rooms wenn Sie dazu eine Anleitung erhalten.
## Dienstbezogene Rollen für AWS Clean Rooms
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Details zum Erstellen oder Verwalten von serviceverknüpften Rollen finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Tabelle nach einem Service mit einem `Yes` in der Spalte **Service-linked role** (Serviceverknüpfte Rolle). Wählen Sie den Link **Yes** (Ja) aus, um die Dokumentation für die serviceverknüpfte Rolle für diesen Service anzuzeigen.
# Beispiele für identitätsbasierte Richtlinien für AWS Clean Rooms
Benutzer und Rollen haben standardmäßig nicht die Berechtigung, AWS Clean Rooms -Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu Aktionen und Ressourcentypen, die von definiert wurden AWS Clean Rooms, einschließlich des Formats von ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html) in der *Service Authorization Reference*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Konsole AWS Clean Rooms](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand AWS Clean Rooms Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Konsole AWS Clean Rooms
Um auf die AWS Clean Rooms Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den AWS Clean Rooms Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Um sicherzustellen, dass Benutzer und Rollen die AWS Clean Rooms Konsole weiterhin verwenden können, fügen Sie den Entitäten auch die AWS Clean Rooms `FullAccess` oder die `ReadOnly` AWS verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der AWS CLI AWS OR-API.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS verwaltete Richtlinien für AWS Clean Rooms
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: `AWSCleanRoomsReadOnlyAccess`
Sie können eine Verbindung `AWSCleanRoomsReadOnlyAccess` zu Ihren IAM-Prinzipalen herstellen.
Diese Richtlinie gewährt nur Leseberechtigungen für Ressourcen und Metadaten in einer Kollaboration. `AWSCleanRoomsReadOnlyAccess`
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `CleanRoomsRead`— Ermöglicht Prinzipalen nur Lesezugriff auf den Dienst.
+ `ConsoleDisplayTables`— Ermöglicht Prinzipalen den schreibgeschützten Zugriff auf die AWS Glue Metadaten, die zur Anzeige von Daten über die zugrunde liegenden Tabellen auf der Konsole benötigt werden. AWS Glue
+ `ConsoleLogSummaryQueryLogs`— Ermöglicht es den Prinzipalen, die Abfrageprotokolle zu sehen.
+ `ConsoleLogSummaryObtainLogs`— Ermöglicht Prinzipalen das Abrufen der Protokollergebnisse.
Eine JSON-Liste der Richtliniendetails finden Sie [AWSCleanRoomsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsReadOnlyAccess.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*
## AWS verwaltete Richtlinie: `AWSCleanRoomsFullAccess`
Sie können eine Verbindung `AWSCleanRoomsFullAccess` zu Ihren IAM-Prinzipalen herstellen.
Diese Richtlinie gewährt Administratorberechtigungen, die vollen Zugriff (Lesen, Schreiben und Aktualisieren) auf Ressourcen und Metadaten in einer AWS Clean Rooms Kollaboration ermöglichen. Diese Richtlinie beinhaltet den Zugriff zur Durchführung von Abfragen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `CleanRoomsAccess`— Gewährt vollen Zugriff auf alle Aktionen auf allen Ressourcen für AWS Clean Rooms.
+ `PassServiceRole`— Gewährt Zugriff zur Übergabe einer Servicerolle nur an den Dienst (`PassedToService`Bedingung), dessen Name cleanrooms "" enthält.
+ `ListRolesToPickServiceRole`— Ermöglicht es Prinzipalen, alle ihre Rollen aufzulisten, um bei der Verwendung AWS Clean Rooms eine Servicerolle auszuwählen.
+ `GetRoleAndListRolePoliciesToInspectServiceRole`— Ermöglicht Prinzipalen, die Servicerolle und die entsprechende Richtlinie in IAM zu sehen.
+ `ListPoliciesToInspectServiceRolePolicy`— Ermöglicht Prinzipalen, die Servicerolle und die entsprechende Richtlinie in IAM zu sehen.
+ `GetPolicyToInspectServiceRolePolicy`— Ermöglicht Prinzipalen, die Servicerolle und die entsprechende Richtlinie in IAM zu sehen.
+ `ConsoleDisplayTables`— Ermöglicht Prinzipalen den schreibgeschützten Zugriff auf die AWS Glue Metadaten, die für die Anzeige von Daten zu den zugrunde liegenden AWS Glue Tabellen auf der Konsole erforderlich sind.
+ `ConsolePickQueryResultsBucketListAll`— Ermöglicht Prinzipalen, einen Amazon S3 S3-Bucket aus einer Liste aller verfügbaren S3-Buckets auszuwählen, in die ihre Abfrageergebnisse geschrieben werden.
+ `SetQueryResultsBucket`— Ermöglicht Prinzipalen, einen S3-Bucket auszuwählen, in den ihre Abfrageergebnisse geschrieben werden.
+ `ConsoleDisplayQueryResults`— Ermöglicht es den Prinzipalen, dem Kunden die Abfrageergebnisse anzuzeigen, die aus dem S3-Bucket gelesen wurden.
+ `WriteQueryResults`— Ermöglicht Prinzipalen, die Abfrageergebnisse in einen kundeneigenen S3-Bucket zu schreiben.
+ `EstablishLogDeliveries`— Ermöglicht Principals, Abfrageprotokolle an die Amazon CloudWatch Logs-Protokollgruppe eines Kunden zu senden.
+ `SetupLogGroupsDescribe`— Ermöglicht Prinzipalen, den Prozess zur Erstellung von Amazon CloudWatch Logs-Protokollgruppen zu verwenden.
+ `SetupLogGroupsCreate`— Ermöglicht Prinzipalen, eine Amazon CloudWatch Logs-Protokollgruppe zu erstellen.
+ `SetupLogGroupsResourcePolicy`— Ermöglicht Prinzipalen, eine Ressourcenrichtlinie für die Amazon CloudWatch Logs-Protokollgruppe einzurichten.
+ `ConsoleLogSummaryQueryLogs`— Ermöglicht es den Prinzipalen, die Abfrageprotokolle einzusehen.
+ `ConsoleLogSummaryObtainLogs`— Ermöglicht Prinzipalen das Abrufen der Protokollergebnisse.
Eine JSON-Liste der Richtliniendetails finden Sie [AWSCleanRoomsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsFullAccess.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*
## AWS verwaltete Richtlinie: `AWSCleanRoomsFullAccessNoQuerying`
Sie können es `AWSCleanRoomsFullAccessNoQuerying` an Ihre anhängenIAM principals.
Diese Richtlinie gewährt Administratorberechtigungen, die vollen Zugriff (Lesen, Schreiben und Aktualisieren) auf Ressourcen und Metadaten in einer AWS Clean Rooms Kollaboration ermöglichen. Diese Richtlinie schließt den Zugriff zur Durchführung von Abfragen aus.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `CleanRoomsAccess`— Gewährt vollen Zugriff auf alle Aktionen auf allen Ressourcen für AWS Clean Rooms, mit Ausnahme von Abfragen in Kollaborationen.
+ `CleanRoomsNoQuerying`— Verweigert ausdrücklich das Abfragen `StartProtectedQuery` und verhindert `UpdateProtectedQuery` es.
+ `PassServiceRole`— Gewährt Zugriff auf die Übergabe einer Servicerolle nur an den Dienst (`PassedToService`Bedingung), dessen Name "cleanrooms" enthält.
+ `ListRolesToPickServiceRole`— Ermöglicht es Prinzipalen, alle ihre Rollen aufzulisten, um bei der Verwendung AWS Clean Rooms eine Servicerolle auszuwählen.
+ `GetRoleAndListRolePoliciesToInspectServiceRole`— Ermöglicht Prinzipalen, die Servicerolle und die entsprechende Richtlinie in IAM zu sehen.
+ `ListPoliciesToInspectServiceRolePolicy`— Ermöglicht Prinzipalen, die Servicerolle und die entsprechende Richtlinie in IAM zu sehen.
+ `GetPolicyToInspectServiceRolePolicy`— Ermöglicht Prinzipalen, die Servicerolle und die entsprechende Richtlinie in IAM zu sehen.
+ `ConsoleDisplayTables`— Ermöglicht Prinzipalen den schreibgeschützten Zugriff auf die AWS Glue Metadaten, die für die Anzeige von Daten zu den zugrunde liegenden AWS Glue Tabellen auf der Konsole erforderlich sind.
+ `EstablishLogDeliveries`— Ermöglicht Principals, Abfrageprotokolle an die Amazon CloudWatch Logs-Protokollgruppe eines Kunden zu senden.
+ `SetupLogGroupsDescribe`— Ermöglicht Prinzipalen, den Prozess zur Erstellung von Amazon CloudWatch Logs-Protokollgruppen zu verwenden.
+ `SetupLogGroupsCreate`— Ermöglicht Prinzipalen, eine Amazon CloudWatch Logs-Protokollgruppe zu erstellen.
+ `SetupLogGroupsResourcePolicy`— Ermöglicht Prinzipalen, eine Ressourcenrichtlinie für die Amazon CloudWatch Logs-Protokollgruppe einzurichten.
+ `ConsoleLogSummaryQueryLogs`— Ermöglicht es den Prinzipalen, die Abfrageprotokolle einzusehen.
+ `ConsoleLogSummaryObtainLogs`— Ermöglicht Prinzipalen das Abrufen der Protokollergebnisse.
+ `cleanrooms`— Verwaltet Kollaborationen, Analysevorlagen, konfigurierte Tabellen, Mitgliedschaften und zugehörige Ressourcen innerhalb des Service. AWS Clean Rooms Führen Sie verschiedene Operationen durch, z. B. das Erstellen, Aktualisieren, Löschen, Auflisten und Abrufen von Informationen zu diesen Ressourcen.
+ `iam`— Übergibt Dienstrollen, deren Namen "`cleanrooms`" enthalten, an den AWS Clean Rooms Dienst. Listen Sie Rollen und Richtlinien auf und überprüfen Sie die Dienstrollen und Richtlinien, die sich auf den AWS Clean Rooms Dienst beziehen.
+ `glue`— Rufen Sie Informationen zu Datenbanken, Tabellen, Partitionen und Schemas von ab AWS Glue. Dies ist erforderlich, damit der AWS Clean Rooms Dienst die zugrunde liegenden Datenquellen anzeigen und mit ihnen interagieren kann.
+ `logs`— Verwalten Sie Protokollzustellungen, Protokollgruppen und Ressourcenrichtlinien für CloudWatch Protokolle. Abfragen und Abrufen von Protokollen im Zusammenhang mit dem AWS Clean Rooms Dienst. Diese Berechtigungen sind für Überwachungs-, Prüf- und Fehlerbehebungszwecke innerhalb des Dienstes erforderlich.
Die Richtlinie lehnt die Aktionen auch ausdrücklich ab `cleanrooms:StartProtectedQuery` und verhindert`cleanrooms:UpdateProtectedQuery`, dass Benutzer geschützte Abfragen direkt ausführen oder aktualisieren, was über die AWS Clean Rooms kontrollierten Mechanismen geschehen sollte.
Eine JSON-Liste der Richtliniendetails finden Sie [AWSCleanRoomsFullAccessNoQuerying](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsFullAccessNoQuerying.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*
## AWS verwaltete Richtlinie: `AWSCleanRoomsMLReadOnlyAccess`
Sie können eine Verbindung `AWSCleanRoomsMLReadOnlyAccess` zu Ihren IAM-Prinzipalen herstellen.
Diese Richtlinie gewährt nur Leseberechtigungen für Ressourcen und Metadaten in einer Kollaboration. `AWSCleanRoomsMLReadOnlyAccess`
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `CleanRoomsConsoleNavigation`— Gewährt Zugriff auf die Bildschirme der AWS Clean Rooms Konsole.
+ `CleanRoomsMLRead`— Ermöglicht Prinzipalen nur Lesezugriff auf den Clean Rooms ML-Dienst.
+ `PassCleanRoomsResources`— Gewährt Zugriff zur Weitergabe bestimmter Ressourcen. AWS Clean Rooms
Eine JSON-Liste der Richtliniendetails finden Sie unter [AWSCleanRäume MLRead OnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsMLReadOnlyAccess.html) im *Referenzhandbuch für AWS verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: `AWSCleanRoomsMLFullAccess`
Sie können eine Verbindung `AWSCleanRoomsMLFullAcces` zu Ihren IAM-Prinzipalen herstellen. Diese Richtlinie gewährt Administratorberechtigungen, die vollen Zugriff (Lesen, Schreiben und Aktualisieren) auf Ressourcen und Metadaten ermöglichen, die von Clean Rooms ML benötigt werden.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `CleanRoomsMLFullAccess`— Gewährt Zugriff auf alle Clean Rooms ML-Aktionen.
+ `PassServiceRole`— Gewährt Zugriff auf die Weitergabe einer Servicerolle nur an den Dienst (die `PassedToService` Bedingung), dessen Name cleanrooms-ml "" enthält.
+ `CleanRoomsConsoleNavigation`— Gewährt Zugriff auf die Bildschirme der AWS Clean Rooms Konsole.
+ `CollaborationMembershipCheck`— Wenn Sie innerhalb einer Kollaboration einen Job zur Zielgruppengenerierung (Lookalike-Segment) starten, ruft der Clean Rooms ML-Service an, `ListMembers` um zu überprüfen, ob die Kollaboration gültig ist, der Anrufer ein aktives Mitglied und der Besitzer des konfigurierten Zielgruppenmodells ein aktives Mitglied ist. Diese Berechtigung ist immer erforderlich. Die SID für die Konsolennavigation ist nur für Konsolenbenutzer erforderlich.
+ `PassCleanRoomsResources`— Gewährt Zugriff auf die Weitergabe bestimmter AWS Clean Rooms Ressourcen.
+ `AssociateModels`— Ermöglicht Prinzipalen, Ihrer Zusammenarbeit ein Clean Rooms-ML-Modell zuzuordnen.
+ `TagAssociations`— Ermöglicht es Prinzipalen, der Verknüpfung zwischen einem Lookalike-Modell und einer Kollaboration Tags hinzuzufügen.
+ `ListRolesToPickServiceRole`— Ermöglicht es Prinzipalen, alle ihre Rollen aufzulisten, um bei der Verwendung eine Servicerolle auszuwählen. AWS Clean Rooms
+ `GetRoleAndListRolePoliciesToInspectServiceRole`— Ermöglicht Prinzipalen, die Servicerolle und die entsprechende Richtlinie in IAM zu sehen.
+ `ListPoliciesToInspectServiceRolePolicy`— Ermöglicht Prinzipalen, die Servicerolle und die entsprechende Richtlinie in IAM zu sehen.
+ `GetPolicyToInspectServiceRolePolicy`— Ermöglicht Prinzipalen, die Servicerolle und die entsprechende Richtlinie in IAM zu sehen.
+ `ConsoleDisplayTables`— Ermöglicht Prinzipalen den schreibgeschützten Zugriff auf die AWS Glue Metadaten, die für die Anzeige von Daten zu den zugrunde liegenden AWS Glue Tabellen auf der Konsole erforderlich sind.
+ `ConsolePickOutputBucket`— Ermöglicht Prinzipalen die Auswahl von Amazon S3 S3-Buckets für konfigurierte Zielgruppenmodellausgaben.
+ `ConsolePickS3Location`— Ermöglicht Prinzipalen die Auswahl des Speicherorts innerhalb eines Buckets für konfigurierte Zielgruppenmodell-Ausgaben.
+ `ConsoleDescribeECRRepositories`— Ermöglicht Prinzipalen die Beschreibung von Amazon ECR-Repositorys und -Images.
Eine JSON-Liste der Richtliniendetails finden Sie unter [AWSCleanRooms MLFull Access](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsMLFullAccess.html) im *AWS Managed Policy* Reference Guide.
## AWS Clean Rooms Aktualisierungen der AWS verwalteten Richtlinien
Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien AWS Clean Rooms seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst. Abonnieren Sie den RSS-Feed auf der Seite AWS Clean Rooms Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery)— Aktualisierung der bestehenden Richtlinie | Reinräume: UpdateConfiguredTableAllowedColumns und Reinräume: UpdateConfiguredTableReference zu hinzugefügt. CleanRoomsAccess | 29. Juli 2025 |
| [AWSCleanRoomsMLReadOnlyAccess](#ml-read-only) – Aktualisierung auf eine bestehende Richtlinie | Hinzufügung von PassCleanRoomsResources zu AWSCleanRoomsMLReadOnlyAccess. PassCleanRoomsResources und ConsoleDescribeECRRepositories wurden zu AWSCleanRoomsMLFullAccess hinzugefügt. | 10. Januar 2025 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery) – Aktualisierung auf eine bestehende Richtlinie | Hinzufügung von cleanrooms:BatchGetSchemaAnalysisRule zu CleanRoomsAccess. | 13. Mai 2024 |
| [AWSCleanRoomsFullAccess](#security-iam-awsmanpol-fullaccess) – Aktualisierung auf eine bestehende Richtlinie | Die Statement ID in der Zeile AWSCleanRoomsFullAccess von ConsolePickQueryResultsBucket bis wurde SetQueryResultsBucket in dieser Richtlinie aktualisiert, um die Berechtigungen besser darzustellen, da die Berechtigungen für die Einstellung des Abfrageergebnis-Buckets sowohl mit als auch ohne Konsole benötigt werden. | 21. März 2024 |
| [AWSCleanRoomsMLReadOnlyAccess](#ml-read-only) – Neue Richtlinie [AWSCleanRoomsMLFullAccess](#ml-full-access) – Neue Richtlinie | Hinzugefügt AWSCleanRoomsMLReadOnlyAccess und AWSCleanRoomsMLFullAccess zur Unterstützung von AWS Clean Rooms ML. | 29. November 2023 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery) – Aktualisierung auf eine bestehende Richtlinie | Es wurden cleanrooms:CreateAnalysisTemplatecleanrooms:GetAnalysisTemplate,,cleanrooms:UpdateAnalysisTemplate, cleanrooms:DeleteAnalysisTemplate, cleanrooms:ListAnalysisTemplatescleanrooms:GetCollaborationAnalysisTemplate, und cleanrooms:ListCollaborationAnalysisTemplates zu hinzugefügtcleanrooms:BatchGetCollaborationAnalysisTemplate, CleanRoomsAccess um die neue Funktion für Analysevorlagen zu aktivieren. | 31. Juli 2023 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery) – Aktualisierung auf eine bestehende Richtlinie | cleanrooms:ListTagsForResource, und cleanrooms:TagResource zu hinzugefügtcleanrooms:UntagResource, CleanRoomsAccess um das Ressourcen-Tagging zu aktivieren. | 21. März 2023 |
| AWS Clean Rooms hat begonnen, Änderungen zu verfolgen | AWS Clean Rooms hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen. | 12. Januar 2023 |
# Fehlerbehebung bei AWS Clean Rooms Identität und Zugriff
Mithilfe der folgenden Informationen können Sie häufig auftretende Probleme diagnostizieren und beheben, die bei der Arbeit mit AWS Clean Rooms und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion durchzuführen in AWS Clean Rooms](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine AWS Clean Rooms Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion durchzuführen in AWS Clean Rooms
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.
Der folgende Beispielfehler tritt auf, wenn der `mateojackson` IAM-Benutzer versucht, die Konsole zum Anzeigen von Details zu einer fiktiven `my-example-widget`-Ressource zu verwenden, jedoch nicht über `cleanrooms:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cleanrooms:GetWidget on resource: my-example-widget
```
In diesem Fall muss die Mateo-Richtlinie aktualisiert werden, damit er mit der `cleanrooms:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zum Durchführen der `iam:PassRole`-Aktion autorisiert sind, müssen Ihre Richtlinien aktualisiert werden, um eine Rolle an AWS Clean Roomsübergeben zu können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in AWS Clean Rooms auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine AWS Clean Rooms Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob diese Funktionen AWS Clean Rooms unterstützt werden, finden Sie unter[Wie AWS Clean Rooms funktioniert mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [So unterscheiden sich IAM-Rollen von ressourcenbasierten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) im *IAM-Benutzerhandbuch*.
# Serviceübergreifende Confused-Deputy-Prävention
Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In AWS kann ein dienstübergreifendes Identitätswechsels zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.
Wir empfehlen, die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)globalen Bedingungskontextschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die der AWSClean Rooms Ressource einen anderen Dienst gewähren. Verwenden Sie `aws:SourceArn`, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten.
Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource. AWSClean RoomsIn müssen Sie auch mit dem `sts:ExternalId` Bedingungsschlüssel vergleichen.
Der Wert von `aws:SourceArn` muss auf den ARN der Mitgliedschaft der übernommenen Rolle gesetzt werden.
Das folgende Beispiel zeigt, wie Sie den Kontextschlüssel für `aws:SourceArn` globale Bedingungen verwenden können, AWSClean Rooms um das Problem des verwirrten Stellvertreters zu vermeiden.
**Anmerkung**
Die Beispielrichtlinie bezieht sich auf die Vertrauensrichtlinie der Servicerolle, die für den Zugriff auf Daten und Metadaten für eine konfigurierte Tabelle AWS Clean Rooms verwendet wird.
Der Wert für ** muss auf die Mitglieds-ID des Abfragerunners gesetzt werden.
Alle Mitglieder der Kollaboration können die konfigurierten Tabellenmetadaten anzeigen, sodass jeder Mitglieds-ARN in der Mitgliedschaftsliste enthalten sein muss ARNs.
**Anmerkung**
Wenn eine Servicerolle über die AWS Clean Rooms Konsole erstellt wird, werden standardmäßig alle aktuellen Mitglieder der Kollaboration in den Status Confused Deputy aufgenommen.
Wenn Sie einer Kollaboration, der bereits konfigurierte Tabellen zugeordnet sind, neue Mitglieder hinzufügen, stellen Sie sicher, dass Sie den Status Confused Deputy Ihrer Servicerolle mit dem Mitglieds-ARN des neuen Mitglieds aktualisieren.
Wenn Sie nach dem Hinzufügen eines neuen Mitglieds den Status „Verwirrter Stellvertreter“ Ihrer Servicerolle nicht aktualisieren, kann das neue Mitglied nicht auf die Informationen zugreifen AWS Clean Rooms , die mit dieser Rolle abgerufen wurden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowIfExternalIdMatches",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringLike": {
"sts:ExternalId": "arn:aws:*:us-east-1:*:dbuser:*/*"
}
}
},
{
"Sid": "AllowIfSourceArnMatches",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ForAnyValue:ArnEquals": {
"aws:SourceArn": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/",
"arn:aws:cleanrooms:us-east-1:444455556666:membership/"
]
}
}
}
]
}
```
------
# IAM-Verhalten für AWS Clean Rooms ML
## Kontoübergreifende Jobs
Mit Clean Rooms ML können bestimmte Ressourcen, die von einer Person erstellt wurden AWS-Konto , von einer anderen AWS-Konto Person sicher in ihrem Konto abgerufen werden. Wenn ein Kunde in AWS-Konto A eine `ConfiguredAudienceModel` Ressource `StartAudienceGenerationJob` anruft, die AWS-Konto B gehört, erstellt Clean Rooms ML zwei Ressourcen ARNs für den Job. Ein ARN in AWS-Konto A und ein weiterer in AWS-Konto B. Sie ARNs sind bis auf ihre identisch AWS-Konto.
Clean Rooms ML erstellt zwei ARNs für den Job, um sicherzustellen, dass beide Konten ihre eigenen IAM-Richtlinien auf die Jobs anwenden können. Beispielsweise können beide Konten eine tagbasierte Zugriffskontrolle verwenden und die Richtlinien ihrer AWS Organisation anwenden. Der Job verarbeitet Daten von beiden Konten, sodass beide Konten den Job und die zugehörigen Daten löschen können. Keines der Konten kann das andere Konto daran hindern, den Job zu löschen.
Es gibt nur eine Auftragsausführung und beide Konten können den Job sehen, wenn sie aufrufen`ListAudienceGenerationJobs`. Beide Konten können`Get`, und `Export` APIs on the Job aufrufen`Delete`, indem sie den ARN mit ihrer eigenen AWS-Konto ID verwenden.
Keiner AWS-Konto kann auf den Job zugreifen, wenn er einen ARN mit der anderen AWS-Konto ID verwendet.
Der Name des Jobs muss innerhalb eines eindeutig sein AWS-Konto. Der Name in AWS-Konto B ist*\$1accountA-\$1name*. Dem von AWS-Konto A ausgewählten Namen wird A vorangestellt, wenn der Job in AWS-Konto B angezeigt wird. AWS-Konto
Damit ein Cross-Account `StartAudienceGenerationJob` erfolgreich ist, muss AWS-Konto B diese Aktion sowohl für den neuen Job in B als auch für den Job in AWS-Konto B zulassen. Dabei `ConfiguredAudienceModel` muss eine Ressourcenrichtlinie verwendet werden, die dem folgenden Beispiel ähnelt: AWS-Konto
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Clean-Rooms-CAMA-ID",
"Effect": "Allow",
"Principal": {
"AWS": [
"111122223333"
]
},
"Action": [
"cleanrooms-ml:StartAudienceGenerationJob"
],
"Resource": [
"arn:aws:cleanrooms-ml:us-east-1:444455556666:configured-audience-model/id",
"arn:aws:cleanrooms-ml:us-east-1:444455556666:audience-generation-job/*"
],
"Condition":{"StringEquals":{"cleanrooms-ml:CollaborationId":"UUID"}}
}
]
}
```
------
**Anmerkung**
Diese AWS Clean Rooms ML-Ressourcenrichtlinie bezieht sich auf zwei unterschiedliche Methoden, AWS-Konto IDs um die kontenübergreifende Zielgruppengenerierung zu unterstützen:
**111122223333** — Dies ist das Konto, das den Prinzipal (Benutzer, Rolle oder Dienst) enthält, der autorisiert ist, Jobs zur Zielgruppengenerierung zu starten. Dieses Konto initiiert den ML-Verarbeitungsworkflow.
**444455556666** — Dies ist das Konto, dem die AWS Clean Rooms ML-Ressourcen gehören (das konfigurierte Zielgruppenmodell und die Jobs zur Zielgruppengenerierung). Dieses Konto hostet die ML-Modelle und verwaltet die Auftragsausführung.
**Zusätzliche Hinweise zur Konfiguration:**
**Statement ID (Sid)**: `CAMA-ID` Ersetzen Sie es durch Ihre tatsächliche AWS Clean Rooms Audience Model Application (CAMA) -ID, damit die Grundsatzerklärung leicht identifizierbar ist.
**Ressource IDs**: *id* Ersetzen Sie diese durch die tatsächliche ID Ihres konfigurierten Zielgruppenmodells und *UUID* durch Ihre spezifische Kollaborations-ID.
**Bedingung**: Die `cleanrooms-ml:CollaborationId` Bedingung stellt sicher, dass Jobs zur Zielgruppengenerierung nur im Kontext der angegebenen AWS Clean Rooms Zusammenarbeit gestartet werden können, wodurch eine zusätzliche Sicherheitsgrenze geschaffen wird.
Diese kontenübergreifende Konfiguration ermöglicht Szenarien, in denen eine Organisation die ML-Modelle und die Infrastruktur verwaltet und es autorisierten Partnern gleichzeitig ermöglicht, innerhalb der Grenzen ihrer Kooperationsvereinbarung Prozesse zur Zielgruppengenerierung einzuleiten.
Wenn Sie die [AWS Clean Rooms ML-API](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/Welcome.html) verwenden, um ein konfiguriertes Lookalike-Modell mit dem Wert `manageResourcePolicies` true zu erstellen, AWS Clean Rooms erstellt diese Richtlinie für Sie.
Darüber hinaus muss für die Identitätsrichtlinie des Anrufers in AWS-Konto A eine `StartAudienceGenerationJob` Genehmigung aktiviert werden. `arn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/*` Es gibt also drei IAM-Ressourcen für Aktionen`StartAudienceGenerationJob`: den AWS-Konto A-Job, den AWS-Konto B-Job und den AWS-Konto B-Job. `ConfiguredAudienceModel`
**Warnung**
Derjenige AWS-Konto , der den Job gestartet hat, erhält ein AWS CloudTrail Audit-Log-Ereignis über den Job. AWS-Konto Derjenige, dem der gehört, empfängt `ConfiguredAudienceModel` kein AWS CloudTrail Überwachungsprotokollereignis.
## Jobs taggen
Wenn Sie den `childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE` Parameter von festlegen`CreateConfiguredAudienceModel`, haben alle Jobs zur Generierung von Lookalike-Segmenten in Ihrem Konto, die anhand dieses konfigurierten Lookalike-Modells erstellt wurden, standardmäßig dieselben Tags wie das konfigurierte Lookalike-Modell. Das konfigurierte Lookalike-Modell ist das übergeordnete Modell und der Job zur Generierung von Lookalike-Segmenten ist das untergeordnete Modell.
Wenn Sie einen Job in Ihrem eigenen Konto erstellen, überschreiben die Anforderungs-Tags des Jobs die übergeordneten Tags. Jobs, die von anderen Konten erstellt wurden, erzeugen niemals Stichwörter in Ihrem Konto. Wenn Sie einen Job einrichten `childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE` und ein anderer Account erstellt, gibt es zwei Kopien des Jobs. Die Kopie in Ihrem Konto enthält die übergeordneten Ressourcen-Tags und die Kopie im Konto des Jobeinreichers enthält Stichwörter aus der Anfrage.
## Mitarbeiter werden validiert
Wenn Sie anderen Mitgliedern einer AWS Clean Rooms Kollaboration Berechtigungen gewähren, sollte die Ressourcenrichtlinie den Bedingungsschlüssel enthalten. `cleanrooms-ml:CollaborationId` Dadurch wird erzwungen, dass der `collaborationId` Parameter in der [StartAudienceGenerationJob](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_StartAudienceGenerationJob.html)Anfrage enthalten ist. Wenn der `collaborationId` Parameter in der Anfrage enthalten ist, überprüft Clean Rooms ML, ob die Kollaboration existiert, dass der Jobeinreicher ein aktives Mitglied der Kollaboration ist und der Besitzer des konfigurierten Lookalike-Modells ein aktives Mitglied der Kollaboration ist.
Wenn Ihre konfigurierte Ressourcenrichtlinie für das Lookalike-Modell AWS Clean Rooms verwaltet wird (der `manageResourcePolicies` Parameter ist [CreateConfiguredAudienceModelAssociation angefordert](https://docs.aws.amazon.com/clean-rooms/latest/apireference/API_CreateConfiguredAudienceModelAssociation.html)), wird dieser Bedingungsschlüssel `TRUE` in der Ressourcenrichtlinie festgelegt. Daher müssen Sie den `collaborationId` in [StartAudienceGenerationJob](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_StartAudienceGenerationJob.html)angeben.
## Kontoübergreifender Zugriff
`StartAudienceGenerationJob`Kann nur kontenübergreifend aufgerufen werden. Alle anderen Clean Rooms ML APIs können nur mit Ressourcen in Ihrem eigenen Konto verwendet werden. Dadurch wird sichergestellt, dass Ihre Trainingsdaten, die Konfiguration eines Lookalike-Modells und andere Informationen vertraulich bleiben.
Clean Rooms ML gibt niemals Amazon S3 oder AWS Glue Standorte für mehrere Konten preis. Der Speicherort der Trainingsdaten, der konfigurierte Speicherort für die Ausgabe eines Lookalike-Modells und der Standort der Jobstartdaten für die Lookalike-Segmentgenerierung sind nicht für alle Konten sichtbar. Sofern die Abfrageprotokollierung in der Kollaboration nicht aktiviert ist, ist es nicht kontenübergreifend sichtbar, ob die Ausgangsdaten aus einer SQL-Abfrage stammen, und die Abfrage selbst. Wenn Sie `Get` einen Job zur Zielgruppengenerierung haben, der von einem anderen Account eingereicht wurde, zeigt der Service den Ausgangsort nicht an.
# IAM-Verhalten für benutzerdefinierte Clean Rooms ML-Modelle
## Kontoübergreifende Jobs
Clean Rooms ML ermöglicht den sicheren Zugriff auf bestimmte Ressourcen, die mit einer von einer Person erstellten Zusammenarbeit verknüpft sind AWS-Konto , von einer anderen AWS-Konto Person in ihrem Konto sicher abgerufen werden. Ein Client in AWS-Konto A, der über die Fähigkeit eines Mitglieds verfügt, Abfragen auszuführen `CreateTrainedModel``CreateMLInputChannel`, kann eine `ConfiguredModelAlgorithmAssociation` Ressource aufrufen, die einem anderen Mitglied der Kollaboration gehört, sofern dies durch die benutzerdefinierte Analyseregel, die mit erstellt wurde, zulässig `ConfiguredModelAlgorithmAssociation` ist`CreateConfiguredTableAnalysisRule`. `StartTrainedModelInferenceJob`
Darüber hinaus kann jedes aktive Mitglied einer Kollaboration Daten löschen, die mit einem trainierten Modell oder einem ML-Eingangskanal verknüpft sind, über den Befehl `DeleteTrainedModelOutput` und `DeleteMLInputChannelData` APIs.
## Kontoübergreifender Zugriff
Clean Rooms ML ermöglicht es Benutzern, Metadaten zu Ressourcen, die von anderen Konten erstellt wurden, über `GetCollaboration` und abzurufen `ListCollaboration` APIs. Clean Rooms ML gibt keine KMS-Schlüssel ARNs, -Tags, Umgebungsvariablen oder Hyperparameter (für die `TrainedModel` Aktion) an andere Konten weiter.
## Zugriff auf Mitgliedschaft und Zusammenarbeit
Beim Zugriff auf Mitgliedschafts- und Kollaborationsressourcen im Kontext von benutzerdefinierten Clean Rooms ML-Modellen benötigt die Identitätsrichtlinie eines Benutzers Berechtigungen für die Aktionen `cleanrooms:PassMembership` oder beides. `cleanrooms:PassCollaboration` Alle APIs , die zustimmen, `membershipId` benötigen die `cleanrooms:PassMembership` Erlaubnis, und alle APIs , die zustimmen, `collaborationId` benötigen die `cleanrooms:PassCollaboration` Erlaubnis. Es wird ein Beispiel für eine Identitätsrichtlinie für eine Rolle bereitgestellt, die `createTrainedModel` im Kontext einer Mitglieds-ID aufgerufen werden kann, die `GetCollaborationTrainedModel` im Kontext einer Kollaborations-ID aufgerufen werden kann.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCleanroomsMLActions",
"Effect": "Allow",
"Action": [
"cleanrooms:PassCollaboration",
"cleanrooms:PassMembership"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowMembershipAccess",
"Effect": "Allow",
"Action": [
"cleanrooms:GetMembership"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/memberId"
]
},
{
"Sid": "AllowCollaborationAccess",
"Effect": "Allow",
"Action": [
"cleanrooms:GetCollaboration"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:collaboration/collaborationId"
]
}
]
}
```
------
# Konformitätsprüfung für AWS Clean Rooms
Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Resilienz in AWS Clean Rooms
Die AWS globale Infrastruktur basiert auf AWS Regionen und Availability Zones. Regionen stellen mehrere physisch getrennte und isolierte Availability Zones bereit, die über hoch redundante Netzwerke mit niedriger Latenz und hohen Durchsätzen verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu AWS Regionen und Availability Zones finden Sie unter [AWS Globale Infrastruktur](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sicherheit der Infrastruktur in AWS Clean Rooms
Als verwalteter Dienst AWS Clean Rooms ist er durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe für den Zugriff AWS Clean Rooms über das Netzwerk. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
## Netzwerksicherheit
Wenn während der Abfrageausführung aus Ihrem S3-Bucket AWS Clean Rooms gelesen wird, wird der Datenverkehr zwischen Amazon S3 AWS Clean Rooms und Amazon S3 sicher durch das AWS private Netzwerk geleitet. Der Flugverkehr wird mit dem Amazon Signature Version 4-Protokoll (SIGv4) signiert und mit HTTPS verschlüsselt. Dieser Datenverkehr wird auf der Grundlage der IAM-Servicerolle autorisiert, die Sie für Ihre konfigurierte Tabelle eingerichtet haben.
Sie können programmgesteuert eine Verbindung AWS Clean Rooms über einen Endpunkt herstellen. Eine Liste der Dienstendpunkte finden Sie unter [AWS Clean Rooms Endpunkte und](https://docs.aws.amazon.com/general/latest/gr/clean-rooms.html#clean-rooms_region) Kontingente in der. *Allgemeine AWS-Referenz*
Alle Dienstendpunkte sind nur für HTTPS verfügbar. Sie können Amazon Virtual Private Cloud (VPC) -Endpunkte verwenden, falls Sie AWS Clean Rooms von Ihrer VPC aus eine Verbindung herstellen möchten und keine Internetverbindung haben möchten. *Weitere Informationen finden Sie unter [Access AWS services through AWS PrivateLink im Handbuch](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html).AWS PrivateLink *
Sie können Ihren IAM-Prinzipalen IAM-Richtlinien zuweisen, die die [SourceVpce aws:-Kontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce) verwenden, um Ihren IAM-Prinzipal darauf zu beschränken, Anrufe nur AWS Clean Rooms über einen VPC-Endpunkt und nicht über das Internet tätigen zu können.
# Zugriff AWS Clean Rooms oder AWS Clean Rooms ML über einen Schnittstellen-Endpunkt ()AWS PrivateLink
Sie können AWS PrivateLink damit eine private Verbindung zwischen Ihrer Virtual Private Cloud (VPC) AWS Clean Rooms und/oder AWS Clean Rooms ML herstellen. Sie können auf AWS Clean Rooms oder AWS Clean Rooms ML zugreifen, als ob es in Ihrer VPC wäre, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder Direct Connect eine Verbindung verwenden zu müssen. Instances in Ihrer VPC benötigen für den Zugriff AWS Clean Rooms keine öffentlichen IP-Adressen.
Sie stellen diese private Verbindung her, indem Sie einen *Schnittstellen-Endpunkt* erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt aktivieren. Hierbei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Eingangspunkt für den Datenverkehr dienen, der für AWS Clean Rooms bestimmt ist.
Weitere Informationen finden Sie unter [Zugriff auf AWS-Services über AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) im *AWS PrivateLink -Leitfaden*.
## Überlegungen zu AWS Clean Rooms
Bevor Sie einen Schnittstellenendpunkt für einrichten AWS Clean Rooms, lesen Sie die [Überlegungen](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) im *AWS PrivateLink Handbuch*.
AWS Clean Rooms und AWS Clean Rooms ML unterstützen das Aufrufen all ihrer API-Aktionen über den Schnittstellenendpunkt.
VPC-Endpunktrichtlinien werden für AWS Clean Rooms oder AWS Clean Rooms ML nicht unterstützt. Standardmäßig ist Vollzugriff auf AWS Clean Rooms und AWS Clean Rooms ML über den Schnittstellenendpunkt zulässig. Alternativ können Sie den Endpunkt-Netzwerkschnittstellen eine Sicherheitsgruppe zuordnen, um den Datenverkehr zum AWS Clean Rooms oder AWS Clean Rooms ML über den Schnittstellenendpunkt zu steuern.
## Erstellen Sie einen Schnittstellenendpunkt für AWS Clean Rooms
Sie können einen Schnittstellenendpunkt für AWS Clean Rooms oder AWS Clean Rooms ML entweder mit der Amazon VPC-Konsole oder mit AWS Command Line Interface (AWS CLI) erstellen. Weitere Informationen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) im *AWS PrivateLink -Leitfaden*.
Erstellen Sie einen Schnittstellenendpunkt für die AWS Clean Rooms Verwendung des folgenden Servicenamens.
```
com.amazonaws.region.cleanrooms
```
Erstellen Sie einen Schnittstellenendpunkt für AWS Clean Rooms ML mit dem folgenden Dienstnamen.
```
com.amazonaws.region.cleanrooms-ml
```
Wenn Sie privates DNS für den Schnittstellenendpunkt aktivieren, können Sie API-Anfragen an die AWS Clean Rooms Verwendung des standardmäßigen regionalen DNS-Namens stellen. Beispiel, `cleanrooms-ml.us-east-1.amazonaws.com`.