Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Comportamientos de IAM para los modelos personalizados de Clean Rooms ML
<a name="ml-behaviors-byom"></a>

## Cross-account trabajos
<a name="ml-behaviors-byom-cross-account-jobs"></a>

Clean Rooms ML permite que otro acceda de forma segura a determinados recursos asociados Cuenta de AWS a una colaboración creada por uno de ellos en su cuenta Cuenta de AWS. Un cliente de Cuenta de AWS A con la capacidad de realizar consultas como miembro puede llamar `CreateTrainedModel` o utilizar `StartTrainedModelInferenceJob` un `ConfiguredModelAlgorithmAssociation` recurso propiedad de otro miembro de la colaboración, siempre que lo permita la `ConfiguredModelAlgorithmAssociation` regla de análisis personalizada creada con ella`CreateConfiguredTableAnalysisRule`. `CreateMLInputChannel`

Además, cualquier miembro activo de una colaboración puede eliminar los datos asociados a un modelo entrenado o a un canal de entrada de aprendizaje automático a través de `DeleteMLInputChannelData` las API `DeleteTrainedModelOutput` y.

## Cross-account acceder
<a name="ml-behaviors-byom-cross-account-access"></a>

Clean Rooms ML permite a los usuarios recuperar metadatos sobre los recursos creados por otras cuentas a través de `ListCollaboration` las API `GetCollaboration` y. Clean Rooms ML no revela los ARN, etiquetas, variables de entorno o hiperparámetros clave del KMS (para la `TrainedModel` acción) a otras cuentas.

## Acceso a membresías y colaboraciones
<a name="ml-behaviors-byom-membership-collaboration-access"></a>

Al acceder a los recursos de membresía y colaboración en el contexto de los modelos personalizados de Clean Rooms ML, la política de identidad del usuario necesita permisos para las acciones `cleanrooms:PassMembership``cleanrooms:PassCollaboration`, o ambos. Todas las API que aceptan `membershipId` necesitan el `cleanrooms:PassMembership` permiso y todas las API que `collaborationId` lo aceptan necesitan el `cleanrooms:PassCollaboration` permiso. Se proporciona un ejemplo de política de identidad para un rol al que se puede llamar `createTrainedModel` en el contexto de un ID de membresía y al que se puede llamar `GetCollaborationTrainedModel` en el contexto de un ID de colaboración.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCleanroomsMLActions",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:PassCollaboration",
                "cleanrooms:PassMembership"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowMembershipAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetMembership"
            ],
            "Resource": [
                "arn:aws:cleanrooms:{{us-east-1}}:{{111122223333}}:membership/{{memberId}}"
            ]
        },
        {
            "Sid": "AllowCollaborationAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaboration"
            ],
            "Resource": [
                "arn:aws:cleanrooms:{{us-east-1}}:{{111122223333}}:collaboration/{{collaborationId}}"
            ]
        }
    ]
}
```

------