Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en AWS Clean Rooms
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad de la nube y seguridad en la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la AWS nube. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [AWS programas](https://aws.amazon.com/compliance/programs/) de de . Para obtener más información sobre los programas de conformidad aplicables AWS Clean Rooms, consulte [Servicios de AWS dentro del alcance por programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza AWS Clean Rooms. Le muestra cómo configurarlo para AWS Clean Rooms cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger sus AWS Clean Rooms recursos.
**Topics**
+ [Protección de datos](data-protection.md)
+ [Cómo utilizar roles vinculados a servicios](using-service-linked-roles.md)
+ [Retención de datos](data-retention.md)
+ [Prácticas recomendadas](best-practices.md)
+ [Gestión de identidad y acceso](security-iam.md)
+ [Validación de conformidad](SERVICE-compliance.md)
+ [Resiliencia](disaster-recovery-resiliency.md)
+ [Seguridad de la infraestructura](infrastructure-security.md)
+ [AWS PrivateLink](vpc-interface-endpoints.md)
# Protección de datos en AWS Clean Rooms
El modelo de [responsabilidad AWS compartida modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a la protección de datos en AWS Clean Rooms. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con AWS Clean Rooms o Servicios de AWS utiliza la consola, la API o AWS CLI AWS SDKs Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya la información de las credenciales en la URL para validar la solicitud para ese servidor.
## Cifrado en reposo
AWS Clean Rooms siempre cifra todos los metadatos del servicio en reposo sin necesidad de ninguna configuración adicional. Este cifrado es automático cuando se utiliza AWS Clean Rooms.
Clean Rooms ML cifra todos los datos almacenados en el servicio en reposo. AWS KMS Si decide proporcionar su propia clave KMS, el contenido de sus modelos similares y de los trabajos de generación de segmentos similares se cifra en reposo con su clave KMS.
Cuando se utilizan modelos de aprendizaje automático AWS Clean Rooms personalizados, el servicio cifra todos los datos almacenados en reposo. AWS KMS AWS Clean Rooms admite el uso de claves simétricas administradas por el cliente que usted crea, posee y administra para cifrar los datos en reposo. Si no se especifican las claves administradas por el cliente, Claves propiedad de AWS se utilizan de forma predeterminada.
AWS Clean Rooms utiliza concesiones y políticas clave para acceder a las claves gestionadas por el cliente. Puede revocar el acceso a la concesión o eliminar el acceso del servicio a la clave administrada por el cliente en cualquier momento. Si lo hace, AWS Clean Rooms no podrá acceder a ninguno de los datos cifrados por la clave gestionada por el cliente, lo que afectará a las operaciones que dependen de esos datos. Por ejemplo, si intenta crear un modelo entrenado a partir de un canal de entrada de aprendizaje automático cifrado al que no AWS Clean Rooms se puede acceder, la operación devolverá un `ValidationException` error.
**nota**
Puede utilizar las opciones de cifrado de Amazon S3 para proteger sus datos en reposo.
Para obtener más información, consulte [Especificación del cifrado de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-s3-encryption.html) en la *Guía del usuario de Amazon S3*.
Cuando se utiliza una tabla de mapeo de ID interna AWS Clean Rooms, el servicio cifra todos los datos almacenados en reposo. AWS KMS Si decides proporcionar tu propia clave de KMS, el contenido de la tabla de mapeo de ID se cifra en reposo con tu clave de KMS mediante AWS Entity Resolution. Para obtener más información sobre los permisos necesarios para trabajar con cifrados con un flujo de trabajo de asignación de ID, consulte [Crear un rol de trabajo del flujo de trabajo para AWS Entity Resolution](https://docs.aws.amazon.com/entityresolution/latest/userguide/create-workflow-job-role.html) en la *Guía del usuario de AWS Entity Resolution *.
## Cifrado en tránsito
AWS Clean Rooms utiliza Transport Layer Security (TLS) para el cifrado en tránsito. La comunicación siempre AWS Clean Rooms se realiza a través de HTTPS, por lo que sus datos siempre se cifran en tránsito, independientemente de si están almacenados en Amazon S3, Amazon Athena o Snowflake. Esto incluye todos los datos en tránsito cuando se utiliza Clean Rooms ML.
## Cifrado de datos subyacentes
Para obtener más información sobre cómo cifrar sus datos subyacentes, consulte [Computación criptográfica para Clean Rooms](crypto-computing.md).
## Política de claves
Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Administrar el acceso a las claves administradas por el cliente en la AWS Key Management Service Guía para desarrolladores.
Para utilizar la clave gestionada por el cliente con los modelos de aprendizaje automático AWS Clean Rooms personalizados, la política de claves debe permitir las siguientes operaciones de API:
+ `kms:DescribeKey`— Proporciona los detalles de la clave gestionada por el cliente AWS Clean Rooms para permitir su validación.
+ `kms:Decrypt`— Proporciona acceso AWS Clean Rooms para descifrar los datos cifrados y utilizarlos en tareas relacionadas.
+ `kms:CreateGrant`- Clean Rooms ML cifra las imágenes de formación e inferencia inactivas en Amazon ECR mediante la creación de subvenciones para Amazon ECR. Para obtener más información, consulte [Encryption at Rest in Amazon ECR.](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html) Clean Rooms ML también utiliza Amazon SageMaker AI para realizar trabajos de formación e inferencia, y crea subvenciones para que SageMaker AI cifre los volúmenes de Amazon EBS adjuntos a las instancias, así como los datos de salida en Amazon S3. Para obtener más información, consulte [Proteger los datos en reposo mediante el cifrado en Amazon SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/encryption-at-rest.html).
+ `kms:GenerateDataKey`- Clean Rooms ML cifra los datos en reposo almacenados en Amazon S3 mediante el cifrado del lado del servidor con. AWS KMS keys Para obtener más información, consulte [Uso del cifrado del lado del servidor con AWS KMS keys (SSE-KMS) en Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html).
Los siguientes son ejemplos de declaraciones de políticas que puede añadir a los AWS Clean Rooms siguientes recursos:
**Canal de entrada ML con datos sintéticos**
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow access to principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::666666666666:role/ExampleRole"
},
"Action": [
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"Encrypt",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"CreateGrant",
"DescribeKey",
"RetireGrant",
"GenerateDataKey"
]
},
"BoolIfExists": {
"kms:GrantIsForAWSResource": true
}
}
},
{
"Sid": "Allow describe key for principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::444455556666:role/ExampleRole"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
}
}
},
{
"Sid": "Allow grant operations for AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"Encrypt",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"CreateGrant",
"DescribeKey",
"RetireGrant",
"GenerateDataKey"
]
}
}
},
{
"Sid": "Allow describe key for AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
**Canal de entrada ML sin datos sintéticos**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow access to principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::666666666666:role/ExampleRole"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
}
}
},
{
"Sid": "Allow access to AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
**Trabajo de modelo entrenado o trabajo de inferencia de modelo entrenado**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow grant operations for principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::666666666666:role/ExampleRole"
},
"Action": [
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"Encrypt",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"CreateGrant",
"DescribeKey",
"RetireGrant",
"GenerateDataKey"
]
},
"BoolIfExists": {
"kms:GrantIsForAWSResource": true
}
}
},
{
"Sid": "Allow describe key for principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::444455556666:role/ExampleRole"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
}
}
},
{
"Sid": "Allow grant operations for AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"Encrypt",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"CreateGrant",
"DescribeKey",
"RetireGrant",
"GenerateDataKey"
]
}
}
},
{
"Sid": "Allow describe key for AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
Clean Rooms ML no permite especificar el contexto de cifrado del servicio o el contexto de origen en las políticas clave administradas por el cliente. Los clientes pueden ver el contexto de cifrado utilizado internamente por el servicio CloudTrail.
# Uso de funciones vinculadas al servicio para AWS Clean Rooms
AWS Clean Rooms [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS Clean Rooms Los roles vinculados al servicio están predefinidos AWS Clean Rooms e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio facilita la configuración AWS Clean Rooms , ya que no es necesario añadir manualmente los permisos necesarios. AWS Clean Rooms define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS Clean Rooms puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus AWS Clean Rooms recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.
**Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los [AWS servicios que funcionan con IAM y busque los servicios con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) la palabra **Sí** en la columna Funciones vinculadas a servicios.** Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados al servicio para AWS Clean Rooms
AWS Clean Rooms utiliza el rol vinculado al servicio denominado **AWSServiceRoleForAWSCleanRooms** para publicar métricas relacionadas con las salas CloudWatch limpias en su cuenta. AWS
El rol vinculado al servicio de AWSService RoleFor AWSClean Rooms confía en los siguientes servicios para asumir el rol:
+ `cleanrooms.amazonaws.com`
La política de permisos de roles denominada AWSClean RoomsServiceRolePolicy permite AWS Clean Rooms realizar las siguientes acciones en los recursos especificados:
+ Acción: `cloudwatch:PutMetricData` en `all AWS resources, restricted to the AWS Clean Rooms namespace`
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Crear un rol vinculado a un servicio para AWS Clean Rooms
**Puedes usar la consola de IAM para crear un rol vinculado a un servicio con el caso de uso de Rooms. AWSService RoleFor AWSClean** En la API AWS CLI o en la AWS API, crea un rol vinculado a un servicio con el nombre del servicio. `cleanrooms.amazonaws.com` Para obtener más información, consulte [Crear un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.
## Edición de un rol vinculado a un servicio para AWS Clean Rooms
AWS Clean Rooms no permite editar el rol vinculado al servicio de AWSService RoleFor AWSClean Rooms. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para AWS Clean Rooms
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
Para eliminar las **AWSServiceRoleForAWSCleansalas**, primero debes eliminar todas las [colaboraciones](https://docs.aws.amazon.com/clean-rooms/latest/userguide/delete-collaboration.html) y [membresías](https://docs.aws.amazon.com/clean-rooms/latest/userguide/leave-collab.html) de tu. Cuenta de AWS
**nota**
Si el AWS Clean Rooms servicio utiliza el rol cuando intentas eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Usa la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al servicio de AWSService RoleFor AWSClean Rooms. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles para los roles vinculados al servicio AWS Clean Rooms
AWS Clean Rooms admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Puntos de conexión y Regiones de AWS](https://docs.aws.amazon.com/general/latest/gr/clean-rooms.html#clean-rooms_region).
# Retención de datos en AWS Clean Rooms
Todos los datos que se lean temporalmente en una AWS Clean Rooms colaboración se eliminan una vez finalizada la consulta.
Al crear un modelo similar, Clean Rooms ML lee los datos de entrenamiento, los transforma en un formato adecuado para nuestro modelo de ML y almacena los parámetros del modelo entrenado dentro de Clean Rooms ML. Clean Rooms ML no conserva una copia de sus datos de entrenamiento. AWS Clean Rooms Las consultas SQL no retienen ninguno de sus datos una vez ejecutada la consulta. A continuación, Clean Rooms ML utiliza el modelo entrenado para resumir el comportamiento de todos los usuarios. Clean Rooms ML almacena un conjunto de datos en el nivel de usuario para cada usuario de los datos durante el tiempo que el modelo similar esté activo.
Al iniciar un trabajo de generación de segmentos similares, Clean Rooms ML lee los datos iniciales, lee los resúmenes de comportamiento del modelo similar asociado y crea un segmento similar que se almacena en el servicio. AWS Clean Rooms Clean Rooms ML no retiene ninguna copia de los datos iniciales. Clean Rooms ML almacena la salida del trabajo en el nivel de usuario mientras el trabajo esté activo.
Si los datos iniciales provienen de una consulta SQL, el resultado de esa consulta solo se almacena en el servicio mientras dure el trabajo. Los resultados de la consulta están cifrados en reposo y en tránsito.
Utilice la API para eliminar los datos del trabajo de generación de segmentos o modelos similares. Clean Rooms ML elimina de forma asíncrona todos los datos asociados al modelo o trabajo. Una vez finalizado este proceso, Clean Rooms ML elimina los metadatos del modelo o trabajo y ya no están visibles en la API. Clean Rooms ML retiene los datos eliminados durante 3 días para evitar la recuperación ante desastres. Una vez que el trabajo o el modelo ya no estén visibles en la API y hayan transcurrido 3 días, todos los datos asociados al modelo o al trabajo se eliminarán permanentemente.
# Mejores prácticas para la colaboración de datos en AWS Clean Rooms
En este tema se describen las prácticas recomendadas para realizar colaboraciones de datos en AWS Clean Rooms.
AWS Clean Rooms sigue el [modelo de responsabilidad AWS compartida](https://aws.amazon.com/compliance/shared-responsibility-model/). AWS Clean Rooms ofrece [reglas de análisis](analysis-rules.md) que puede configurar para reforzar su capacidad de proteger los datos confidenciales en una colaboración. Las reglas de análisis que configure AWS Clean Rooms impondrán las restricciones (controles de consulta y controles de salida de consultas) que haya configurado. Usted es responsable de determinar las restricciones y configurar las reglas de análisis como corresponda.
Las colaboraciones de datos pueden implicar algo más que su uso AWS Clean Rooms. Para ayudarlo a maximizar los beneficios de las colaboraciones de datos, le recomendamos que lleve a cabo las siguientes prácticas recomendadas con el uso de las reglas de análisis AWS Clean Rooms y, específicamente, con ellas.
**Topics**
+ [Mejores prácticas con AWS Clean Rooms](#best-practices-with-clean-rooms)
+ [Mejores prácticas para utilizar las reglas de análisis en AWS Clean Rooms](#best-practices-for-analysis-rules)
## Mejores prácticas con AWS Clean Rooms
Usted es responsable de evaluar el riesgo de cada colaboración de datos y compararlo con sus requisitos de privacidad (por ejemplo, con sus programas y políticas de cumplimiento externos e internos). Le recomendamos que tome medidas adicionales al usar AWS Clean Rooms. Estas acciones pueden ayudarle a administrar mejor los riesgos y a protegerse de los intentos de reidentificación de los datos por parte de terceros (por ejemplo, ataques diferenciales o ataques de canal lateral).
Por ejemplo, considere la posibilidad de realizar comprobaciones de diligencia debida en sus otros colaboradores y de formalizar acuerdos legales con ellos *antes* de iniciar una colaboración. Para monitorizar el uso de sus datos, considere también la posibilidad de adoptar otros mecanismos de auditoría cuando utilice AWS Clean Rooms.
## Mejores prácticas para utilizar las reglas de análisis en AWS Clean Rooms
Las reglas de análisis AWS Clean Rooms permiten restringir las consultas que se pueden ejecutar configurando los controles de consulta en una tabla configurada. Por ejemplo, puede definir un control de consulta sobre cómo se puede combinar una tabla configurada y qué columnas se pueden seleccionar. También puede restringir el resultado de la consulta configurando controles de resultados de consulta, como umbrales de agregación en las filas de salida. El servicio rechaza cualquier consulta y elimina las filas que no cumplen las reglas de análisis establecidas por los miembros en sus tablas configuradas de la consulta.
Es aconsejable que siga estas *10 prácticas recomendadas* a la hora de usar reglas de análisis en su tabla configurada:
+ Cree tablas configuradas distintas para distintos casos de uso de consultas (por ejemplo, planificación de audiencias o atribución). Puede crear varias tablas configuradas con la misma tabla de AWS Glue subyacente.
+ Especifique las columnas de la regla de análisis (por ejemplo, columnas de dimensión, columnas de lista, columnas de combinación) que sean necesarias para las consultas de una colaboración. Esto puede contribuir a mitigar el riesgo de ataques diferenciales o de que otros miembros apliquen técnicas de ingeniería inversa a sus datos. Use la característica de **lista de columnas permitidas** para anotar otras columnas que quizás desee habilitar para consulta en el futuro. Para personalizar las columnas que se pueden usar para una colaboración determinada, cree tablas configuradas adicionales con la misma AWS Glue tabla subyacente.
+ Especifique las funciones de la regla de análisis que son necesarias para el análisis en la colaboración. Esto puede contribuir a mitigar el riesgo derivado de errores de función poco frecuentes que puedan presentar información sobre un punto de datos concreto. Para personalizar las funciones que se pueden utilizar en una determinada colaboración, cree tablas configuradas adicionales con la misma tabla de AWS Glue subyacente.
+ Añada restricciones de agregación a aquellas columnas cuyos valores a nivel de fila sean confidenciales. Esto incluye las columnas de la tabla configurada que también existen en las tablas y reglas de análisis de otros miembros de la colaboración como una restricción de agregación. También incluye las columnas de su tabla configurada que no se pueden consultar; es decir, las columnas que figuran en su tabla configurada, pero no en la regla de análisis. Las restricciones de agregación pueden contribuir a mitigar el riesgo de correlacionar los resultados de las consultas con datos externos a la colaboración.
+ Cree colaboraciones y reglas de análisis de prueba para probar las restricciones creadas con las reglas de análisis especificadas.
+ Revise las tablas configuradas de los colaboradores y las reglas de análisis de los miembros en las tablas configuradas para comprobar que coinciden con las condiciones acordadas para la colaboración. Esto puede contribuir a mitigar el riesgo de que otros miembros manipulen sus propios datos para ejecutar consultas no acordadas.
+ Revise la consulta de ejemplo proporcionada (solo en la consola) que se habilita en la tabla configurada después de configurar la regla de análisis.
**nota**
Además de la consulta de ejemplo proporcionada, es posible realizar otras consultas en función de la regla de análisis y de otras tablas y reglas de análisis de los miembros de la colaboración.
+ Puede agregar o actualizar una regla de análisis para una tabla configurada en una colaboración. Cuando lo haga, revise todas las colaboraciones a las que está asociada la tabla configurada y el efecto resultante. Esto le ayuda a asegurarse de que ninguna colaboración utilice reglas de análisis obsoletas.
+ Revise las consultas ejecutadas en la colaboración para comprobar que coincidan con los casos de uso o con las consultas acordados para la colaboración (las consultas están disponibles en los registros de consultas cuando la característica **Registro de consultas** está activada). Esto puede contribuir a mitigar el riesgo de que los miembros ejecuten análisis no acordados y de que se produzcan posibles ataques (por ejemplo, ataques de canal lateral).
+ Revise las columnas de la tabla configurada que se utilizan en las reglas de análisis de los miembros de la colaboración y en las consultas para asegurarse de que coinciden con lo acordado en la colaboración (las consultas están disponibles en los registros de consultas cuando la característica está activada). Esto puede contribuir a mitigar el riesgo de que otros miembros manipulen sus propios datos para ejecutar consultas no acordadas.
# Identity and Access Management para AWS Clean Rooms
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a AWS los recursos. Los administradores de IAM controlan quién puede *autenticarse (iniciar* sesión) y quién puede *autorizarse* (tener permisos) para usar los recursos. AWS Clean Rooms La IAM es una Servicio de AWS opción que puede utilizar sin coste adicional.
**Topics**
+ [Público](#security-iam-audience)
+ [Autenticación con identidades](#security-iam-auth-with-identities)
+ [Administración del acceso con políticas](#security-iam-managing-access)
+ [¿Cómo AWS Clean Rooms funciona con IAM](security_iam_service-with-iam.md)
+ [Ejemplos de políticas basadas en la identidad para AWS Clean Rooms](security_iam_id-based-policy-examples.md)
+ [AWS políticas gestionadas para AWS Clean Rooms](security-iam-awsmanpol.md)
+ [Solución de problemas AWS Clean Rooms de identidad y acceso](security_iam_troubleshoot.md)
+ [Prevención de la sustitución confusa entre servicios](cross-service-confused-deputy-prevention.md)
+ [Comportamientos de IAM para AWS Clean Rooms ML](ml-behaviors.md)
+ [Comportamientos de IAM para los modelos personalizados de Clean Rooms ML](ml-behaviors-byom.md)
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas AWS Clean Rooms de identidad y acceso](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [¿Cómo AWS Clean Rooms funciona con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas basadas en la identidad para AWS Clean Rooms](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe estar *autenticado (con* quien haya iniciado sesión AWS) como usuario de IAM o asumiendo una función de IAM. Usuario raíz de la cuenta de AWS
Puede iniciar sesión AWS como una identidad federada mediante las credenciales proporcionadas a través de una fuente de identidad. AWS IAM Identity Center Los usuarios (Centro de identidades de IAM) o la autenticación de inicio de sesión único de su empresa son ejemplos de identidades federadas. Al iniciar sesión como una identidad federada, su administrador habrá configurado previamente la federación de identidades mediante roles de IAM. Cuando accede AWS mediante la federación, asume indirectamente un rol.
Según el tipo de usuario que sea, puede iniciar sesión en el portal Consola de administración de AWS o en el de AWS acceso. Para obtener más información sobre cómo iniciar sesión AWS, consulte [Cómo iniciar sesión Cuenta de AWS en su](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) *Guía del AWS Sign-In usuario*.
Si accede AWS mediante programación, AWS proporciona un kit de desarrollo de software (SDK) y una interfaz de línea de comandos (CLI) para firmar criptográficamente sus solicitudes con sus credenciales. Si no utilizas AWS herramientas, debes firmar las solicitudes tú mismo. Para obtener más información sobre el uso del método recomendado para firmar las solicitudes usted mismo, consulte [Proceso de firma de Signature Version 4](https://docs.aws.amazon.com//general/latest/gr/signature-version-4.html) en la *Referencia general de AWS*.
Independientemente del método de autenticación que use, es posible que deba proporcionar información de seguridad adicional. Por ejemplo, le AWS recomienda que utilice la autenticación multifactor (MFA) para aumentar la seguridad de su cuenta. Para obtener más información, consulte [Autenticación multifactor](https://docs.aws.amazon.com//singlesignon/latest/userguide/enable-mfa.html) en la *Guía del usuario de AWS IAM Identity Center * y [Uso de la autenticación multifactor (MFA) en AWS](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_mfa.html)en la *Guía del usuario de IAM*.
### Cuenta de AWS usuario root
Al crear una Cuenta de AWS, comienza con una identidad de inicio de sesión que tiene acceso completo a todos Servicios de AWS los recursos de la cuenta. Esta identidad recibe el nombre de *usuario raíz* de la Cuenta de AWS y se accede a ella iniciando sesión con el email y la contraseña que utilizó para crear la cuenta. Recomendamos que no utilice el usuario raíz para las tareas cotidianas. Proteja las credenciales del usuario raíz y utilícelas sólo para las tareas que el usuario raíz pueda realizar. Para obtener la lista completa de tareas que requieren que inicie sesión como usuario raíz, consulte [Credenciales de Usuario raíz de la cuenta de AWS e identidades de IAM](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html#aws_tasks-that-require-root) en la *Referencia general de AWS*.
### Identidad federada
Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.
Una *identidad federada* es un usuario del directorio empresarial, del proveedor de identidades web o al Directory Service que se accede Servicios de AWS mediante credenciales de una fuente de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.
Para una administración de acceso centralizada, se recomienda AWS IAM Identity Center. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center *.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
AWS Para controlar el acceso, puede crear políticas y adjuntarlas a AWS identidades o recursos. Una política es un objeto AWS que, cuando se asocia a una identidad o un recurso, define sus permisos. AWS evalúa estas políticas cuando un director (usuario, usuario raíz o sesión de rol) realiza una solicitud. Los permisos de las políticas determinan si la solicitud está permitida o denegada. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre la estructura y el contenido de los documentos de política JSON, consulte [Información general de políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y bajo qué **condiciones**.
Cada entidad de IAM (usuario o rol) comienza sin permisos. De forma predeterminada, los usuarios no pueden hacer nada, ni siquiera cambiar sus propias contraseñas. Para conceder permiso a un usuario para hacer algo, el administrador debe asociar una política de permisos a un usuario. O bien el administrador puede agregar al usuario a un grupo que tenga los permisos necesarios. Cuando el administrador concede permisos a un grupo, todos los usuarios de ese grupo obtienen los permisos.
Las políticas de IAM definen permisos para una acción independientemente del método que se utilice para realizar la operación. Por ejemplo, suponga que dispone de una política que permite la acción `iam:GetRole`. Un usuario con esa política puede obtener información sobre el rol de la API Consola de administración de AWS AWS CLI, la o la AWS API.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en identidad, consulte [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidades pueden clasificarse además como *políticas insertadas* o *políticas administradas*. Las políticas insertadas se integran directamente en un único usuario, grupo o rol. Las políticas administradas son políticas independientes que puedes adjuntar a varios usuarios, grupos y roles de su Cuenta de AWS. Las políticas administradas incluyen políticas AWS administradas y políticas administradas por el cliente. Para más información sobre cómo elegir una política administrada o una política insertada, consulte [Elegir entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las *políticas de confianza de roles* de IAM y las *políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos. Los principales pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales y menos comunes. Estos tipos de políticas pueden establecer el máximo de permisos que los tipos de políticas más frecuentes le conceden.
+ **Límites de permisos**: un límite de permisos es una característica avanzada que le permite establecer los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM (usuario o rol de IAM). Puede establecer un límite de permisos para una identidad. Los permisos resultantes son la intersección de las políticas basadas en identidad de la entidad y los límites de sus permisos. Las políticas basadas en recursos que especifiquen el usuario o rol en el campo `Principal` no estarán restringidas por el límite de permisos. Una denegación explícita en cualquiera de estas políticas anulará el permiso. Para obtener más información sobre los límites de los permisos, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: SCPs son políticas de JSON que especifican los permisos máximos para una organización o unidad organizativa (OU). AWS Organizations AWS Organizations es un servicio para agrupar y administrar de forma centralizada varios de los Cuentas de AWS que son propiedad de su empresa. Si habilitas todas las funciones de una organización, puedes aplicar políticas de control de servicios (SCPs) a una o a todas tus cuentas. El SCP limita los permisos de las entidades en las cuentas de los miembros, incluidas las de cada una Usuario raíz de la cuenta de AWS. Para obtener más información sobre Organizations SCPs, consulte [Cómo SCPs trabajar](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión**: las políticas de sesión son políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal mediante programación para un rol o un usuario federado. Los permisos de la sesión resultantes son la intersección de las políticas basadas en identidades del rol y las políticas de la sesión. Los permisos también pueden proceder de una política en función de recursos. Una denegación explícita en cualquiera de estas políticas anulará el permiso. Para más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# ¿Cómo AWS Clean Rooms funciona con IAM
Antes de utilizar IAM para gestionar el acceso AWS Clean Rooms, infórmese sobre las funciones de IAM disponibles para su uso. AWS Clean Rooms
**Funciones de IAM que puede utilizar con AWS Clean Rooms**
| Característica de IAM | AWS Clean Rooms soporte |
| --- | --- |
| [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies) | Sí |
| [Políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies) | Parcial |
| [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sí |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sí |
| [Claves de condición de política (específicas del servicio)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Parcial |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags) | Sí |
| [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds) | Sí |
| [Sesiones de acceso directo (FAS)](#security_iam_service-with-iam-principal-permissions) | Sí |
| [Roles de servicio](#security_iam_service-with-iam-roles-service) | Sí |
| [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked) | No |
Para obtener una visión general de cómo AWS Clean Rooms y otras funciones Servicios de AWS funcionan con la mayoría de las funciones de IAM, consulte Servicios de AWS la Guía del usuario de [IAM sobre cómo funcionan con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *IAM*.
## Políticas basadas en la identidad para AWS Clean Rooms
**Compatibilidad con las políticas basadas en identidad:** sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Ejemplos de políticas basadas en la identidad para AWS Clean Rooms
Para ver ejemplos de políticas AWS Clean Rooms basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS Clean Rooms](security_iam_id-based-policy-examples.md)
## Políticas basadas en recursos incluidas AWS Clean Rooms
**Compatibilidad con las políticas basadas en recursos:** parcial
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las *políticas de confianza de roles* de IAM y las *políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos. Los principales pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS
Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
El AWS Clean Rooms servicio solo admite un tipo de política basada en recursos denominada política de *recursos administrados de modelo similar configurada*, que se adjunta a un modelo similar configurado. Esta política define qué entidades principales pueden realizar acciones en el modelo similar configurado.
Para obtener información sobre cómo asociar una política basada en recursos a un modelo similar configurado, consulte **[Comportamientos de IAM para AWS Clean Rooms ML](ml-behaviors.md)**.
## Acciones políticas para AWS Clean Rooms
**Compatibilidad con las acciones de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Para ver una lista de AWS Clean Rooms acciones, consulte [las acciones definidas AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscleanrooms.html) en la *Referencia de autorización del servicio*.
Las acciones políticas AWS Clean Rooms utilizan el siguiente prefijo antes de la acción.
```
cleanrooms
```
Para especificar varias acciones en una única instrucción, sepárelas con comas.
```
"Action": [
"cleanrooms:action1",
"cleanrooms:action2"
]
```
Para ver ejemplos de políticas AWS Clean Rooms basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS Clean Rooms](security_iam_id-based-policy-examples.md)
## Recursos de políticas para AWS Clean Rooms
**Compatibilidad con los recursos de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
Para ver una lista de los tipos de AWS Clean Rooms recursos y sus tipos ARNs, consulte [los recursos definidos AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-resources-for-iam-policies) en la *Referencia de autorización de servicios*. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte [Acciones definidas por AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).
Para ver ejemplos de políticas AWS Clean Rooms basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS Clean Rooms](security_iam_id-based-policy-examples.md)
## Claves de condición de la política para AWS Clean Rooms
**Compatibilidad con claves de condición de políticas específicas del servicio:** parcial
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Para obtener información sobre cómo AWS Clean Rooms ML utiliza las claves de condición de las políticas, consulte **[Comportamientos de IAM para AWS Clean Rooms ML](ml-behaviors.md)**.
## ACLs in AWS Clean Rooms
**Soportes ACLs:** No
Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
## ABAC con AWS Clean Rooms
**Admite ABAC (etiquetas en las políticas):** sí
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.
*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.
## Utilizar credenciales temporales con AWS Clean Rooms
**Compatibilidad con credenciales temporales:** sí
Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente cuando se utiliza la federación o se cambia de rol. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
## Sesiones de acceso directo para AWS Clean Rooms
**Admite sesiones de acceso directo (FAS):** sí
Las sesiones de acceso directo (FAS) utilizan los permisos de la persona principal que llama Servicio de AWS, junto con la solicitud, Servicio de AWS para realizar solicitudes a los servicios descendentes. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Funciones de servicio para AWS Clean Rooms
**Compatible con roles de servicio:** sí
Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
**aviso**
Cambiar los permisos de un rol de servicio podría interrumpir AWS Clean Rooms la funcionalidad. Edite las funciones de servicio solo cuando se AWS Clean Rooms proporcionen instrucciones para hacerlo.
## Funciones vinculadas al servicio para AWS Clean Rooms
**Compatibilidad con roles vinculados al servicio:** no
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para más información sobre cómo crear o administrar roles vinculados a servicios, consulta [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Busque un servicio en la tabla que incluya `Yes` en la columna **Rol vinculado a un servicio**. Seleccione el vínculo **Sí** para ver la documentación acerca del rol vinculado a servicios para ese servicio.
# Ejemplos de políticas basadas en la identidad para AWS Clean Rooms
De forma predeterminada, los usuarios y roles no tienen permiso para crear, ver ni modificar recursos de AWS Clean Rooms . Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las acciones y los tipos de recursos definidos AWS Clean Rooms, incluido el formato de cada uno de los tipos de recursos, consulte [las claves de condición, recursos y acciones de la Referencia AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html) de *autorización de servicios*. ARNs
**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola AWS Clean Rooms](#security_iam_id-based-policy-examples-console)
+ [Cómo permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en la identidad determinan si alguien puede crear AWS Clean Rooms recursos de tu cuenta, acceder a ellos o eliminarlos. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de la consola AWS Clean Rooms
Para acceder a la AWS Clean Rooms consola, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los AWS Clean Rooms recursos de su cuenta Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la API AWS CLI o a la AWS API. En su lugar, permita el acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.
Para garantizar que los usuarios y los roles puedan seguir utilizando la AWS Clean Rooms consola, adjunte también la política `ReadOnly` AWS gestionada AWS Clean Rooms `FullAccess` o la política gestionada a las entidades. Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*:
## Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS políticas gestionadas para AWS Clean Rooms
Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## AWS política gestionada: `AWSCleanRoomsReadOnlyAccess`
Puede adjuntar `AWSCleanRoomsReadOnlyAccess` a sus entidades principales de IAM.
Esta política otorga permisos de solo lectura a recursos y metadatos de una colaboración de `AWSCleanRoomsReadOnlyAccess`.
**Detalles de los permisos**
Esta política incluye los permisos siguientes:
+ `CleanRoomsRead`: concede a las entidades principales acceso de solo lectura al servicio.
+ `ConsoleDisplayTables`— Permite a los directores acceder de solo lectura a los AWS Glue metadatos necesarios para mostrar los datos sobre AWS Glue las tablas subyacentes en la consola.
+ `ConsoleLogSummaryQueryLogs`: concede a las entidades principales permiso para ver los registros de consultas.
+ `ConsoleLogSummaryObtainLogs`: concede a las entidades principales permiso para recuperar los resultados de registro.
Para obtener una lista en JSON de los detalles de la política, consulte la Guía [AWSCleanRoomsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsReadOnlyAccess.html)de referencia de *políticas AWS administradas*.
## AWS política gestionada: `AWSCleanRoomsFullAccess`
Puede adjuntar `AWSCleanRoomsFullAccess` a sus entidades principales de IAM.
Esta política otorga permisos administrativos que permiten el acceso total (lectura, escritura y actualización) a los recursos y metadatos de una AWS Clean Rooms colaboración. Esta política incluye el acceso para realizar consultas.
**Detalles de los permisos**
Esta política incluye los permisos siguientes:
+ `CleanRoomsAccess`— Otorga acceso total a todas las acciones de todos los recursos para AWS Clean Rooms.
+ `PassServiceRole`: concede acceso para transferir un rol de servicio únicamente al servicio (condición `PassedToService`) cuyo nombre contenga "cleanrooms".
+ `ListRolesToPickServiceRole`— Permite a los directores enumerar todas sus funciones para poder elegir una función de servicio cuando la utilicen AWS Clean Rooms.
+ `GetRoleAndListRolePoliciesToInspectServiceRole`: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.
+ `ListPoliciesToInspectServiceRolePolicy`: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.
+ `GetPolicyToInspectServiceRolePolicy`: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.
+ `ConsoleDisplayTables`— Permite a los directores acceder de solo lectura a los AWS Glue metadatos necesarios para mostrar los datos sobre AWS Glue las tablas subyacentes de la consola.
+ `ConsolePickQueryResultsBucketListAll`: permite a las entidades principales elegir, de una lista de todos los buckets de S3 disponibles, un bucket de Amazon S3 en el que se escriban los resultados de sus consultas.
+ `SetQueryResultsBucket`: permite a las entidades principales elegir un bucket de S3 en el que se escriban los resultados de sus consultas.
+ `ConsoleDisplayQueryResults`: permite a las entidades principales mostrar al cliente los resultados de las consultas, leídos desde el bucket de S3.
+ `WriteQueryResults`: permite a las entidades principales escribir los resultados de las consultas en un bucket de S3 propiedad del cliente.
+ `EstablishLogDeliveries`— Permite a los directores enviar registros de consultas al grupo de registros de Amazon CloudWatch Logs de un cliente.
+ `SetupLogGroupsDescribe`— Permite a los directores utilizar el proceso de creación de grupos de CloudWatch registros de Amazon Logs.
+ `SetupLogGroupsCreate`— Permite a los directores crear un grupo de CloudWatch registros de Amazon Logs.
+ `SetupLogGroupsResourcePolicy`— Permite a los directores configurar una política de recursos en el grupo de CloudWatch registros de Amazon Logs.
+ `ConsoleLogSummaryQueryLogs`: concede a las entidades principales permiso para ver los registros de consultas.
+ `ConsoleLogSummaryObtainLogs`: concede a las entidades principales permiso para recuperar los resultados de registro.
Para ver una lista en JSON de los detalles de la política, consulte [AWSCleanRoomsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsFullAccess.html)la *Guía de referencia de políticas AWS administradas*.
## AWS política gestionada: `AWSCleanRoomsFullAccessNoQuerying`
Puede adjuntar `AWSCleanRoomsFullAccessNoQuerying` a sus IAM principals.
Esta política otorga permisos administrativos que permiten el acceso total (lectura, escritura y actualización) a los recursos y metadatos de una AWS Clean Rooms colaboración. Esta política no incluye el acceso para realizar consultas.
**Detalles de los permisos**
Esta política incluye los permisos siguientes:
+ `CleanRoomsAccess`— Otorga acceso total a todas las acciones de todos los recursos AWS Clean Rooms, excepto para las consultas en las colaboraciones.
+ `CleanRoomsNoQuerying`: deniega explícitamente `StartProtectedQuery` y `UpdateProtectedQuery` para impedir las consultas.
+ `PassServiceRole`: concede acceso para transferir un rol de servicio únicamente al servicio (condición `PassedToService`) cuyo nombre contenga "cleanrooms".
+ `ListRolesToPickServiceRole`— Permite a los directores enumerar todas sus funciones para poder elegir una función de servicio cuando la utilicen. AWS Clean Rooms
+ `GetRoleAndListRolePoliciesToInspectServiceRole`: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.
+ `ListPoliciesToInspectServiceRolePolicy`: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.
+ `GetPolicyToInspectServiceRolePolicy`: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.
+ `ConsoleDisplayTables`— Permite a los directores acceder de solo lectura a los AWS Glue metadatos necesarios para mostrar los datos sobre AWS Glue las tablas subyacentes de la consola.
+ `EstablishLogDeliveries`— Permite a los directores enviar registros de consultas al grupo de registros de Amazon CloudWatch Logs de un cliente.
+ `SetupLogGroupsDescribe`— Permite a los directores utilizar el proceso de creación de grupos de CloudWatch registros de Amazon Logs.
+ `SetupLogGroupsCreate`— Permite a los directores crear un grupo de CloudWatch registros de Amazon Logs.
+ `SetupLogGroupsResourcePolicy`— Permite a los directores configurar una política de recursos en el grupo de CloudWatch registros de Amazon Logs.
+ `ConsoleLogSummaryQueryLogs`: concede a las entidades principales permiso para ver los registros de consultas.
+ `ConsoleLogSummaryObtainLogs`: concede a las entidades principales permiso para recuperar los resultados de registro.
+ `cleanrooms`: administre las colaboraciones, las plantillas de análisis, las tablas configuradas, las suscripciones y los recursos asociados dentro del servicio de AWS Clean Rooms . Realice diversas operaciones, como crear, actualizar, eliminar, mostrar y recuperar información sobre estos recursos.
+ `iam`— Transfiere al servicio las funciones de AWS Clean Rooms servicio cuyos nombres contengan `cleanrooms` «». Enumere las funciones y políticas e inspeccione las funciones y políticas de servicio relacionadas con el AWS Clean Rooms servicio.
+ `glue`— Recupere información sobre bases de datos, tablas, particiones y esquemas de AWS Glue. Esto es necesario para que el AWS Clean Rooms servicio muestre las fuentes de datos subyacentes e interactúe con ellas.
+ `logs`— Gestione las entregas de registros, los grupos de registros y las políticas de recursos para CloudWatch los registros. Consulte y recupere los registros relacionados con el AWS Clean Rooms servicio. Estos permisos son necesarios para la supervisión, la auditoría y la solución de problemas dentro del servicio.
La política también deniega explícitamente las acciones `cleanrooms:StartProtectedQuery` y `cleanrooms:UpdateProtectedQuery` para evitar que los usuarios ejecuten o actualicen directamente las consultas protegidas, lo que debe hacerse a través de los mecanismos controlados de AWS Clean Rooms .
Para obtener una lista en JSON de los detalles de la política, consulte [AWSCleanRoomsFullAccessNoQuerying](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsFullAccessNoQuerying.html)la *Guía de referencia de políticas AWS gestionadas*.
## AWS política gestionada: `AWSCleanRoomsMLReadOnlyAccess`
Puede adjuntar `AWSCleanRoomsMLReadOnlyAccess` a sus entidades principales de IAM.
Esta política otorga permisos de solo lectura a recursos y metadatos de una colaboración de `AWSCleanRoomsMLReadOnlyAccess`.
Esta política incluye los permisos siguientes:
+ `CleanRoomsConsoleNavigation`— Otorga acceso para ver las pantallas de la AWS Clean Rooms consola.
+ `CleanRoomsMLRead`: permite a las entidades principales el acceso de solo lectura al servicio de Clean Rooms ML.
+ `PassCleanRoomsResources`— Otorga acceso para pasar AWS Clean Rooms recursos específicos.
Para ver una lista en JSON de los detalles de la política, consulta [AWSCleanHabitaciones MLRead OnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsMLReadOnlyAccess.html) en la *Guía de referencia sobre políticas AWS gestionadas*.
## AWS política gestionada: `AWSCleanRoomsMLFullAccess`
Puede adjuntar `AWSCleanRoomsMLFullAcces` a sus entidades principales de IAM. Esta política concede permisos administrativos que permiten el acceso total (lectura, escritura y actualización) a los recursos y metadatos necesarios de Clean Rooms ML.
**Detalles de los permisos**
Esta política incluye los permisos siguientes:
+ `CleanRoomsMLFullAccess`: concede acceso a todas las acciones de Clean Rooms ML.
+ `PassServiceRole`: concede acceso para transferir un rol de servicio únicamente al servicio (condición `PassedToService`) cuyo nombre contenga "cleanrooms-ml".
+ `CleanRoomsConsoleNavigation`— Otorga acceso para ver las pantallas de la AWS Clean Rooms consola.
+ `CollaborationMembershipCheck`— Al iniciar un trabajo de generación de audiencia (segmento similar) dentro de una colaboración, el servicio Clean Rooms ML llama `ListMembers` para comprobar que la colaboración es válida, que la persona que llama es un miembro activo y que el propietario del modelo de audiencia configurado es un miembro activo. Este permiso siempre es obligatorio; el SID de navegación de la consola solo es necesario para los usuarios de la consola.
+ `PassCleanRoomsResources`— Otorga acceso para transferir recursos específicos AWS Clean Rooms .
+ `AssociateModels`: permite a las entidades principales asociar un modelo de Clean Rooms ML a la colaboración.
+ `TagAssociations`: permite a las entidades principales añadir etiquetas a la asociación entre un modelo similar y una colaboración.
+ `ListRolesToPickServiceRole`— Permite a los directores enumerar todas sus funciones para poder elegir una función de servicio cuando la utilicen AWS Clean Rooms.
+ `GetRoleAndListRolePoliciesToInspectServiceRole`: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.
+ `ListPoliciesToInspectServiceRolePolicy`: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.
+ `GetPolicyToInspectServiceRolePolicy`: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.
+ `ConsoleDisplayTables`— Permite a los directores acceder de solo lectura a los AWS Glue metadatos necesarios para mostrar los datos sobre AWS Glue las tablas subyacentes de la consola.
+ `ConsolePickOutputBucket`: permite a las entidades principales seleccionar buckets de Amazon S3 para las salidas configuradas del modelo de audiencia.
+ `ConsolePickS3Location`: permite a las entidades principales seleccionar la ubicación dentro de un bucket para los resultados configurados del modelo de audiencia.
+ `ConsoleDescribeECRRepositories`— Permite a los directores describir los repositorios e imágenes de Amazon ECR.
Para ver una lista en JSON de los detalles de la política, consulte [AWSCleanRooms MLFull Access](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsMLFullAccess.html) en la Guía de referencia de *políticas AWS gestionadas*.
## AWS Clean Rooms actualizaciones de las políticas AWS gestionadas
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas AWS Clean Rooms desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial del AWS Clean Rooms documento.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery)— Actualización de la política existente | Se agregaron salas limpias: UpdateConfiguredTableAllowedColumns y salas limpias: UpdateConfiguredTableReference también. CleanRoomsAccess | 29 de julio de 2025 |
| [AWSCleanRoomsMLReadOnlyAccess](#ml-read-only): actualización de una política actual | Se agregó PassCleanRoomsResources a AWSCleanRoomsMLReadOnlyAccess. Se agregaron PassCleanRoomsResources y ConsoleDescribeECRRepositories a AWSCleanRoomsMLFullAccess. | 10 de enero de 2025 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery): actualización de una política actual | Se agregó cleanrooms:BatchGetSchemaAnalysisRule a CleanRoomsAccess. | 13 de mayo de 2024 |
| [AWSCleanRoomsFullAccess](#security-iam-awsmanpol-fullaccess): actualización de una política actual | Se ha actualizado el ID de la declaración en AWSCleanRoomsFullAccess de ConsolePickQueryResultsBucket a SetQueryResultsBucket en esta política para representar mejor los permisos, ya que los permisos son necesarios para configurar el bucket de resultados de las consultas con y sin la consola. | 21 de marzo de 2024 |
| [AWSCleanRoomsMLReadOnlyAccess](#ml-read-only): política nueva [AWSCleanRoomsMLFullAccess](#ml-full-access): política nueva | Se agregó AWSCleanRoomsMLReadOnlyAccess y AWSCleanRoomsMLFullAccess es compatible con AWS Clean Rooms ML. | 29 de noviembre de 2023 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery): actualización de una política actual | Se ha agregado cleanrooms:CreateAnalysisTemplate, cleanrooms:GetAnalysisTemplate, cleanrooms:UpdateAnalysisTemplate, cleanrooms:DeleteAnalysisTemplate, cleanrooms:ListAnalysisTemplates, cleanrooms:GetCollaborationAnalysisTemplate, cleanrooms:BatchGetCollaborationAnalysisTemplate y cleanrooms:ListCollaborationAnalysisTemplates a CleanRoomsAccess para habilitar la nueva característica de plantillas de análisis. | 31 de julio de 2023 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery): actualización de una política actual | Se ha añadido cleanrooms:ListTagsForResource, cleanrooms:UntagResource y cleanrooms:TagResource a CleanRoomsAccess para habilitar el etiquetado de recursos. | 21 de marzo de 2023 |
| AWS Clean Rooms comenzó a rastrear los cambios | AWS Clean Rooms comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas. | 12 de enero de 2023 |
# Solución de problemas AWS Clean Rooms de identidad y acceso
Utilice la siguiente información como ayuda para diagnosticar y solucionar los problemas más comunes que pueden surgir al trabajar con una AWS Clean Rooms IAM.
**Topics**
+ [No estoy autorizado a realizar ninguna acción en AWS Clean Rooms](#security_iam_troubleshoot-no-permissions)
+ [No estoy autorizado a realizar tareas como: PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis AWS Clean Rooms recursos](#security_iam_troubleshoot-cross-account-access)
## No estoy autorizado a realizar ninguna acción en AWS Clean Rooms
Si recibe un error que indica que no tiene autorización para realizar una acción, las políticas se deben actualizar para permitirle realizar la acción.
En el siguiente ejemplo, el error se produce cuando el usuario de IAM `mateojackson` intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio `my-example-widget`, pero no tiene los permisos ficticios `cleanrooms:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cleanrooms:GetWidget on resource: my-example-widget
```
En este caso, la política de Mateo se debe actualizar para permitirle acceder al recurso `my-example-widget` mediante la acción `cleanrooms:GetWidget`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## No estoy autorizado a realizar tareas como: PassRole
Si recibe un error que indica que no tiene autorización para realizar la acción `iam:PassRole`, las políticas deben actualizarse a fin de permitirle pasar un rol a AWS Clean Rooms.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en AWS Clean Rooms. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis AWS Clean Rooms recursos
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol.
Para obtener más información, consulte lo siguiente:
+ Para saber si AWS Clean Rooms es compatible con estas funciones, consulte[¿Cómo AWS Clean Rooms funciona con IAM](security_iam_service-with-iam.md).
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro usuario de su propiedad Cuenta de AWS en](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) la Guía del *usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para obtener información sobre la diferencia entre los roles y las políticas basadas en recursos para el acceso entre cuentas, consulte [Cómo los roles de IAM difieren de las políticas basadas en recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) en la *Guía del usuario de IAM*.
# Prevención de la sustitución confusa entre servicios
El problema de la sustitución confusa es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. En AWS, la suplantación de identidad entre servicios puede provocar el confuso problema de un diputado. La suplantación entre servicios puede producirse cuando un servicio (el *servicio que lleva a cabo las llamadas*) llama a otro servicio (el *servicio al que se llama*). El servicio que lleva a cabo las llamadas se puedes manipular para utilizar sus permisos a fin de actuar en función de los recursos de otro cliente de una manera en la que no debe tener permiso para acceder. Para evitarlo, AWS proporciona herramientas que lo ayudan a proteger sus datos para todos los servicios con entidades principales de servicio a las que se les ha dado acceso a los recursos de su cuenta.
Se recomienda utilizar las claves de contexto de condición global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) en las políticas de recursos para limitar los permisos que AWS Clean Rooms concede a otro servicio para el recurso. Utiliza `aws:SourceArn` si desea que solo se asocie un recurso al acceso entre servicios.
La forma más eficaz de protegerse contra el problema de la sustitución confusa es utilizar la clave de contexto de condición global de `aws:SourceArn` con el ARN completo del recurso. En AWSClean Rooms, también tienes que compararla con la clave de condición. `sts:ExternalId`
El valor de `aws:SourceArn` debe definirse con el ARN de pertenencia del rol asumido.
El siguiente ejemplo muestra cómo usar la clave de contexto de condición global `aws:SourceArn` en AWS Clean Rooms para evitar el problema del suplente confuso.
**nota**
La política de ejemplo se aplica a la política de confianza del rol de servicio que se AWS Clean Rooms utiliza para acceder a los datos y metadatos de una tabla configurada.
El valor de ** debe establecerse en el ID de membresía del ejecutor de consultas.
Todos los miembros de la colaboración pueden ver los metadatos de la tabla configurada, por lo que cada ARN de membresía debe incluirse en la lista de miembros. ARNs
**nota**
Cuando se crea un rol de servicio a través de la AWS Clean Rooms consola, todos los miembros actuales de la colaboración se incluyen de forma predeterminada en la confusa condición de suplentes.
Si va a añadir nuevos miembros a una colaboración que ya tiene tablas configuradas asociadas, asegúrese de actualizar la confusa condición de suplente de su rol de servicio con el ARN de membresía del nuevo miembro.
Si no actualiza la confusa condición de suplente de su rol de servicio después de agregar un nuevo miembro, ese nuevo miembro no podrá acceder a la información AWS Clean Rooms que se recupere utilizando ese rol.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowIfExternalIdMatches",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringLike": {
"sts:ExternalId": "arn:aws:*:us-east-1:*:dbuser:*/*"
}
}
},
{
"Sid": "AllowIfSourceArnMatches",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ForAnyValue:ArnEquals": {
"aws:SourceArn": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/",
"arn:aws:cleanrooms:us-east-1:444455556666:membership/"
]
}
}
}
]
}
```
------
# Comportamientos de IAM para AWS Clean Rooms ML
## Trabajos entre cuentas
Clean Rooms ML permite que otra Cuenta de AWS persona acceda de forma segura Cuenta de AWS a determinados recursos creados por una persona en su cuenta. Cuando un cliente de Cuenta de AWS A recurre `StartAudienceGenerationJob` a un `ConfiguredAudienceModel` recurso propiedad de Cuenta de AWS B, Clean Rooms ML crea dos ARNs para esa tarea. Un ARN en Cuenta de AWS A y otro en B. Cuenta de AWS ARNs Son idénticos excepto por sus. Cuenta de AWS
Clean Rooms ML crea dos ARNs para el trabajo a fin de garantizar que ambas cuentas puedan aplicar sus propias políticas de IAM a los trabajos. Por ejemplo, ambas cuentas pueden usar el control de acceso basado en etiquetas y aplicar las políticas de su AWS organización. El trabajo procesa los datos de ambas cuentas, de modo que ambas cuentas pueden eliminar el trabajo y sus datos asociados. Ninguna de las dos cuentas puede impedir que la otra elimine el trabajo.
Solo hay una ejecución de trabajo y ambas cuentas pueden ver la tarea cuando llaman a `ListAudienceGenerationJobs`. Ambas cuentas pueden llamar al `Get``Delete`, y `Export` APIs estar trabajando usando el ARN con su propia Cuenta de AWS identificación.
Ninguno de los dos Cuenta de AWS puede acceder al trabajo cuando se utiliza un ARN con el otro Cuenta de AWS ID.
El nombre del trabajo debe ser único dentro de una Cuenta de AWS. El nombre en Cuenta de AWS B es*\$1accountA-\$1name*. El nombre elegido por Cuenta de AWS A lleva el prefijo Cuenta de AWS A cuando el trabajo se visualiza en B. Cuenta de AWS
Para que una cuenta cruzada `StartAudienceGenerationJob` tenga éxito, Cuenta de AWS B debe permitir esa acción tanto en el nuevo trabajo de B como `ConfiguredAudienceModel` en el de Cuenta de AWS Cuenta de AWS B mediante una política de recursos similar a la del siguiente ejemplo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Clean-Rooms-CAMA-ID",
"Effect": "Allow",
"Principal": {
"AWS": [
"111122223333"
]
},
"Action": [
"cleanrooms-ml:StartAudienceGenerationJob"
],
"Resource": [
"arn:aws:cleanrooms-ml:us-east-1:444455556666:configured-audience-model/id",
"arn:aws:cleanrooms-ml:us-east-1:444455556666:audience-generation-job/*"
],
"Condition":{"StringEquals":{"cleanrooms-ml:CollaborationId":"UUID"}}
}
]
}
```
------
**nota**
Esta política de recursos de aprendizaje AWS Clean Rooms automático hace referencia a dos tipos diferentes Cuenta de AWS IDs para facilitar la generación de audiencias entre cuentas:
**111122223333**: esta es la cuenta que contiene al principal (usuario, rol o servicio) autorizado a iniciar trabajos de generación de audiencia. Esta cuenta inicia el flujo de trabajo de procesamiento de aprendizaje automático.
**444455556666**: es la cuenta propietaria de los recursos de aprendizaje AWS Clean Rooms automático (el modelo de audiencia configurado y los trabajos de generación de audiencia). Esta cuenta aloja los modelos de aprendizaje automático y administra la ejecución de los trabajos.
**Notas de configuración adicionales:**
**ID de la declaración (Sid)**: `CAMA-ID` sustitúyalo por el identificador real de la solicitud de modelo de AWS Clean Rooms audiencia (CAMA) para que la declaración de política sea fácilmente identificable.
**Recurso IDs**: *id* Sustitúyalo por el ID real del modelo de audiencia configurado y *UUID* por el ID de colaboración específico.
**Condición**: la `cleanrooms-ml:CollaborationId` condición garantiza que los trabajos de generación de audiencia solo se puedan iniciar en el contexto de la AWS Clean Rooms colaboración especificada, lo que proporciona un límite de seguridad adicional.
Esta configuración multicuenta permite situaciones en las que una organización administra los modelos y la infraestructura del aprendizaje automático y, al mismo tiempo, permite a los socios autorizados iniciar los procesos de generación de audiencia dentro de los límites de su acuerdo de colaboración.
Si utiliza la [API de aprendizaje automático de AWS Clean Rooms](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/Welcome.html) para crear un modelo similar `manageResourcePolicies` configurado con el valor true, AWS Clean Rooms crea esta política automáticamente.
Además, la política de identidad de la persona que llama en Cuenta de AWS A necesita `StartAudienceGenerationJob` autorización. `arn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/*` Por lo tanto, hay tres recursos de acción de IAM`StartAudienceGenerationJob`: el trabajo Cuenta de AWS A, el trabajo Cuenta de AWS B y el Cuenta de AWS trabajo B. `ConfiguredAudienceModel`
**aviso**
El Cuenta de AWS que inició el trabajo recibe un evento de registro de AWS CloudTrail auditoría sobre el trabajo. La Cuenta de AWS propietaria de `ConfiguredAudienceModel` no recibe ningún evento de registro de auditoría de AWS CloudTrail .
## Etiquetado de trabajos
Al establecer el parámetro `childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE` de `CreateConfiguredAudienceModel`, todos los trabajos de generación de segmentos similares de su cuenta que se creen a partir de ese modelo similar configurado tendrán de forma predeterminada las mismas etiquetas que el modelo similar configurado. El modelo similar configurado es el principal y el trabajo de generación de segmentos similares es el secundario.
Si está creando un trabajo en su propia cuenta, las etiquetas de solicitud del trabajo anulan las etiquetas principales. Los trabajos creados por otras cuentas nunca crean etiquetas en su cuenta. Si establece `childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE` y otra cuenta crea un trabajo, hay dos copias del trabajo. La copia de su cuenta tiene las etiquetas del recurso principal y la copia de la cuenta del remitente del trabajo tiene las etiquetas de la solicitud.
## Validación de colaboradores
Al conceder permisos a otros miembros de una AWS Clean Rooms colaboración, la política de recursos debe incluir la clave de condición`cleanrooms-ml:CollaborationId`. Esto exige que el `collaborationId` parámetro esté incluido en la [StartAudienceGenerationJob](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_StartAudienceGenerationJob.html)solicitud. Cuando el parámetro `collaborationId` se incluye en la solicitud, Clean Rooms ML valida que la colaboración existe, que el remitente del trabajo es un miembro activo de la colaboración y que el propietario del modelo similar configurado es un miembro activo de la colaboración.
Cuando AWS Clean Rooms administre la política de recursos del modelo similar configurada (el `manageResourcePolicies` parámetro está `TRUE` en la [CreateConfiguredAudienceModelAssociation solicitud](https://docs.aws.amazon.com/clean-rooms/latest/apireference/API_CreateConfiguredAudienceModelAssociation.html)), esta clave de condición se establecerá en la política de recursos. Por lo tanto, debe especificar la entrada`collaborationId`. [StartAudienceGenerationJob](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_StartAudienceGenerationJob.html)
## Acceso entre cuentas
Solo se puede llamar a `StartAudienceGenerationJob` entre cuentas. El resto de Clean Rooms ML solo se APIs pueden utilizar con los recursos de su propia cuenta. Esto garantiza que sus datos de entrenamiento, la configuración del modelo similar y otra información permanezcan privados.
Clean Rooms ML nunca revela Amazon S3 ni AWS Glue las ubicaciones de las cuentas. La ubicación de los datos de entrenamiento, la ubicación de salida del modelo similar configurado y la ubicación inicial del trabajo de generación de segmentos similar nunca están visibles entre cuentas. A menos que el registro de consultas esté habilitado en la colaboración, las cuentas no pueden ver si los datos iniciales provienen de una consulta SQL o la consulta en sí. Si `Get` un trabajo de generación de audiencia enviado por otra cuenta, el servicio no mostrará la ubicación inicial.
# Comportamientos de IAM para los modelos personalizados de Clean Rooms ML
## Trabajos entre cuentas
Clean Rooms ML permite que otra Cuenta de AWS persona acceda de forma segura a determinados recursos asociados Cuenta de AWS a una colaboración creada por una persona desde su cuenta. Un cliente de Cuenta de AWS A con la capacidad de realizar consultas como miembro puede llamar `CreateTrainedModel` o utilizar `StartTrainedModelInferenceJob` un `ConfiguredModelAlgorithmAssociation` recurso propiedad de otro miembro de la colaboración, siempre que lo permita la `ConfiguredModelAlgorithmAssociation` regla de análisis personalizada creada con ella`CreateConfiguredTableAnalysisRule`. `CreateMLInputChannel`
Además, cualquier miembro activo de una colaboración puede eliminar los datos asociados a un modelo entrenado o a un canal de entrada de aprendizaje automático mediante el comando `DeleteTrainedModelOutput` and `DeleteMLInputChannelData` APIs.
## Acceso entre cuentas
Clean Rooms ML permite a los usuarios recuperar metadatos sobre los recursos creados por otras cuentas a través de `GetCollaboration` y `ListCollaboration` APIs. Clean Rooms ML no revela la clave del KMS ARNs, las etiquetas, las variables de entorno ni los hiperparámetros (para la `TrainedModel` acción) a otras cuentas.
## Acceso a membresías y colaboraciones
Al acceder a los recursos de membresía y colaboración en el contexto de los modelos personalizados de Clean Rooms ML, la política de identidad del usuario necesita permisos para las acciones `cleanrooms:PassMembership``cleanrooms:PassCollaboration`, o ambos. Todos los APIs que aceptan `membershipId` necesitan el `cleanrooms:PassMembership` permiso y todos los APIs que aceptan `collaborationId` necesitan el `cleanrooms:PassCollaboration` permiso. Se proporciona un ejemplo de política de identidad para un rol al que se puede llamar `createTrainedModel` en el contexto de un ID de membresía y al que se puede llamar `GetCollaborationTrainedModel` en el contexto de un ID de colaboración.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCleanroomsMLActions",
"Effect": "Allow",
"Action": [
"cleanrooms:PassCollaboration",
"cleanrooms:PassMembership"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowMembershipAccess",
"Effect": "Allow",
"Action": [
"cleanrooms:GetMembership"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/memberId"
]
},
{
"Sid": "AllowCollaborationAccess",
"Effect": "Allow",
"Action": [
"cleanrooms:GetCollaboration"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:collaboration/collaborationId"
]
}
]
}
```
------
# Validación de conformidad para AWS Clean Rooms
Para saber si uno Servicio de AWS está dentro del ámbito de aplicación de programas de cumplimiento específicos, consulte [Servicios de AWS Alcance por programa de cumplimiento Servicios de AWS](https://aws.amazon.com/compliance/services-in-scope/) de cumplimiento y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).
# Resiliencia en AWS Clean Rooms
La infraestructura AWS global se basa en AWS regiones y zonas de disponibilidad. Las regiones proporcionan varias zonas de disponibilidad físicamente independientes y aisladas que se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, además de baja demora. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de uno o varios centros de datos.
Para obtener más información sobre AWS las regiones y las zonas de disponibilidad, consulte [Infraestructura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Seguridad de la infraestructura en AWS Clean Rooms
Como servicio gestionado, AWS Clean Rooms está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.
Utiliza las llamadas a la API AWS publicadas para acceder a AWS Clean Rooms través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
## Seguridad de la red
Cuando se AWS Clean Rooms lee desde el bucket de S3 durante la ejecución de la consulta, el tráfico entre Amazon S3 AWS Clean Rooms y Amazon S3 se enruta de forma segura a través de la red AWS privada. El tráfico en vuelo se firma mediante el protocolo Amazon Signature versión 4 (SIGv4) y se cifra mediante HTTPS. Este tráfico se autoriza en función del rol de servicio de IAM que se haya configurado para la tabla configurada.
Puede conectarse mediante programación a AWS Clean Rooms través de un punto final. Para obtener una lista de puntos de conexión de servicio, consulte [Puntos de conexión y cuotas de AWS Clean Rooms](https://docs.aws.amazon.com/general/latest/gr/clean-rooms.html#clean-rooms_region) en la *Referencia general de AWS*.
Todos los puntos de conexión de servicio son únicamente HTTPS. Puede utilizar los puntos de conexión de Amazon Virtual Private Cloud (VPC) en caso de que desee conectarse desde AWS Clean Rooms su VPC y no desee tener conectividad a Internet. *Para obtener más información, consulte [Acceder a AWS los servicios AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) en la Guía.AWS PrivateLink *
Puede asignar políticas de IAM a sus directores de IAM que utilicen las [claves aws: SourceVpce context](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce) para restringir a su director de IAM a fin de que solo pueda realizar llamadas a través de AWS Clean Rooms un punto final de VPC y no a través de Internet.
# Acceda al aprendizaje AWS Clean Rooms automático mediante AWS Clean Rooms un punto final de interfaz ()AWS PrivateLink
Puede usarlo AWS PrivateLink para crear una conexión privada entre su nube privada virtual (VPC) y ML AWS Clean Rooms . AWS Clean Rooms Puede acceder a nuestro AWS Clean Rooms AWS Clean Rooms ML como si estuviera en su VPC, sin el uso de una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o Direct Connect una conexión. Las instancias de la VPC no necesitan direcciones IP públicas para acceder a AWS Clean Rooms.
Esta conexión privada se establece mediante la creación de un *punto de conexión de interfaz* alimentado por AWS PrivateLink. Creamos una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a AWS Clean Rooms.
Para obtener más información, consulte [Acceso a los Servicios de AWS a través de AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) en la *Guía de AWS PrivateLink *.
## Consideraciones sobre AWS Clean Rooms
Antes de configurar un punto final de interfaz para AWS Clean Rooms, consulte [las consideraciones](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) de la *AWS PrivateLink guía*.
AWS Clean Rooms y AWS Clean Rooms ML permiten realizar llamadas a todas sus acciones de API a través del punto final de la interfaz.
Las políticas de puntos de conexión de VPC no son compatibles con el ML AWS Clean Rooms . AWS Clean Rooms De forma predeterminada, se permite el acceso total AWS Clean Rooms y el AWS Clean Rooms aprendizaje automático a través del punto final de la interfaz. Como alternativa, puede asociar un grupo de seguridad a las interfaces de red de los puntos finales para controlar el tráfico hacia AWS Clean Rooms o el aprendizaje AWS Clean Rooms automático a través del punto final de la interfaz.
## Cree un punto final de interfaz para AWS Clean Rooms
Puede crear un punto de enlace de interfaz para AWS Clean Rooms el AWS Clean Rooms aprendizaje automático mediante la consola de Amazon VPC o el AWS Command Line Interface ()AWS CLI. Para obtener más información, consulte [Creación de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) en la *Guía de AWS PrivateLink *.
Cree un punto final de interfaz para AWS Clean Rooms usar el siguiente nombre de servicio.
```
com.amazonaws.region.cleanrooms
```
Cree un punto final de interfaz para AWS Clean Rooms ML con el siguiente nombre de servicio.
```
com.amazonaws.region.cleanrooms-ml
```
Si habilita DNS privado para el punto de conexión de interfaz, puede realizar solicitudes a la API para AWS Clean Rooms usando su nombre de DNS predeterminado para la región. Por ejemplo, `cleanrooms-ml.us-east-1.amazonaws.com`.