Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Comportements IAM pour les modèles personnalisés Clean Rooms ML
<a name="ml-behaviors-byom"></a>

## Emplois multi-comptes
<a name="ml-behaviors-byom-cross-account-jobs"></a>

Clean Rooms ML permet à une autre personne d'accéder en toute sécurité à certaines ressources associées Compte AWS à une collaboration créée par une personne depuis son compte Compte AWS. Un client de Compte AWS A ayant la capacité d'exécuter des requêtes peut appeler `CreateTrainedModel``CreateMLInputChannel`, ou `StartTrainedModelInferenceJob` sur une `ConfiguredModelAlgorithmAssociation` ressource appartenant à un autre membre de la collaboration, à condition que cela `ConfiguredModelAlgorithmAssociation` soit autorisé par la règle d'analyse personnalisée créée avec`CreateConfiguredTableAnalysisRule`.

En outre, tout membre actif d'une collaboration peut supprimer les données associées à un modèle entraîné ou à un canal d'entrée ML via le `DeleteTrainedModelOutput` et `DeleteMLInputChannelData` APIs.

## Accès intercomptes
<a name="ml-behaviors-byom-cross-account-access"></a>

Clean Rooms ML permet aux utilisateurs de récupérer des métadonnées sur les ressources créées par d'autres comptes via le `GetCollaboration` et `ListCollaboration` APIs. Clean Rooms ML ne révèle pas la clé KMS ARNs, les balises, les variables d'environnement ou les hyperparamètres (pour l'`TrainedModel`action) aux autres comptes.

## Accès à l'adhésion et à la collaboration
<a name="ml-behaviors-byom-membership-collaboration-access"></a>

Lors de l'accès aux ressources d'adhésion et de collaboration dans le contexte des modèles personnalisés de Clean Rooms ML, la politique d'identité d'un utilisateur nécessite des autorisations pour les actions `cleanrooms:PassMembership``cleanrooms:PassCollaboration`, ou les deux. Tous ceux APIs qui acceptent `membershipId` ont besoin de l'`cleanrooms:PassMembership`autorisation, et tous ceux APIs qui acceptent `collaborationId` ont besoin de l'`cleanrooms:PassCollaboration`autorisation. Un exemple de politique d'identité pour un rôle pouvant être appelé `createTrainedModel` dans le contexte d'un identifiant de membre pouvant appeler `GetCollaborationTrainedModel` dans le contexte d'un identifiant de collaboration est fourni.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCleanroomsMLActions",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:PassCollaboration",
                "cleanrooms:PassMembership"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowMembershipAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetMembership"
            ],
            "Resource": [
                "arn:aws:cleanrooms:us-east-1:111122223333:membership/memberId"
            ]
        },
        {
            "Sid": "AllowCollaborationAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaboration"
            ],
            "Resource": [
                "arn:aws:cleanrooms:us-east-1:111122223333:collaboration/collaborationId"
            ]
        }
    ]
}
```

------