Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration des rôles de service pour AWS Clean Rooms ML
Les rôles nécessaires pour effectuer une modélisation similaire sont différents de ceux nécessaires pour utiliser un modèle personnalisé. Les sections suivantes décrivent les rôles nécessaires à l'exécution de chaque tâche.
**Topics**
+ [
## Configuration des rôles de service pour la modélisation des ressemblances
](#aws-model-roles)
+ [
## Configuration des rôles de service pour une modélisation personnalisée
](#custom-model-roles)
## Configuration des rôles de service pour la modélisation des ressemblances
**Topics**
+ [
### Création d'un rôle de service pour lire les données d'entraînement
](#ml-create-role-training)
+ [
### Créez un rôle de service pour écrire un segment similaire
](#ml-create-role-write-segment)
+ [
### Création d'un rôle de service pour lire les données de départ
](#ml-create-role-read-seed)
### Création d'un rôle de service pour lire les données d'entraînement
AWS Clean Rooms utilise un rôle de service pour lire les données d'entraînement. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des autorisations IAM nécessaires. Si vous n'êtes pas `CreateRole` autorisé, demandez à votre administrateur de créer le rôle de service.
**Pour créer un rôle de service afin d'entraîner un ensemble de données**
1. Connectez-vous à la console IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) avec votre compte d'administrateur.
1. Sous **Access Management (Gestion des accès)**, choisissez **Policies (politiques)**.
1. Choisissez **Create Policy** (Créer une politique).
1. Dans l'**éditeur de stratégie**, sélectionnez l'onglet **JSON**, puis copiez et collez la politique suivante.
**Note**
L'exemple de politique suivant prend en charge les autorisations nécessaires pour lire AWS Glue les métadonnées et les données Amazon S3 correspondantes. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données S3. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.
Vos AWS Glue ressources et les ressources Amazon S3 sous-jacentes doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartitions",
"glue:GetPartition",
"glue:BatchGetPartition",
"glue:GetUserDefinedFunctions"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:database/databases",
"arn:aws:glue:us-east-1:111122223333:table/databases/tables",
"arn:aws:glue:us-east-1:111122223333:catalog",
"arn:aws:glue:us-east-1:111122223333:database/default"
]
},
{
"Effect": "Allow",
"Action": [
"glue:CreateDatabase"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:database/default"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::bucket"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"111122223333"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucketFolders/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"111122223333"
]
}
}
}
]
}
```
------
Si vous devez utiliser une clé KMS pour déchiffrer des données, ajoutez cette AWS KMS instruction au modèle précédent :
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
],
"Resource": [
"arn:aws:kms:region:accountId:key/keyId"
],
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
}
}
}
]
}
```
1. Remplacez chacune *placeholder* par vos propres informations :
+ *region* : Le nom de Région AWS. Par exemple, **us-east-1**.
+ *accountId*— L' Compte AWS ID dans lequel se trouve le compartiment S3.
+ *database/databases*, *table/databases/tables**catalog*, et *database/default* — L'emplacement des données d'entraînement auxquelles il est AWS Clean Rooms nécessaire d'accéder.
+ *bucket*— Le **nom de ressource Amazon (ARN)** du compartiment S3. Le **nom de ressource Amazon (ARN)** se trouve dans l'onglet **Propriétés** du compartiment dans Amazon S3.
+ *bucketFolders*— Le nom des dossiers spécifiques du compartiment S3 auxquels il est AWS Clean Rooms nécessaire d'accéder.
1. Choisissez **Suivant**.
1. Pour **Révision et création**, entrez le **nom et la **description** de la politique**, puis consultez le **résumé**.
1. Choisissez **Create Policy** (Créer une politique).
Vous avez créé une politique pour AWS Clean Rooms.
1. Sous **Access Management** (Gestion des accès), choisissez **Roles** (Rôles).
Avec **les rôles**, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner **Utilisateurs** pour créer des informations d'identification à long terme.
1. Choisissez **Créer un rôle**.
1. Dans l'assistant de **création de rôle**, pour **Type d'entité fiable**, choisissez **Politique de confiance personnalisée**.
1. Copiez et collez la politique de confiance personnalisée suivante dans l'éditeur JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEqualsIfExists": {
"aws:SourceAccount": ["111122223333"]
},
"ArnLikeIfExists": {
"aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:training-dataset/*"
}
}
}
]
}
```
------
`SourceAccount`C'est toujours le vôtre Compte AWS. Ils `SourceArn` peuvent être limités à un ensemble de données d'entraînement spécifique, mais uniquement après la création de cet ensemble de données. Comme vous ne connaissez pas encore l'ARN du jeu de données d'entraînement, le caractère générique est spécifié ici.
*accountId*est l'ID Compte AWS qui contient les données d'entraînement.
1. Choisissez **Suivant** et sous **Ajouter des autorisations**, entrez le nom de la politique que vous venez de créer. (Vous devrez peut-être recharger la page.)
1. Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez **Next**.
1. Dans **Nom, révision et création**, entrez le **nom et la **description** du rôle**.
**Note**
Le **nom du rôle** doit correspondre au modèle des `passRole` autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.
1. Passez en revue **Sélectionnez les entités fiables** et modifiez-les si nécessaire.
1. Passez en revue les autorisations dans **Ajouter des autorisations** et modifiez-les si nécessaire.
1. Passez en revue les **balises** et ajoutez-en si nécessaire.
1. Choisissez **Créer un rôle**.
Vous avez créé le rôle de service pour AWS Clean Rooms.
### Créez un rôle de service pour écrire un segment similaire
AWS Clean Rooms utilise un rôle de service pour écrire des segments similaires dans un compartiment. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des autorisations IAM nécessaires. Si vous n'êtes pas `CreateRole` autorisé, demandez à votre administrateur de créer le rôle de service.
**Pour créer un rôle de service, pour écrire un segment similaire**
1. Connectez-vous à la console IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) avec votre compte d'administrateur.
1. Sous **Access Management (Gestion des accès)**, choisissez **Policies (politiques)**.
1. Choisissez **Create Policy** (Créer une politique).
1. Dans l'**éditeur de stratégie**, sélectionnez l'onglet **JSON**, puis copiez et collez la politique suivante.
**Note**
L'exemple de politique suivant prend en charge les autorisations nécessaires pour lire AWS Glue les métadonnées et les données Amazon S3 correspondantes. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données Amazon S3. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.
Vos AWS Glue ressources et les ressources Amazon S3 sous-jacentes doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::buckets"
],
"Condition":{
"StringEquals":{
"s3:ResourceAccount":[
"accountId"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucketFolders/*"
],
"Condition":{
"StringEquals":{
"s3:ResourceAccount":[
"accountId"
]
}
}
}
]
}
```
------
Si vous devez utiliser une clé KMS pour chiffrer des données, ajoutez cette AWS KMS instruction au modèle :
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:ReEncrypt*",
],
"Resource": [
"arn:aws:kms:region:accountId:key/keyId"
],
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
}
}
}
]
}
```
1. Remplacez chacune *placeholder* par vos propres informations :
+ *buckets*— Le **nom de ressource Amazon (ARN)** du compartiment S3. Le **nom de ressource Amazon (ARN)** se trouve dans l'onglet **Propriétés** du compartiment dans Amazon S3.
+ *accountId*— L' Compte AWS ID dans lequel se trouve le compartiment S3.
+ *bucketFolders*— Le nom des dossiers spécifiques du compartiment S3 auxquels il est AWS Clean Rooms nécessaire d'accéder.
+ *region* : Le nom de Région AWS. Par exemple, **us-east-1**.
+ *keyId*— La clé KMS nécessaire pour chiffrer vos données.
1. Choisissez **Suivant**.
1. Pour **Révision et création**, entrez le **nom et la **description** de la politique**, puis consultez le **résumé**.
1. Choisissez **Create Policy** (Créer une politique).
Vous avez créé une politique pour AWS Clean Rooms.
1. Sous **Access Management** (Gestion des accès), choisissez **Roles** (Rôles).
Avec **les rôles**, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner **Utilisateurs** pour créer des informations d'identification à long terme.
1. Choisissez **Créer un rôle**.
1. Dans l'assistant de **création de rôle**, pour **Type d'entité fiable**, choisissez **Politique de confiance personnalisée**.
1. Copiez et collez la politique de confiance personnalisée suivante dans l'éditeur JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEqualsIfExists": {
"aws:SourceAccount": ["111122223333"]
},
"ArnLikeIfExists": {
"aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:configured-audience-model/*"
}
}
}
]
}
```
------
`SourceAccount`C'est toujours le vôtre Compte AWS. Ils `SourceArn` peuvent être limités à un ensemble de données d'entraînement spécifique, mais uniquement après la création de cet ensemble de données. Comme vous ne connaissez pas encore l'ARN du jeu de données d'entraînement, le caractère générique est spécifié ici.
1. Choisissez **Suivant**.
1. Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez **Next**.
1. Dans **Nom, révision et création**, entrez le **nom et la **description** du rôle**.
**Note**
Le **nom du rôle** doit correspondre au modèle des `passRole` autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.
1. Passez en revue **Sélectionnez les entités fiables** et modifiez-les si nécessaire.
1. Passez en revue les autorisations dans **Ajouter des autorisations** et modifiez-les si nécessaire.
1. Passez en revue les **balises** et ajoutez-en si nécessaire.
1. Choisissez **Créer un rôle**.
Vous avez créé le rôle de service pour AWS Clean Rooms.
### Création d'un rôle de service pour lire les données de départ
AWS Clean Rooms utilise un rôle de service pour lire les données de départ. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des autorisations IAM nécessaires. Si vous n'êtes pas `CreateRole` autorisé, demandez à votre administrateur de créer le rôle de service.
**Créer un rôle de service pour lire les données de départ stockées dans un compartiment S3.**
1. Connectez-vous à la console IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) avec votre compte d'administrateur.
1. Sous **Access Management (Gestion des accès)**, choisissez **Policies (politiques)**.
1. Choisissez **Create Policy** (Créer une politique).
1. Dans l'**éditeur de politiques**, sélectionnez l'onglet **JSON**, puis copiez-collez l'une des politiques suivantes.
**Note**
L'exemple de politique suivant prend en charge les autorisations nécessaires pour lire AWS Glue les métadonnées et les données Amazon S3 correspondantes. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données Amazon S3. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.
Vos AWS Glue ressources et les ressources Amazon S3 sous-jacentes doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::buckets"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"accountId"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucketFolders/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"accountId"
]
}
}
}
]
}
```
------
**Note**
L'exemple de politique suivant prend en charge les autorisations nécessaires pour lire les résultats d'une requête SQL et les utiliser comme données d'entrée. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la structure de votre requête. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCleanRoomsStartQuery",
"Effect": "Allow",
"Action": [
"cleanrooms:GetCollaborationAnalysisTemplate",
"cleanrooms:GetSchema",
"cleanrooms:StartProtectedQuery"
],
"Resource": "*"
},
{
"Sid": "AllowCleanRoomsGetAndUpdateQuery",
"Effect": "Allow",
"Action": [
"cleanrooms:GetProtectedQuery",
"cleanrooms:UpdateProtectedQuery"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/queryRunnerMembershipId"
]
}
]
}
```
------
Si vous devez utiliser une clé KMS pour déchiffrer des données, ajoutez cette AWS KMS instruction au modèle :
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:region:accountId:key/keyId"
],
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
}
}
}
]
}
```
1. Remplacez chacune *placeholder* par vos propres informations :
+ *buckets*— Le **nom de ressource Amazon (ARN)** du compartiment S3. Le **nom de ressource Amazon (ARN)** se trouve dans l'onglet **Propriétés** du compartiment dans Amazon S3.
+ *accountId*— L' Compte AWS ID dans lequel se trouve le compartiment S3.
+ *bucketFolders*— Le nom des dossiers spécifiques du compartiment S3 auxquels il est AWS Clean Rooms nécessaire d'accéder.
+ *region* : Le nom de Région AWS. Par exemple, **us-east-1**.
+ *queryRunnerAccountId*— L' Compte AWS ID du compte qui exécutera les requêtes.
+ *queryRunnerMembershipId*— L'**ID** de membre du membre qui peut effectuer la demande. L'**identifiant de membre** se trouve dans l'onglet **Détails** de la collaboration. Cela garantit qu'il AWS Clean Rooms n'assume le rôle que lorsque ce membre exécute l'analyse dans le cadre de cette collaboration.
+ *keyId*— La clé KMS nécessaire pour chiffrer vos données.
1. Choisissez **Suivant**.
1. Pour **Révision et création**, entrez le **nom et la **description** de la politique**, puis consultez le **résumé**.
1. Choisissez **Create Policy** (Créer une politique).
Vous avez créé une politique pour AWS Clean Rooms.
1. Sous **Access Management** (Gestion des accès), choisissez **Roles** (Rôles).
Avec **les rôles**, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner **Utilisateurs** pour créer des informations d'identification à long terme.
1. Choisissez **Créer un rôle**.
1. Dans l'assistant de **création de rôle**, pour **Type d'entité fiable**, choisissez **Politique de confiance personnalisée**.
1. Copiez et collez la politique de confiance personnalisée suivante dans l'éditeur JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEqualsIfExists": {
"aws:SourceAccount": ["111122223333"]
},
"ArnLikeIfExists": {
"aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:audience-generation-job/*"
}
}
}
]
}
```
------
`SourceAccount`C'est toujours le vôtre Compte AWS. Ils `SourceArn` peuvent être limités à un ensemble de données d'entraînement spécifique, mais uniquement après la création de cet ensemble de données. Comme vous ne connaissez pas encore l'ARN du jeu de données d'entraînement, le caractère générique est spécifié ici.
1. Choisissez **Suivant**.
1. Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez **Next**.
1. Dans **Nom, révision et création**, entrez le **nom et la **description** du rôle**.
**Note**
Le **nom du rôle** doit correspondre au modèle des `passRole` autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.
1. Passez en revue **Sélectionnez les entités fiables** et modifiez-les si nécessaire.
1. Passez en revue les autorisations dans **Ajouter des autorisations** et modifiez-les si nécessaire.
1. Passez en revue les **balises** et ajoutez-en si nécessaire.
1. Choisissez **Créer un rôle**.
Vous avez créé le rôle de service pour AWS Clean Rooms.
## Configuration des rôles de service pour une modélisation personnalisée
**Topics**
+ [
### Création d'un rôle de service pour la modélisation ML personnalisée - Configuration ML
](#ml-roles-custom-configure)
+ [
### Créez un rôle de service pour fournir un modèle de machine learning personnalisé
](#ml-roles-custom-model-provider)
+ [
### Création d'un rôle de service pour interroger un ensemble de données
](#ml-roles-custom-query-dataset)
+ [
### Créez un rôle de service pour créer une association de tables configurée
](#ml-roles-custom-configure-table)
### Création d'un rôle de service pour la modélisation ML personnalisée - Configuration ML
AWS Clean Rooms utilise un rôle de service pour contrôler qui peut créer une configuration ML personnalisée. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des autorisations IAM nécessaires. Si vous n'êtes pas `CreateRole` autorisé, demandez à votre administrateur de créer le rôle de service.
Ce rôle vous permet d'utiliser l'MLConfigurationaction [Put](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_PutMLConfiguration.html).
**Pour créer un rôle de service afin de permettre la création d'une configuration ML personnalisée**
1. Connectez-vous à la console IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) avec votre compte d'administrateur.
1. Sous **Access Management (Gestion des accès)**, choisissez **Policies (politiques)**.
1. Choisissez **Create Policy** (Créer une politique).
1. Dans l'**éditeur de stratégie**, sélectionnez l'onglet **JSON**, puis copiez et collez la politique suivante.
**Note**
L'exemple de politique suivant prend en charge les autorisations nécessaires pour accéder et écrire des données dans un compartiment S3 et pour publier CloudWatch des métriques. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données Amazon S3. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.
Vos ressources Amazon S3 doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowS3ObjectWriteForExport",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"111122223333"
]
}
}
},
{
"Sid": "AllowS3KMSEncryptForExport",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/keyId"
],
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket*"
}
}
},
{
"Sid": "AllowCloudWatchMetricsPublishingForTrainingJobs",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringLike": {
"cloudwatch:namespace": "/aws/cleanroomsml/*"
}
}
},
{
"Sid": "AllowCloudWatchLogsPublishingForTrainingOrInferenceJobs",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:/aws/cleanroomsml/*"
]
}
]
}
```
------
1. Remplacez chacune *placeholder* par vos propres informations :
+ *bucket*— Le **nom de ressource Amazon (ARN)** du compartiment S3. Le **nom de ressource Amazon (ARN)** se trouve dans l'onglet **Propriétés** du compartiment dans Amazon S3.
+ *region* : Le nom de Région AWS. Par exemple, **us-east-1**.
+ *accountId*— L' Compte AWS ID dans lequel se trouve le compartiment S3.
+ *keyId*— La clé KMS nécessaire pour chiffrer vos données.
1. Choisissez **Suivant**.
1. Pour **Révision et création**, entrez le **nom et la **description** de la politique**, puis consultez le **résumé**.
1. Choisissez **Create Policy** (Créer une politique).
Vous avez créé une politique pour AWS Clean Rooms.
1. Sous **Access Management** (Gestion des accès), choisissez **Roles** (Rôles).
Avec **les rôles**, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner **Utilisateurs** pour créer des informations d'identification à long terme.
1. Choisissez **Créer un rôle**.
1. Dans l'assistant de **création de rôle**, pour **Type d'entité fiable**, choisissez **Politique de confiance personnalisée**.
1. Copiez et collez la politique de confiance personnalisée suivante dans l'éditeur JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:cleanrooms:us-east-1:111122223333:membership/membershipID"
}
}
}
]
}
```
------
`SourceAccount`C'est toujours le vôtre Compte AWS. Ils `SourceArn` peuvent être limités à un ensemble de données d'entraînement spécifique, mais uniquement après la création de cet ensemble de données. Comme vous ne connaissez pas encore l'ARN du jeu de données d'entraînement, le caractère générique est spécifié ici.
1. Choisissez **Suivant**.
1. Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez **Next**.
1. Dans **Nom, révision et création**, entrez le **nom et la **description** du rôle**.
**Note**
Le **nom du rôle** doit correspondre au modèle des `passRole` autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.
1. Passez en revue **Sélectionnez les entités fiables** et modifiez-les si nécessaire.
1. Passez en revue les autorisations dans **Ajouter des autorisations** et modifiez-les si nécessaire.
1. Passez en revue les **balises** et ajoutez-en si nécessaire.
1. Choisissez **Créer un rôle**.
Vous avez créé le rôle de service pour AWS Clean Rooms.
### Créez un rôle de service pour fournir un modèle de machine learning personnalisé
AWS Clean Rooms utilise un rôle de service pour contrôler qui peut créer un algorithme de modèle ML personnalisé. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des autorisations IAM nécessaires. Si vous n'êtes pas `CreateRole` autorisé, demandez à votre administrateur de créer le rôle de service.
Ce rôle vous permet d'utiliser l'[CreateConfiguredModelAlgorithm](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_CreateConfiguredModelAlgorithm.html)action.
**Pour créer un rôle de service permettant à un membre de fournir un modèle de machine learning personnalisé**
1. Connectez-vous à la console IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) avec votre compte d'administrateur.
1. Sous **Access Management (Gestion des accès)**, choisissez **Policies (politiques)**.
1. Choisissez **Create Policy** (Créer une politique).
1. Dans l'**éditeur de stratégie**, sélectionnez l'onglet **JSON**, puis copiez et collez la politique suivante.
**Note**
L'exemple de politique suivant prend en charge les autorisations nécessaires pour récupérer l'image docker contenant l'algorithme du modèle. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données Amazon S3. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.
Vos ressources Amazon S3 doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowECRImageDownloadForTrainingAndInferenceJobs",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/repoName"
}
]
}
```
------
1. Remplacez chacune *placeholder* par vos propres informations :
+ *region* : Le nom de Région AWS. Par exemple, **us-east-1**.
+ *accountId*— L' Compte AWS ID dans lequel se trouve le compartiment S3.
+ *repoName*— Le nom du référentiel qui contient vos données.
1. Choisissez **Suivant**.
1. Pour **Révision et création**, entrez le **nom et la **description** de la politique**, puis consultez le **résumé**.
1. Choisissez **Create Policy** (Créer une politique).
Vous avez créé une politique pour AWS Clean Rooms.
1. Sous **Access Management** (Gestion des accès), choisissez **Roles** (Rôles).
Avec **les rôles**, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner **Utilisateurs** pour créer des informations d'identification à long terme.
1. Choisissez **Créer un rôle**.
1. Dans l'assistant de **création de rôle**, pour **Type d'entité fiable**, choisissez **Politique de confiance personnalisée**.
1. Copiez et collez la politique de confiance personnalisée suivante dans l'éditeur JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
`SourceAccount`C'est toujours votre. `SourceArn` Vous pouvez Compte AWS le limiter à un ensemble de données d'entraînement spécifique, mais uniquement après la création de cet ensemble de données. Comme vous ne connaissez pas encore l'ARN du jeu de données d'entraînement, le caractère générique est spécifié ici.
1. Choisissez **Suivant**.
1. Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez **Next**.
1. Dans **Nom, révision et création**, entrez le **nom et la **description** du rôle**.
**Note**
Le **nom du rôle** doit correspondre au modèle des `passRole` autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.
1. Passez en revue **Sélectionnez les entités fiables** et modifiez-les si nécessaire.
1. Passez en revue les autorisations dans **Ajouter des autorisations** et modifiez-les si nécessaire.
1. Passez en revue les **balises** et ajoutez-en si nécessaire.
1. Choisissez **Créer un rôle**.
Vous avez créé le rôle de service pour AWS Clean Rooms.
### Création d'un rôle de service pour interroger un ensemble de données
AWS Clean Rooms utilise un rôle de service pour contrôler qui peut interroger un ensemble de données qui sera utilisé pour la modélisation ML personnalisée. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des autorisations IAM nécessaires. Si vous n'êtes pas `CreateRole` autorisé, demandez à votre administrateur de créer le rôle de service.
Ce rôle vous permet d'utiliser l'action [Créer un MLInput canal](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_CreateMLInputChannel.html).
**Pour créer un rôle de service permettant à un membre d'interroger un ensemble de données**
1. Connectez-vous à la console IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) avec votre compte d'administrateur.
1. Sous **Access Management (Gestion des accès)**, choisissez **Policies (politiques)**.
1. Choisissez **Create Policy** (Créer une politique).
1. Dans l'**éditeur de stratégie**, sélectionnez l'onglet **JSON**, puis copiez et collez la politique suivante.
**Note**
L'exemple de politique suivant prend en charge les autorisations nécessaires pour interroger un ensemble de données qui sera utilisé pour la modélisation ML personnalisée. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données Amazon S3. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.
Vos ressources Amazon S3 doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCleanRoomsStartQueryForMLInputChannel",
"Effect": "Allow",
"Action": "cleanrooms:StartProtectedQuery",
"Resource": "*"
},
{
"Sid": "AllowCleanroomsGetSchemaAndGetAnalysisTemplateForMLInputChannel",
"Effect": "Allow",
"Action": [
"cleanrooms:GetSchema",
"cleanrooms:GetCollaborationAnalysisTemplate"
],
"Resource": "*"
},
{
"Sid": "AllowCleanRoomsGetAndUpdateQueryForMLInputChannel",
"Effect": "Allow",
"Action": [
"cleanrooms:GetProtectedQuery",
"cleanrooms:UpdateProtectedQuery"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/queryRunnerMembershipId"
]
}
]
}
```
------
1. Remplacez chacune *placeholder* par vos propres informations :
+ *region* : Le nom de Région AWS. Par exemple, **us-east-1**.
+ *queryRunnerAccountId*— L' Compte AWS ID du compte qui exécutera les requêtes.
+ *queryRunnerMembershipId*— L'**ID** de membre du membre qui peut effectuer la demande. L'**identifiant de membre** se trouve dans l'onglet **Détails** de la collaboration. Cela garantit qu'il AWS Clean Rooms n'assume le rôle que lorsque ce membre exécute l'analyse dans le cadre de cette collaboration.
1. Choisissez **Suivant**.
1. Pour **Révision et création**, entrez le **nom et la **description** de la politique**, puis consultez le **résumé**.
1. Choisissez **Create Policy** (Créer une politique).
Vous avez créé une politique pour AWS Clean Rooms.
1. Sous **Access Management** (Gestion des accès), choisissez **Roles** (Rôles).
Avec **les rôles**, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner **Utilisateurs** pour créer des informations d'identification à long terme.
1. Choisissez **Créer un rôle**.
1. Dans l'assistant de **création de rôle**, pour **Type d'entité fiable**, choisissez **Politique de confiance personnalisée**.
1. Copiez et collez la politique de confiance personnalisée suivante dans l'éditeur JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
`SourceAccount`C'est toujours votre. `SourceArn` Vous pouvez Compte AWS le limiter à un ensemble de données d'entraînement spécifique, mais uniquement après la création de cet ensemble de données. Comme vous ne connaissez pas encore l'ARN du jeu de données d'entraînement, le caractère générique est spécifié ici.
1. Choisissez **Suivant**.
1. Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez **Next**.
1. Dans **Nom, révision et création**, entrez le **nom et la **description** du rôle**.
**Note**
Le **nom du rôle** doit correspondre au modèle des `passRole` autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.
1. Passez en revue **Sélectionnez les entités fiables** et modifiez-les si nécessaire.
1. Passez en revue les autorisations dans **Ajouter des autorisations** et modifiez-les si nécessaire.
1. Passez en revue les **balises** et ajoutez-en si nécessaire.
1. Choisissez **Créer un rôle**.
Vous avez créé le rôle de service pour AWS Clean Rooms.
### Créez un rôle de service pour créer une association de tables configurée
AWS Clean Rooms utilise un rôle de service pour contrôler qui peut créer une association de tables configurée. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des autorisations IAM nécessaires. Si vous n'êtes pas `CreateRole` autorisé, demandez à votre administrateur de créer le rôle de service.
Ce rôle vous permet d'utiliser l' CreateConfiguredTableAssociation action.
**Pour créer un rôle de service afin de permettre la création d'une association de tables configurée**
1. Connectez-vous à la console IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) avec votre compte d'administrateur.
1. Sous **Access Management (Gestion des accès)**, choisissez **Policies (politiques)**.
1. Choisissez **Create Policy** (Créer une politique).
1. Dans l'**éditeur de stratégie**, sélectionnez l'onglet **JSON**, puis copiez et collez la politique suivante.
**Note**
L'exemple de politique suivant prend en charge la création d'une association de tables configurée. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la façon dont vous avez configuré vos données Amazon S3. Cette politique n'inclut pas de clé KMS pour déchiffrer les données.
Vos ressources Amazon S3 doivent être identiques à Région AWS celles de la AWS Clean Rooms collaboration.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/KMS-key-ID",
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::bucket-name",
"Effect": "Allow"
},
{
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::bucket-name/*",
"Effect": "Allow"
},
{
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartitions",
"glue:GetPartition",
"glue:BatchGetPartition"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:catalog",
"arn:aws:glue:us-east-1:111122223333:database/Glue database name",
"arn:aws:glue:us-east-1:111122223333:table/Glue database name/Glue table name"
],
"Effect": "Allow"
},
{
"Action": [
"glue:GetSchema",
"glue:GetSchemaVersion"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
**Remplacer la ressource fictive ARNs**
Lorsque vous utilisez cette politique, vous devez remplacer les identifiants de ressource réservés par les identifiants réels ARNs de vos ressources :
**AWS KMS Ressource clé** : *KMS-key-ID* remplacez-la par l'identifiant de AWS KMS clé réel qui chiffre vos données Amazon S3. La clé doit se trouver dans le même compte (111122223333) qui possède les ressources du catalogue. AWS Glue
**Ressources du compartiment Amazon S3** : remplacez *bucket-name* par le nom réel du compartiment Amazon S3 qui contient les données de votre AWS Glue table. Notez que le compartiment Amazon S3 ARNs n'inclut pas de compte IDs car les noms de compartiment sont uniques au niveau mondial.
**AWS Glue Ressources** : remplacez les espaces réservés suivants par les noms réels de vos ressources :
*Glue database name*- Le nom de votre AWS Glue base de données
*Glue table name*- Le nom de votre AWS Glue table
Toutes les AWS Glue ressources (catalogue, base de données et table) doivent être identiques Compte AWS (111122223333) pour garantir des autorisations d'accès cohérentes. Ce compte doit être le même que celui qui possède la AWS KMS clé utilisée pour le chiffrement des données, afin de créer une limite de sécurité unifiée pour vos ressources de AWS Clean Rooms données.
1. Remplacez chacune *placeholder* par vos propres informations :
+ *KMS key used to encrypt the Amazon S3 data*— La clé KMS utilisée pour chiffrer les données Amazon S3. Pour déchiffrer les données, vous devez fournir la même clé KMS que celle utilisée pour chiffrer les données.
+ *Amazon S3 bucket of AWS Glue table*— Le nom du compartiment Amazon S3 qui contient la AWS Glue table contenant vos données.
+ *region* : Le nom de Région AWS. Par exemple, **us-east-1**.
+ *accountId*— L' Compte AWS identifiant du compte propriétaire des données.
+ *AWS Glue database name*— Le nom de la AWS Glue base de données qui contient vos données.
+ *AWS Glue table name*— Nom de la AWS Glue table contenant vos données.
1. Choisissez **Suivant**.
1. Pour **Révision et création**, entrez le **nom et la **description** de la politique**, puis consultez le **résumé**.
1. Choisissez **Create Policy** (Créer une politique).
Vous avez créé une politique pour AWS Clean Rooms.
1. Sous **Access Management** (Gestion des accès), choisissez **Roles** (Rôles).
Avec **les rôles**, vous pouvez créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner **Utilisateurs** pour créer des informations d'identification à long terme.
1. Choisissez **Créer un rôle**.
1. Dans l'assistant de **création de rôle**, pour **Type d'entité fiable**, choisissez **Politique de confiance personnalisée**.
1. Copiez et collez la politique de confiance personnalisée suivante dans l'éditeur JSON.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
`SourceAccount`C'est toujours votre. `SourceArn` Vous pouvez Compte AWS le limiter à un ensemble de données d'entraînement spécifique, mais uniquement après la création de cet ensemble de données. Comme vous ne connaissez pas encore l'ARN du jeu de données d'entraînement, le caractère générique est spécifié ici.
1. Choisissez **Suivant**.
1. Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez **Next**.
1. Dans **Nom, révision et création**, entrez le **nom et la **description** du rôle**.
**Note**
Le **nom du rôle** doit correspondre au modèle des `passRole` autorisations accordées au membre qui peut interroger et recevoir des résultats et des rôles de membre.
1. Passez en revue **Sélectionnez les entités fiables** et modifiez-les si nécessaire.
1. Passez en revue les autorisations dans **Ajouter des autorisations** et modifiez-les si nécessaire.
1. Passez en revue les **balises** et ajoutez-en si nécessaire.
1. Choisissez **Créer un rôle**.
Vous avez créé le rôle de service pour AWS Clean Rooms.