Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan di AWS Clean Rooms
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menjelaskan hal ini sebagai keamanan cloud dan keamanan dalam cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program AWS Kepatuhan Program AWS Kepatuhan](https://aws.amazon.com/compliance/programs/) . Untuk mempelajari tentang program kepatuhan yang berlaku AWS Clean Rooms, lihat [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup kepekaan data Anda, persyaratan perusahaan, serta peraturan perundangan yang berlaku
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan AWS Clean Rooms. Ini menunjukkan kepada Anda cara mengonfigurasi AWS Clean Rooms untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga belajar cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan AWS Clean Rooms sumber daya Anda.
**Topics**
+ [Perlindungan data](data-protection.md)
+ [Menggunakan Peran Terkait Layanan](using-service-linked-roles.md)
+ [Retensi data](data-retention.md)
+ [Praktik terbaik](best-practices.md)
+ [Identity and Access Management](security-iam.md)
+ [Validasi kepatuhan](SERVICE-compliance.md)
+ [Ketahanan](disaster-recovery-resiliency.md)
+ [Keamanan infrastruktur](infrastructure-security.md)
+ [AWS PrivateLink](vpc-interface-endpoints.md)
# Perlindungan data di AWS Clean Rooms
[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di AWS Clean Rooms. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan logging aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan AWS Clean Rooms atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
## Enkripsi saat diam
AWS Clean Rooms selalu mengenkripsi semua metadata layanan saat istirahat tanpa memerlukan konfigurasi tambahan apa pun. Enkripsi ini otomatis saat Anda menggunakannya AWS Clean Rooms.
Clean Rooms ML mengenkripsi semua data yang disimpan dalam layanan saat istirahat. AWS KMS Jika Anda memilih untuk memberikan kunci KMS Anda sendiri, konten model mirip Anda dan pekerjaan pembuatan segmen yang mirip dienkripsi saat istirahat dengan kunci KMS Anda.
Saat menggunakan model HTML AWS Clean Rooms kustom, layanan mengenkripsi semua data yang disimpan saat istirahat. AWS KMS AWS Clean Rooms mendukung penggunaan kunci terkelola pelanggan simetris yang Anda buat, miliki, dan kelola untuk mengenkripsi data saat istirahat. Jika kunci yang dikelola pelanggan tidak ditentukan, Kunci milik AWS digunakan secara default.
AWS Clean Rooms menggunakan hibah dan kebijakan utama untuk mengakses kunci yang dikelola pelanggan. Anda dapat mencabut akses ke hibah, atau menghapus akses layanan ke kunci yang dikelola pelanggan kapan saja. Jika Anda melakukannya, AWS Clean Rooms tidak akan dapat mengakses data apa pun yang dienkripsi oleh kunci yang dikelola pelanggan, yang memengaruhi operasi yang bergantung pada data tersebut. Misalnya, jika Anda mencoba membuat model terlatih dari saluran input ML terenkripsi yang tidak AWS Clean Rooms dapat diakses, maka operasi akan mengembalikan kesalahan. `ValidationException`
**catatan**
Anda dapat menggunakan opsi enkripsi di Amazon S3 untuk melindungi data Anda saat istirahat.
Untuk informasi selengkapnya, lihat [Menentukan enkripsi Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-s3-encryption.html) di Panduan Pengguna *Amazon S3*.
Saat menggunakan tabel pemetaan ID di dalamnya AWS Clean Rooms, layanan mengenkripsi semua data yang disimpan saat istirahat. AWS KMS Jika Anda memilih untuk memberikan kunci KMS Anda sendiri, isi tabel pemetaan ID Anda dienkripsi saat istirahat dengan kunci KMS Anda melalui. Resolusi Entitas AWS*Untuk detail selengkapnya tentang izin yang diperlukan untuk bekerja dengan enkripsi dengan alur kerja pemetaan ID, lihat [Membuat peran pekerjaan alur kerja](https://docs.aws.amazon.com/entityresolution/latest/userguide/create-workflow-job-role.html) di Panduan Pengguna. Resolusi Entitas AWSResolusi Entitas AWS *
## Enkripsi saat bergerak
AWS Clean Rooms menggunakan Transport Layer Security (TLS) untuk enkripsi dalam perjalanan. Komunikasi dengan selalu AWS Clean Rooms dilakukan melalui HTTPS sehingga data Anda selalu dienkripsi saat transit, terlepas dari apakah itu disimpan di Amazon S3, Amazon Athena, atau Snowflake. Ini termasuk semua data dalam perjalanan saat menggunakan Clean Rooms ML.
## Mengenkripsi data yang mendasarinya
Untuk informasi selengkapnya tentang cara mengenkripsi data dasar Anda, lihat[Komputasi Kriptografi untuk Clean Rooms](crypto-computing.md).
## Kebijakan kunci
Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat Mengelola akses ke kunci terkelola pelanggan di Panduan AWS Key Management Service Pengembang.
Untuk menggunakan kunci terkelola pelanggan Anda dengan model AWS Clean Rooms Custom MS Anda, operasi API berikut harus diizinkan dalam kebijakan kunci:
+ `kms:DescribeKey`— Memberikan detail kunci yang dikelola pelanggan untuk memungkinkan AWS Clean Rooms memvalidasi kunci.
+ `kms:Decrypt`— Menyediakan akses AWS Clean Rooms untuk mendekripsi data terenkripsi dan menggunakannya dalam pekerjaan terkait.
+ `kms:CreateGrant`- Clean Rooms MLmengenkripsi gambar pelatihan dan inferensi saat istirahat di Amazon ECR dengan membuat hibah untuk Amazon ECR. Untuk mempelajari lebih lanjut, lihat [Enkripsi saat Istirahat di Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html). Clean Rooms MLjuga menggunakan Amazon SageMaker AI untuk menjalankan pekerjaan pelatihan dan inferensi, dan menciptakan hibah bagi SageMaker AI untuk mengenkripsi volume Amazon EBS yang dilampirkan ke instans serta data keluaran di Amazon S3. Untuk mempelajari lebih lanjut, lihat [Melindungi Data saat Istirahat Menggunakan Enkripsi di Amazon SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/encryption-at-rest.html).
+ `kms:GenerateDataKey`- Clean Rooms MS mengenkripsi data saat istirahat yang disimpan di Amazon S3 menggunakan enkripsi sisi server dengan. AWS KMS keys Untuk mempelajari lebih lanjut, lihat [Menggunakan enkripsi sisi server dengan AWS KMS keys (SSE-KMS) di Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html).
Berikut ini adalah contoh pernyataan kebijakan yang dapat Anda tambahkan AWS Clean Rooms untuk sumber daya berikut:
**Saluran input ML dengan data sintetis**
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow access to principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::666666666666:role/ExampleRole"
},
"Action": [
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"Encrypt",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"CreateGrant",
"DescribeKey",
"RetireGrant",
"GenerateDataKey"
]
},
"BoolIfExists": {
"kms:GrantIsForAWSResource": true
}
}
},
{
"Sid": "Allow describe key for principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::444455556666:role/ExampleRole"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
}
}
},
{
"Sid": "Allow grant operations for AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"Encrypt",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"CreateGrant",
"DescribeKey",
"RetireGrant",
"GenerateDataKey"
]
}
}
},
{
"Sid": "Allow describe key for AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
**Saluran input ML tanpa data sintetis**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow access to principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::666666666666:role/ExampleRole"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
}
}
},
{
"Sid": "Allow access to AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
**Pekerjaan model terlatih atau pekerjaan inferensi model terlatih**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow grant operations for principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::666666666666:role/ExampleRole"
},
"Action": [
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"Encrypt",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"CreateGrant",
"DescribeKey",
"RetireGrant",
"GenerateDataKey"
]
},
"BoolIfExists": {
"kms:GrantIsForAWSResource": true
}
}
},
{
"Sid": "Allow describe key for principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::444455556666:role/ExampleRole"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
}
}
},
{
"Sid": "Allow grant operations for AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"Encrypt",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"CreateGrant",
"DescribeKey",
"RetireGrant",
"GenerateDataKey"
]
}
}
},
{
"Sid": "Allow describe key for AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
Clean Rooms ML tidak mendukung penetapan konteks enkripsi layanan atau konteks sumber dalam kebijakan kunci yang dikelola pelanggan. Konteks enkripsi yang digunakan oleh layanan secara internal dapat dilihat oleh pelanggan di CloudTrail.
# Menggunakan peran terkait layanan untuk AWS Clean Rooms
AWS Clean Rooms menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. AWS Clean Rooms Peran terkait layanan telah ditentukan sebelumnya oleh AWS Clean Rooms dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan membuat pengaturan AWS Clean Rooms lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS Clean Rooms mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya AWS Clean Rooms dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi AWS Clean Rooms sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat [layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran terkait layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk AWS Clean Rooms
AWS Clean Rooms menggunakan peran terkait layanan bernama **AWSServiceRoleForAWSCleanRooms** — untuk mempublikasikan CloudWatch metrik terkait Kamar Bersih ke akun Anda. AWS
Peran terkait layanan AWSService RoleFor AWSClean Rooms mempercayai layanan berikut untuk mengambil peran:
+ `cleanrooms.amazonaws.com`
Kebijakan izin peran bernama AWSClean RoomsServiceRolePolicy memungkinkan AWS Clean Rooms untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan: `cloudwatch:PutMetricData` pada `all AWS resources, restricted to the AWS Clean Rooms namespace`
Anda harus mengonfigurasi izin agar pengguna, grup, atau peran Anda membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk AWS Clean Rooms
Anda dapat menggunakan konsol IAM untuk membuat peran terkait layanan dengan kasus penggunaan **AWSServiceRoleForAWSCleanKamar**. Di AWS CLI atau AWS API, buat peran terkait layanan dengan nama `cleanrooms.amazonaws.com` layanan. Untuk informasi selengkapnya, lihat [Membuat peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dalam *Panduan Pengguna IAM*. Jika Anda menghapus peran tertaut layanan ini, Anda dapat mengulang proses yang sama untuk membuat peran tersebut lagi.
## Mengedit peran terkait layanan untuk AWS Clean Rooms
AWS Clean Rooms tidak mengizinkan Anda mengedit peran terkait layanan AWSService RoleFor AWSClean Kamar. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk AWS Clean Rooms
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya secara manual.
Untuk menghapus **AWSServiceRoleForAWSCleanKamar**, Anda harus terlebih dahulu menghapus semua [kolaborasi](https://docs.aws.amazon.com/clean-rooms/latest/userguide/delete-collaboration.html) dan [keanggotaan](https://docs.aws.amazon.com/clean-rooms/latest/userguide/leave-collab.html) di Anda. Akun AWS
**catatan**
Jika AWS Clean Rooms layanan menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran terkait layanan AWSService RoleFor AWSClean Rooms. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.
## Wilayah yang Didukung untuk AWS Clean Rooms peran terkait layanan
AWS Clean Rooms mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat [AWS Wilayah dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/clean-rooms.html#clean-rooms_region).
# Retensi data di AWS Clean Rooms
Setiap data yang sementara dibaca ke dalam AWS Clean Rooms kolaborasi akan dihapus setelah kueri selesai.
Saat Anda membuat model yang mirip, Clean Rooms MLakan membaca data pelatihan Anda, mengubahnya menjadi format yang sesuai untuk model ML kami, dan menyimpan parameter model terlatih di dalam Clean Rooms. Clean Rooms ML tidak menyimpan salinan data pelatihan Anda. AWS Clean Rooms Kueri SQL tidak menyimpan data Anda setelah kueri berjalan. Clean Rooms MS kemudian menggunakan model terlatih untuk meringkas perilaku semua pengguna Anda. Clean Rooms ML menyimpan kumpulan data tingkat pengguna untuk setiap pengguna dalam data Anda selama model mirip Anda aktif.
Saat Anda memulai pekerjaan pembuatan segmen yang mirip, Clean Rooms MLakan membaca data seed, membaca ringkasan perilaku dari model mirip mirip terkait, dan membuat segmen mirip yang disimpan dalam layanan. AWS Clean Rooms Clean Rooms ML tidak menyimpan salinan data benih Anda. Clean Rooms ML menyimpan output tingkat pengguna dari pekerjaan selama pekerjaan itu aktif.
Jika data benih Anda berasal dari kueri SQL, output kueri tersebut hanya disimpan dalam layanan selama durasi pekerjaan. Hasil kueri dienkripsi saat istirahat dan dalam perjalanan.
Jika Anda ingin menghapus model yang mirip atau data pekerjaan pembuatan segmen yang mirip, gunakan API untuk menghapusnya. Clean Rooms MS secara asinkron menghapus semua data yang terkait dengan model atau pekerjaan. Setelah proses ini selesai, Clean Rooms MLmenghapus metadata untuk model atau pekerjaan dan tidak lagi terlihat di API. Clean Rooms MS menyimpan data yang dihapus selama 3 hari untuk pencegahan pemulihan bencana. Setelah pekerjaan atau model tidak lagi terlihat di API dan 3 hari berlalu, semua data yang terkait dengan model atau pekerjaan telah dihapus secara permanen.
# Praktik terbaik untuk kolaborasi data di AWS Clean Rooms
Topik ini menjelaskan praktik terbaik untuk melakukan kolaborasi data di AWS Clean Rooms.
AWS Clean Rooms mengikuti [Model Tanggung Jawab AWS Bersama](https://aws.amazon.com/compliance/shared-responsibility-model/). AWS Clean Rooms menawarkan [aturan analisis](analysis-rules.md) yang dapat Anda konfigurasi untuk memperkuat kemampuan Anda untuk melindungi data sensitif dalam kolaborasi. Aturan analisis yang Anda konfigurasikan AWS Clean Rooms akan memberlakukan pembatasan (kontrol kueri dan kontrol keluaran kueri) yang telah Anda konfigurasikan. Anda bertanggung jawab untuk menentukan batasan dan mengonfigurasi aturan analisis yang sesuai.
Kolaborasi data mungkin melibatkan lebih dari sekedar penggunaan AWS Clean Rooms Anda. Untuk membantu Anda memaksimalkan manfaat kolaborasi data, kami menyarankan Anda melakukan praktik terbaik berikut dengan penggunaan Anda AWS Clean Rooms dan secara khusus dengan aturan analisis.
**Topics**
+ [Praktik terbaik dengan AWS Clean Rooms](#best-practices-with-clean-rooms)
+ [Praktik terbaik untuk menggunakan aturan analisis di AWS Clean Rooms](#best-practices-for-analysis-rules)
## Praktik terbaik dengan AWS Clean Rooms
Anda bertanggung jawab untuk menilai risiko setiap kolaborasi data dan membandingkannya dengan persyaratan privasi Anda seperti program dan kebijakan kepatuhan eksternal dan internal. Kami menyarankan Anda mengambil tindakan tambahan dengan penggunaan Anda AWS Clean Rooms. Tindakan ini dapat membantu mengelola risiko lebih lanjut dan membantu mencegah upaya pihak ketiga untuk mengidentifikasi kembali data Anda (misalnya, serangan yang berbeda atau serangan saluran samping).
Misalnya, pertimbangkan untuk melakukan uji tuntas pada kolaborator Anda yang lain dan buat perjanjian hukum dengan mereka *sebelum* terlibat dalam kolaborasi. Untuk memantau penggunaan data Anda, pertimbangkan juga untuk mengadopsi mekanisme audit lain dengan penggunaan AWS Clean Rooms Anda.
## Praktik terbaik untuk menggunakan aturan analisis di AWS Clean Rooms
Aturan analisis AWS Clean Rooms memungkinkan Anda membatasi kueri yang dapat dijalankan dengan menyetel kontrol kueri pada tabel yang dikonfigurasi. Misalnya, Anda dapat mengatur kontrol kueri untuk bagaimana tabel yang dikonfigurasi dapat digabungkan dan kolom mana yang dapat dipilih. Anda juga dapat membatasi output kueri melalui pengaturan kontrol hasil kueri seperti ambang agregasi pada baris keluaran. Layanan menolak kueri apa pun dan menghapus baris yang tidak sesuai dengan aturan analisis yang ditetapkan oleh anggota pada tabel yang dikonfigurasi dalam kueri.
Kami merekomendasikan *10 praktik terbaik* berikut untuk menggunakan aturan analisis pada tabel yang dikonfigurasi:
+ Buat tabel terkonfigurasi terpisah untuk kasus penggunaan kueri terpisah (misalnya, perencanaan audiens atau atribusi). Anda dapat membuat beberapa tabel yang dikonfigurasi dengan AWS Glue tabel dasar yang sama.
+ Tentukan kolom dalam aturan analisis (misalnya, kolom dimensi, kolom daftar, kolom gabungan) yang diperlukan untuk kueri dalam kolaborasi. Ini dapat membantu mengurangi risiko serangan yang berbeda atau memungkinkan anggota lain untuk merekayasa balik data Anda. Gunakan fitur **kolom allowlist** untuk mencatat kolom lain yang mungkin ingin Anda jadikan queryable di masa mendatang. Untuk menyesuaikan kolom yang dapat digunakan untuk kolaborasi tertentu, buat tabel tambahan yang dikonfigurasi dengan AWS Glue tabel dasar yang sama.
+ Tentukan fungsi dalam aturan analisis yang diperlukan untuk analisis dalam kolaborasi. Ini dapat membantu mengurangi risiko dari kesalahan fungsi langka yang dapat menyajikan informasi pada titik data individu. Untuk menyesuaikan fungsi yang dapat digunakan untuk kolaborasi tertentu, buat tabel tambahan yang dikonfigurasi dengan AWS Glue tabel dasar yang sama.
+ Tambahkan batasan agregasi pada kolom mana pun yang nilainya pada tingkat baris sensitif. Ini termasuk kolom dalam tabel yang dikonfigurasi yang juga ada di tabel anggota kolaborasi lainnya dan aturan analisis sebagai kendala agregasi. Ini juga mencakup kolom dalam tabel yang dikonfigurasi yang tidak dapat dikueri, yaitu kolom yang ada di tabel yang dikonfigurasi tetapi tidak ada dalam aturan analisis. Kendala agregasi dapat membantu mengurangi risiko dari mengkorelasikan hasil kueri dengan data di luar kolaborasi.
+ Buat kolaborasi pengujian dan aturan analisis untuk menguji batasan yang dibuat dengan aturan analisis yang ditentukan.
+ Tinjau tabel yang dikonfigurasi kolaborator dan aturan analisis anggota pada tabel yang dikonfigurasi untuk memeriksa apakah mereka cocok dengan apa yang disepakati untuk kolaborasi. Ini dapat membantu mengurangi risiko dari anggota lain yang merekayasa data mereka sendiri untuk menjalankan kueri yang tidak disepakati.
+ Tinjau contoh kueri yang disediakan (khusus konsol) yang diaktifkan pada tabel yang dikonfigurasi setelah Anda mengatur aturan analisis.
**catatan**
Selain kueri contoh yang disediakan, kueri lain dimungkinkan berdasarkan aturan analisis dan tabel anggota kolaborasi lainnya serta aturan analisis.
+ Anda dapat menambahkan atau memperbarui aturan analisis untuk tabel yang dikonfigurasi dalam kolaborasi. Ketika Anda melakukannya, tinjau semua kolaborasi di mana tabel yang dikonfigurasi dikaitkan dan dampaknya. Ini membantu memastikan bahwa tidak ada kolaborasi yang menggunakan aturan analisis usang.
+ Tinjau kueri yang dijalankan dalam kolaborasi untuk memeriksa apakah kueri cocok dengan kasus penggunaan atau kueri yang disepakati untuk kolaborasi. (Kueri tersedia di log kueri saat fitur **Pencatatan kueri** diaktifkan.) Ini dapat membantu mengurangi risiko dari anggota yang menjalankan analisis yang tidak disepakati dan potensi serangan seperti serangan saluran samping.
+ Tinjau kolom tabel yang dikonfigurasi yang digunakan dalam aturan analisis anggota kolaborasi dan dalam kueri untuk memeriksa apakah mereka cocok dengan apa yang disepakati dalam kolaborasi. (Kueri tersedia di log kueri saat fitur itu diaktifkan.) Ini dapat membantu mengurangi risiko dari anggota lain yang merekayasa data mereka sendiri untuk melakukan pertanyaan yang tidak disepakati.
# Identity and Access Management untuk AWS Clean Rooms
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya. AWS Clean Rooms IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
**Topics**
+ [Audiens](#security-iam-audience)
+ [Mengautentikasi dengan identitas](#security-iam-auth-with-identities)
+ [Mengelola akses menggunakan kebijakan](#security-iam-managing-access)
+ [Bagaimana AWS Clean Rooms bekerja dengan IAM](security_iam_service-with-iam.md)
+ [Contoh kebijakan berbasis identitas untuk AWS Clean Rooms](security_iam_id-based-policy-examples.md)
+ [AWS kebijakan terkelola untuk AWS Clean Rooms](security-iam-awsmanpol.md)
+ [Memecahkan masalah AWS Clean Rooms identitas dan akses](security_iam_troubleshoot.md)
+ [Pencegahan "confused deputy" lintas layanan](cross-service-confused-deputy-prevention.md)
+ [Perilaku IAM untuk AWS Clean Rooms MS](ml-behaviors.md)
+ [Perilaku IAM untuk Kamar Bersih Model Kustom](ml-behaviors-byom.md)
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah AWS Clean Rooms identitas dan akses](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana AWS Clean Rooms bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Contoh kebijakan berbasis identitas untuk AWS Clean Rooms](security_iam_id-based-policy-examples.md))
## Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensyal identitas Anda. Anda harus *diautentikasi* (masuk ke AWS) sebagai Pengguna root akun AWS, sebagai pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk AWS sebagai identitas federasi dengan menggunakan kredensil yang disediakan melalui sumber identitas. AWS IAM Identity Center Pengguna (IAM Identity Center) atau autentikasi masuk tunggal perusahaan Anda adalah contoh identitas federasi. Saat Anda masuk sebagai identitas terfederasi, administrator Anda sebelumnya menyiapkan federasi identitas menggunakan peran IAM. Ketika Anda mengakses AWS dengan menggunakan federasi, Anda secara tidak langsung mengambil peran.
Bergantung pada jenis pengguna Anda, Anda dapat masuk ke Konsol Manajemen AWS atau portal AWS akses. Untuk informasi selengkapnya tentang masuk AWS, lihat [Cara masuk ke *Panduan AWS Sign-In Pengguna* Anda Akun AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html).
Jika Anda mengakses AWS secara terprogram, AWS sediakan kit pengembangan perangkat lunak (SDK) dan antarmuka baris perintah (CLI) untuk menandatangani permintaan Anda secara kriptografis menggunakan kredensil Anda. Jika Anda tidak menggunakan AWS alat, Anda harus menandatangani permintaan sendiri. Untuk informasi selengkapnya tentang menggunakan metode yang disarankan untuk menandatangani permintaan sendiri, lihat [proses penandatanganan Versi Tanda Tangan 4](https://docs.aws.amazon.com//general/latest/gr/signature-version-4.html) di *Referensi Umum AWS*.
Apa pun metode autentikasi yang digunakan, Anda mungkin diminta untuk menyediakan informasi keamanan tambahan. Misalnya, AWS merekomendasikan agar Anda menggunakan otentikasi multi-faktor (MFA) untuk meningkatkan keamanan akun Anda. Untuk mempelajari selengkapnya, lihat [Autentikasi multi-faktor](https://docs.aws.amazon.com//singlesignon/latest/userguide/enable-mfa.html) dalam *Panduan Pengguna AWS IAM Identity Center * dan [Menggunakan autentikasi multi-faktor (MFA) dalam AWS](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_mfa.html) dalam *Panduan Pengguna IAM*.
### Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya di akun. Identitas ini disebut *pengguna root* Akun AWS dan diakses dengan cara masuk menggunakan alamat email dan kata sandi yang Anda gunakan untuk membuat akun. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari Anda. Lindungi kredensial pengguna root Anda dan gunakan kredensial tersebut untuk melakukan tugas yang hanya dapat dilakukan pengguna root. Untuk daftar lengkap tugas yang mengharuskan Anda masuk sebagai pengguna root, lihat [Pengguna root akun AWS kredensi dan identitas IAM](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html#aws_tasks-that-require-root) di. *Referensi Umum AWS*
### Identitas terfederasi
Sebagai praktik terbaik, mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses Layanan AWS menggunakan kredensi sementara.
*Identitas federasi* adalah pengguna dari direktori perusahaan Anda, penyedia identitas web, atau Directory Service yang mengakses Layanan AWS menggunakan kredensil dari sumber identitas. Identitas terfederasi mengambil peran yang memberikan kredensial sementara.
Untuk manajemen akses terpusat, kami menyarankan AWS IAM Identity Center. Untuk informasi selengkapnya, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
### Pengguna dan grup IAM
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
### Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan adalah objek AWS yang, ketika dikaitkan dengan identitas atau sumber daya, menentukan izinnya. AWS mengevaluasi kebijakan ini ketika prinsipal (pengguna, pengguna root, atau sesi peran) membuat permintaan. Izin dalam kebijakan menentukan apakah permintaan diizinkan atau ditolak. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang struktur dan isi dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Setiap entitas IAM (pengguna atau peran) dimulai tanpa izin. Secara default, pengguna tidak dapat melakukan apa pun, bahkan tidak mengubah kata sandi mereka sendiri. Untuk memberikan izin kepada pengguna untuk melakukan sesuatu, administrator harus melampirkan kebijakan izin kepada pengguna. Atau administrator dapat menambahkan pengguna ke grup yang memiliki izin yang dimaksudkan. Ketika administrator memberikan izin untuk grup, semua pengguna dalam grup tersebut akan diberi izin tersebut.
Kebijakan IAM mendefinisikan izin untuk suatu tindakan terlepas dari metode yang Anda gunakan untuk melakukan operasinya. Misalnya, anggaplah Anda memiliki kebijakan yang mengizinkan tindakan `iam:GetRole`. Pengguna dengan kebijakan tersebut bisa mendapatkan informasi peran dari Konsol Manajemen AWS, API AWS CLI, atau AWS API.
### Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke sebuah identitas, seperti pengguna IAM, grup pengguna IAM, atau peran IAM. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat dikategorikan lebih lanjut sebagai *kebijakan inline* atau *kebijakan yang dikelola*. Kebijakan inline disematkan langsung ke satu pengguna, grup, atau peran. Kebijakan yang dikelola adalah kebijakan mandiri yang dapat Anda lampirkan ke beberapa pengguna, grup, dan peran di Akun AWS Anda. Kebijakan AWS terkelola mencakup kebijakan terkelola dan kebijakan yang dikelola pelanggan. Untuk mempelajari cara memilih antara kebijakan yang dikelola atau kebijakan inline, lihat [Memilih antara kebijakan yang dikelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline) dalam *Panduan Pengguna IAM*.
### Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contoh kebijakan berbasis sumber daya adalah *kebijakan kepercayaan peran* IAM dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh principal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya. Prinsipal dapat mencakup akun, pengguna, peran, pengguna federasi, atau. Layanan AWS
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.
### Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang kurang umum. Jenis-jenis kebijakan ini dapat mengatur izin maksimum yang diberikan kepada Anda oleh jenis kebijakan yang lebih umum.
+ **Batasan izin** – Batasan izin adalah fitur lanjutan tempat Anda mengatur izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas ke entitas IAM (pengguna IAM atau peran IAM). Anda dapat menetapkan batas izin untuk suatu entitas. Izin yang dihasilkan adalah persimpangan antara kebijakan berbasis identitas milik entitas dan batas izinnya. Kebijakan berbasis sumber daya yang menentukan pengguna atau peran dalam bidang `Principal` tidak dibatasi oleh batasan izin. Penolakan eksplisit dalam salah satu kebijakan ini akan menggantikan pemberian izin. Untuk informasi selengkapnya tentang batasan izin, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — SCPs adalah kebijakan JSON yang menentukan izin maksimum untuk organisasi atau unit organisasi (OU) di. AWS Organizations AWS Organizations adalah layanan untuk mengelompokkan dan mengelola secara terpusat beberapa Akun AWS yang dimiliki bisnis Anda. Jika Anda mengaktifkan semua fitur dalam suatu organisasi, maka Anda dapat menerapkan kebijakan kontrol layanan (SCPs) ke salah satu atau semua akun Anda. SCP membatasi izin untuk entitas di akun anggota, termasuk masing-masing. Pengguna root akun AWS Untuk informasi selengkapnya tentang Organizations dan SCPs, lihat [Cara SCPs kerja](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan sesi adalah kebijakan lanjutan yang Anda berikan sebagai parameter ketika Anda membuat sesi sementara secara programatis untuk peran atau pengguna terfederasi. Izin sesi yang dihasilkan adalah perpotongan antara kebijakan berbasis identitas pengguna atau peran dan kebijakan sesi. Izin juga bisa datang dari kebijakan berbasis sumber daya. Penolakan eksplisit dalam salah satu kebijakan ini akan menggantikan pemberian izin. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
### Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
# Bagaimana AWS Clean Rooms bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses AWS Clean Rooms, pelajari fitur IAM yang tersedia untuk digunakan. AWS Clean Rooms
**Fitur IAM yang dapat Anda gunakan AWS Clean Rooms**
| Fitur IAM | AWS Clean Rooms dukungan |
| --- | --- |
| [Kebijakan berbasis identitas](#security_iam_service-with-iam-id-based-policies) | Ya |
| [Kebijakan berbasis sumber daya](#security_iam_service-with-iam-resource-based-policies) | Parsial |
| [Tindakan kebijakan](#security_iam_service-with-iam-id-based-policies-actions) | Ya |
| [Sumber daya kebijakan](#security_iam_service-with-iam-id-based-policies-resources) | Ya |
| [kunci-kunci persyaratan kebijakan (spesifik layanan)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sebagian |
| [ACLs](#security_iam_service-with-iam-acls) | Tidak |
| [ABAC (tanda dalam kebijakan)](#security_iam_service-with-iam-tags) | Ya |
| [Kredensial sementara](#security_iam_service-with-iam-roles-tempcreds) | Ya |
| [Sesi akses teruskan (FAS)](#security_iam_service-with-iam-principal-permissions) | Ya |
| [Peran layanan](#security_iam_service-with-iam-roles-service) | Ya |
| [Peran terkait layanan](#security_iam_service-with-iam-roles-service-linked) | Tidak |
Untuk mendapatkan tampilan tingkat tinggi tentang cara AWS Clean Rooms dan Layanan AWS pekerjaan lainnya dengan sebagian besar fitur IAM, lihat [Layanan AWS yang berfungsi dengan IAM di Panduan Pengguna *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Kebijakan berbasis identitas untuk AWS Clean Rooms
**Mendukung kebijakan berbasis identitas**: Ya
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke sebuah identitas, seperti pengguna IAM, grup pengguna IAM, atau peran IAM. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
### Contoh kebijakan berbasis identitas untuk AWS Clean Rooms
Untuk melihat contoh kebijakan AWS Clean Rooms berbasis identitas, lihat. [Contoh kebijakan berbasis identitas untuk AWS Clean Rooms](security_iam_id-based-policy-examples.md)
## Kebijakan berbasis sumber daya dalam AWS Clean Rooms
**Mendukung kebijakan berbasis sumber daya**: Sebagian
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contoh kebijakan berbasis sumber daya adalah *kebijakan kepercayaan peran* IAM dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh principal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya. Prinsipal dapat mencakup akun, pengguna, peran, pengguna federasi, atau. Layanan AWS
Untuk mengaktifkan akses lintas akun, Anda dapat menentukan secara spesifik seluruh akun atau entitas IAM di akun lain sebagai principal dalam kebijakan berbasis sumber daya. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
AWS Clean Rooms Layanan ini hanya mendukung satu jenis kebijakan berbasis sumber daya yang disebut kebijakan sumber daya *terkelola model mirip mirip yang dikonfigurasi, yang dilampirkan ke model mirip* yang dikonfigurasi. Kebijakan ini menentukan prinsipal mana yang dapat melakukan tindakan pada model mirip yang dikonfigurasi.
Untuk mempelajari cara melampirkan kebijakan berbasis sumber daya ke model mirip yang dikonfigurasi, lihat. **[Perilaku IAM untuk AWS Clean Rooms MS](ml-behaviors.md)**
## Tindakan kebijakan untuk AWS Clean Rooms
**Mendukung tindakan kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Untuk melihat daftar AWS Clean Rooms tindakan, lihat [Tindakan yang ditentukan oleh AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscleanrooms.html) dalam *Referensi Otorisasi Layanan*.
Tindakan kebijakan AWS Clean Rooms menggunakan awalan berikut sebelum tindakan.
```
cleanrooms
```
Untuk menetapkan secara spesifik beberapa tindakan dalam satu pernyataan, pisahkan tindakan tersebut dengan koma.
```
"Action": [
"cleanrooms:action1",
"cleanrooms:action2"
]
```
Untuk melihat contoh kebijakan AWS Clean Rooms berbasis identitas, lihat. [Contoh kebijakan berbasis identitas untuk AWS Clean Rooms](security_iam_id-based-policy-examples.md)
## Sumber daya kebijakan untuk AWS Clean Rooms
**Mendukung sumber daya kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
Untuk melihat daftar jenis sumber daya dan jenis AWS Clean Rooms sumber daya ARNs, lihat [Sumber daya yang ditentukan oleh AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-resources-for-iam-policies) dalam *Referensi Otorisasi Layanan*. Untuk mempelajari dengan tindakan mana Anda dapat menentukan ARN setiap sumber daya, lihat [Tindakan yang ditentukan oleh AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).
Untuk melihat contoh kebijakan AWS Clean Rooms berbasis identitas, lihat. [Contoh kebijakan berbasis identitas untuk AWS Clean Rooms](security_iam_id-based-policy-examples.md)
## Kunci kondisi kebijakan untuk AWS Clean Rooms
**Mendukung kunci kondisi kebijakan khusus layanan**: Sebagian
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
Untuk mempelajari cara AWS Clean Rooms MLmenggunakan kunci kondisi kebijakan, lihat **[Perilaku IAM untuk AWS Clean Rooms MS](ml-behaviors.md)**.
## ACLs di AWS Clean Rooms
**Mendukung ACLs:** Tidak
Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.
## ABAC dengan AWS Clean Rooms
**Mendukung ABAC (tanda dalam kebijakan):** Ya
Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut tanda. Anda dapat melampirkan tag ke entitas dan AWS sumber daya IAM, lalu merancang kebijakan ABAC untuk mengizinkan operasi saat tag prinsipal cocok dengan tag pada sumber daya.
Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`.
Jika sebuah layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, nilainya adalah **Ya** untuk layanan tersebut. Jika suatu layanan mendukung ketiga kunci kondisi untuk hanya beberapa jenis sumber daya, nilainya adalah **Parsial**.
Untuk informasi selengkapnya tentang ABAC, lihat [Tentukan izin dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dalam *Panduan Pengguna IAM.* Untuk melihat tutorial yang menguraikan langkah-langkah pengaturan ABAC, lihat [Menggunakan kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dalam *Panduan Pengguna IAM*.
## Menggunakan kredensi sementara dengan AWS Clean Rooms
**Mendukung kredensial sementara:** Ya
Kredensi sementara menyediakan akses jangka pendek ke AWS sumber daya dan secara otomatis dibuat saat Anda menggunakan federasi atau beralih peran. AWS merekomendasikan agar Anda secara dinamis menghasilkan kredensi sementara alih-alih menggunakan kunci akses jangka panjang. Untuk informasi selengkapnya, lihat [Kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.
## Teruskan sesi akses untuk AWS Clean Rooms
**Mendukung sesi akses terusan (FAS):** Ya
Sesi akses teruskan (FAS) menggunakan izin dari pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat [Sesi akses terusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Peran layanan untuk AWS Clean Rooms
**Mendukung peran layanan:** Ya
Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*.
**Awas**
Mengubah izin untuk peran layanan dapat merusak AWS Clean Rooms fungsionalitas. Edit peran layanan hanya jika AWS Clean Rooms memberikan panduan untuk melakukannya.
## Peran terkait layanan untuk AWS Clean Rooms
**Mendukung peran terkait layanan:** Tidak
Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan.
Untuk detail tentang pembuatan atau manajemen peran terkait layanan, lihat [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cari layanan dalam tabel yang memiliki `Yes` di kolom **Peran terkait layanan**. Pilih tautan **Ya** untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
# Contoh kebijakan berbasis identitas untuk AWS Clean Rooms
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau mengubah sumber daya AWS Clean Rooms . Untuk memberikan izin kepada pengguna untuk melakukan tindakan di sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM.
*Untuk mempelajari cara membuat kebijakan berbasis identitas IAM dengan menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan IAM (konsol) di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).*
Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh AWS Clean Rooms, termasuk format ARNs untuk setiap jenis sumber daya, lihat [Kunci tindakan, sumber daya, dan kondisi untuk AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html) dalam *Referensi Otorisasi Layanan*.
**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Menggunakan AWS Clean Rooms konsol](#security_iam_id-based-policy-examples-console)
+ [Mengizinkan pengguna melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus AWS Clean Rooms sumber daya di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
## Menggunakan AWS Clean Rooms konsol
Untuk mengakses AWS Clean Rooms konsol, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang AWS Clean Rooms sumber daya di Anda Akun AWS. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna atau peran) dengan kebijakan tersebut.
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai gantinya, izinkan akses hanya ke tindakan yang sesuai dengan operasi API yang coba mereka lakukan.
Untuk memastikan bahwa pengguna dan peran masih dapat menggunakan AWS Clean Rooms konsol, lampirkan juga kebijakan AWS Clean Rooms `FullAccess` atau `ReadOnly` AWS terkelola ke entitas. Untuk informasi selengkapnya, lihat [Menambah izin untuk pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
## Mengizinkan pengguna melihat izin mereka sendiri
Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS kebijakan terkelola untuk AWS Clean Rooms
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
## AWS kebijakan terkelola: `AWSCleanRoomsReadOnlyAccess`
Anda dapat melampirkan `AWSCleanRoomsReadOnlyAccess` ke kepala IAM Anda.
Kebijakan ini memberikan izin hanya-baca untuk sumber daya dan metadata dalam kolaborasi. `AWSCleanRoomsReadOnlyAccess`
**Detail izin**
Kebijakan ini mencakup izin berikut:
+ `CleanRoomsRead`— Memungkinkan kepala sekolah akses hanya-baca ke layanan.
+ `ConsoleDisplayTables`— Memungkinkan akses hanya-baca prinsipal ke AWS Glue metadata yang diperlukan untuk menampilkan data tentang tabel yang mendasarinya di konsol. AWS Glue
+ `ConsoleLogSummaryQueryLogs`— Memungkinkan kepala sekolah untuk melihat log kueri.
+ `ConsoleLogSummaryObtainLogs`— Memungkinkan kepala sekolah untuk mengambil hasil log.
Untuk daftar JSON tentang detail kebijakan, lihat [AWSCleanRoomsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsReadOnlyAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola: `AWSCleanRoomsFullAccess`
Anda dapat melampirkan `AWSCleanRoomsFullAccess` ke kepala IAM Anda.
Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh (baca, tulis, dan perbarui) ke sumber daya dan metadata dalam suatu kolaborasi. AWS Clean Rooms Kebijakan ini mencakup akses untuk melakukan kueri.
**Detail izin**
Kebijakan ini mencakup izin berikut:
+ `CleanRoomsAccess`— Memberikan akses penuh ke semua tindakan pada semua sumber daya untuk AWS Clean Rooms.
+ `PassServiceRole`— Memberikan akses untuk meneruskan peran layanan hanya ke layanan (`PassedToService`kondisi) yang memiliki "cleanrooms" dalam namanya.
+ `ListRolesToPickServiceRole`— Memungkinkan kepala sekolah untuk membuat daftar semua peran mereka untuk memilih peran layanan saat menggunakan. AWS Clean Rooms
+ `GetRoleAndListRolePoliciesToInspectServiceRole`— Memungkinkan kepala sekolah untuk melihat peran layanan dan kebijakan terkait di IAM.
+ `ListPoliciesToInspectServiceRolePolicy`— Memungkinkan kepala sekolah untuk melihat peran layanan dan kebijakan terkait di IAM.
+ `GetPolicyToInspectServiceRolePolicy`— Memungkinkan kepala sekolah untuk melihat peran layanan dan kebijakan terkait di IAM.
+ `ConsoleDisplayTables`— Memungkinkan akses hanya-baca prinsipal ke AWS Glue metadata yang diperlukan untuk menampilkan data tentang tabel yang mendasarinya di konsol. AWS Glue
+ `ConsolePickQueryResultsBucketListAll`— Memungkinkan kepala sekolah memilih bucket Amazon S3 dari daftar semua bucket S3 yang tersedia di mana hasil kueri mereka ditulis.
+ `SetQueryResultsBucket`— Memungkinkan kepala sekolah untuk memilih bucket S3 di mana hasil kueri mereka ditulis.
+ `ConsoleDisplayQueryResults`— Memungkinkan kepala sekolah untuk menunjukkan hasil kueri kepada pelanggan, baca dari bucket S3.
+ `WriteQueryResults`— Memungkinkan kepala sekolah untuk menulis hasil kueri ke dalam bucket S3 milik pelanggan.
+ `EstablishLogDeliveries`— Memungkinkan prinsipal mengirimkan log kueri ke grup CloudWatch log Amazon Logs pelanggan.
+ `SetupLogGroupsDescribe`— Memungkinkan kepala sekolah untuk menggunakan proses pembuatan grup CloudWatch log Amazon Logs.
+ `SetupLogGroupsCreate`— Memungkinkan kepala sekolah untuk membuat grup CloudWatch log Amazon Logs.
+ `SetupLogGroupsResourcePolicy`— Memungkinkan prinsipal untuk menyiapkan kebijakan sumber daya di grup CloudWatch log Amazon Logs.
+ `ConsoleLogSummaryQueryLogs`— Memungkinkan kepala sekolah untuk melihat log kueri.
+ `ConsoleLogSummaryObtainLogs`— Memungkinkan kepala sekolah untuk mengambil hasil log.
Untuk daftar JSON tentang detail kebijakan, lihat [AWSCleanRoomsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsFullAccess.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola: `AWSCleanRoomsFullAccessNoQuerying`
Anda dapat melampirkan `AWSCleanRoomsFullAccessNoQuerying` ke AndaIAM principals.
Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh (baca, tulis, dan perbarui) ke sumber daya dan metadata dalam suatu kolaborasi. AWS Clean Rooms Kebijakan ini mengecualikan akses untuk melakukan kueri.
**Detail izin**
Kebijakan ini mencakup izin berikut:
+ `CleanRoomsAccess`— Memberikan akses penuh ke semua tindakan pada semua sumber daya untuk AWS Clean Rooms, kecuali untuk kueri dalam kolaborasi.
+ `CleanRoomsNoQuerying`— Secara eksplisit menyangkal `StartProtectedQuery` dan `UpdateProtectedQuery` mencegah kueri.
+ `PassServiceRole`— Memberikan akses untuk meneruskan peran layanan hanya ke layanan (`PassedToService`kondisi) yang memiliki "cleanrooms" dalam namanya.
+ `ListRolesToPickServiceRole`— Memungkinkan kepala sekolah untuk membuat daftar semua peran mereka untuk memilih peran layanan saat menggunakan. AWS Clean Rooms
+ `GetRoleAndListRolePoliciesToInspectServiceRole`— Memungkinkan kepala sekolah untuk melihat peran layanan dan kebijakan terkait di IAM.
+ `ListPoliciesToInspectServiceRolePolicy`— Memungkinkan kepala sekolah untuk melihat peran layanan dan kebijakan terkait di IAM.
+ `GetPolicyToInspectServiceRolePolicy`— Memungkinkan kepala sekolah untuk melihat peran layanan dan kebijakan terkait di IAM.
+ `ConsoleDisplayTables`— Memungkinkan akses hanya-baca prinsipal ke AWS Glue metadata yang diperlukan untuk menampilkan data tentang tabel yang mendasarinya di konsol. AWS Glue
+ `EstablishLogDeliveries`— Memungkinkan prinsipal mengirimkan log kueri ke grup CloudWatch log Amazon Logs pelanggan.
+ `SetupLogGroupsDescribe`— Memungkinkan kepala sekolah untuk menggunakan proses pembuatan grup CloudWatch log Amazon Logs.
+ `SetupLogGroupsCreate`— Memungkinkan kepala sekolah untuk membuat grup CloudWatch log Amazon Logs.
+ `SetupLogGroupsResourcePolicy`— Memungkinkan prinsipal untuk menyiapkan kebijakan sumber daya di grup CloudWatch log Amazon Logs.
+ `ConsoleLogSummaryQueryLogs`— Memungkinkan kepala sekolah untuk melihat log kueri.
+ `ConsoleLogSummaryObtainLogs`— Memungkinkan kepala sekolah untuk mengambil hasil log.
+ `cleanrooms`— Kelola kolaborasi, templat analisis, tabel yang dikonfigurasi, keanggotaan, dan sumber daya terkait dalam layanan. AWS Clean Rooms Lakukan berbagai operasi seperti membuat, memperbarui, menghapus, mencantumkan, dan mengambil informasi tentang sumber daya ini.
+ `iam`— Lulus peran layanan dengan nama yang berisi `cleanrooms` "" ke AWS Clean Rooms layanan. Buat daftar peran, kebijakan, dan periksa peran dan kebijakan layanan yang terkait dengan AWS Clean Rooms layanan.
+ `glue`— Mengambil informasi tentang database, tabel, partisi, dan skema dari. AWS Glue Ini diperlukan agar AWS Clean Rooms layanan dapat menampilkan dan berinteraksi dengan sumber data yang mendasarinya.
+ `logs`— Mengelola pengiriman log, grup log, dan kebijakan sumber daya untuk CloudWatch Log. Kueri dan ambil log yang terkait dengan AWS Clean Rooms layanan. Izin ini diperlukan untuk tujuan pemantauan, audit, dan pemecahan masalah dalam layanan.
Kebijakan ini juga secara eksplisit menyangkal tindakan `cleanrooms:StartProtectedQuery` dan `cleanrooms:UpdateProtectedQuery` untuk mencegah pengguna mengeksekusi atau memperbarui kueri yang dilindungi secara langsung, yang harus dilakukan melalui mekanisme yang dikendalikan. AWS Clean Rooms
Untuk daftar JSON tentang detail kebijakan, lihat [AWSCleanRoomsFullAccessNoQuerying](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsFullAccessNoQuerying.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola: `AWSCleanRoomsMLReadOnlyAccess`
Anda dapat melampirkan `AWSCleanRoomsMLReadOnlyAccess` ke kepala IAM Anda.
Kebijakan ini memberikan izin hanya-baca untuk sumber daya dan metadata dalam kolaborasi. `AWSCleanRoomsMLReadOnlyAccess`
Kebijakan ini mencakup izin berikut:
+ `CleanRoomsConsoleNavigation`— Memberikan akses untuk melihat layar AWS Clean Rooms konsol.
+ `CleanRoomsMLRead`— Memungkinkan akses hanya-baca kepala sekolah ke layanan Clean Rooms MS.
+ `PassCleanRoomsResources`— Memberikan akses untuk melewati AWS Clean Rooms sumber daya yang ditentukan.
Untuk daftar JSON tentang detail kebijakan, lihat [AWSCleanKamar MLRead OnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsMLReadOnlyAccess.html) di *Panduan Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola: `AWSCleanRoomsMLFullAccess`
Anda dapat melampirkan `AWSCleanRoomsMLFullAcces` ke kepala IAM Anda. Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh (baca, tulis, dan perbarui) ke sumber daya dan metadata yang dibutuhkan oleh Clean Rooms.
**Detail izin**
Kebijakan ini mencakup izin berikut:
+ `CleanRoomsMLFullAccess`— Memberikan akses ke semua tindakan Clean Rooms MS.
+ `PassServiceRole`— Memberikan akses untuk meneruskan peran layanan hanya ke layanan (`PassedToService`kondisi) yang memiliki "cleanrooms-ml" dalam namanya.
+ `CleanRoomsConsoleNavigation`— Memberikan akses untuk melihat layar AWS Clean Rooms konsol.
+ `CollaborationMembershipCheck`— Saat Anda memulai pekerjaan pembuatan audiens (segmen mirip) dalam sebuah kolaborasi, layanan Clean Rooms MS memanggil `ListMembers` untuk memeriksa apakah kolaborasi tersebut valid, pemanggil adalah anggota aktif, dan pemilik model audiens yang dikonfigurasi adalah anggota aktif. Izin ini selalu diperlukan; SID navigasi konsol hanya diperlukan untuk pengguna konsol.
+ `PassCleanRoomsResources`— Memberikan akses untuk melewati AWS Clean Rooms sumber daya yang ditentukan.
+ `AssociateModels`— Memungkinkan kepala sekolah untuk mengaitkan model Clean Rooms MS dengan kolaborasi Anda.
+ `TagAssociations`— Memungkinkan prinsipal untuk menambahkan tag ke asosiasi antara model mirip dan kolaborasi.
+ `ListRolesToPickServiceRole`— Memungkinkan kepala sekolah untuk membuat daftar semua peran mereka untuk memilih peran layanan saat menggunakan. AWS Clean Rooms
+ `GetRoleAndListRolePoliciesToInspectServiceRole`— Memungkinkan kepala sekolah untuk melihat peran layanan dan kebijakan terkait di IAM.
+ `ListPoliciesToInspectServiceRolePolicy`— Memungkinkan kepala sekolah untuk melihat peran layanan dan kebijakan terkait di IAM.
+ `GetPolicyToInspectServiceRolePolicy`— Memungkinkan kepala sekolah untuk melihat peran layanan dan kebijakan terkait di IAM.
+ `ConsoleDisplayTables`— Memungkinkan akses hanya-baca prinsipal ke AWS Glue metadata yang diperlukan untuk menampilkan data tentang tabel yang mendasarinya di konsol. AWS Glue
+ `ConsolePickOutputBucket`— Memungkinkan kepala sekolah memilih bucket Amazon S3 untuk output model audiens yang dikonfigurasi.
+ `ConsolePickS3Location`— Memungkinkan kepala sekolah untuk memilih lokasi dalam ember untuk output model audiens yang dikonfigurasi.
+ `ConsoleDescribeECRRepositories`— Memungkinkan kepala sekolah untuk menggambarkan repositori dan gambar Amazon ECR.
Untuk daftar JSON tentang detail kebijakan, lihat [MLFullAkses AWSClean Kamar](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsMLFullAccess.html) di *Panduan Referensi Kebijakan AWS Terkelola*.
## AWS Clean Rooms pembaruan kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola AWS Clean Rooms sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat AWS Clean Rooms dokumen.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery)— Perbarui ke kebijakan yang ada | Menambahkan kamar bersih: UpdateConfiguredTableAllowedColumns dan kamar bersih: UpdateConfiguredTableReference ke. CleanRoomsAccess | Juli 29, 2025 |
| [AWSCleanRoomsMLReadOnlyAccess](#ml-read-only) – Pembaruan ke kebijakan yang sudah ada | Menambahkan PassCleanRoomsResources ke AWSCleanRoomsMLReadOnlyAccess. Ditambahkan PassCleanRoomsResources dan ConsoleDescribeECRRepositories keAWSCleanRoomsMLFullAccess. | Januari 10, 2025 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery) – Pembaruan ke kebijakan yang sudah ada | Menambahkan cleanrooms:BatchGetSchemaAnalysisRule ke CleanRoomsAccess. | 13 Mei 2024 |
| [AWSCleanRoomsFullAccess](#security-iam-awsmanpol-fullaccess) – Pembaruan ke kebijakan yang sudah ada | Memperbarui ID Pernyataan AWSCleanRoomsFullAccess dari ConsolePickQueryResultsBucket ke SetQueryResultsBucket dalam kebijakan ini untuk merepresentasikan izin dengan lebih baik karena izin diperlukan untuk menyetel bucket hasil kueri baik dengan maupun tanpa konsol. | Maret 21, 2024 |
| [AWSCleanRoomsMLReadOnlyAccess](#ml-read-only) – Kebijakan baru [AWSCleanRoomsMLFullAccess](#ml-full-access) – Kebijakan baru | Ditambahkan AWSCleanRoomsMLReadOnlyAccess dan AWSCleanRoomsMLFullAccess mendukung AWS Clean Rooms MS. | November 29, 2023 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery) – Pembaruan ke kebijakan yang sudah ada | Ditambahkan cleanrooms:CreateAnalysisTemplatecleanrooms:GetAnalysisTemplate,cleanrooms:UpdateAnalysisTemplate, cleanrooms:DeleteAnalysisTemplate,cleanrooms:ListAnalysisTemplates,cleanrooms:GetCollaborationAnalysisTemplate,cleanrooms:BatchGetCollaborationAnalysisTemplate,, dan cleanrooms:ListCollaborationAnalysisTemplates CleanRoomsAccess untuk mengaktifkan fitur template analisis baru. | 31 Juli 2023 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery) – Pembaruan ke kebijakan yang sudah ada | Ditambahkancleanrooms:ListTagsForResource,cleanrooms:UntagResource, dan cleanrooms:TagResource CleanRoomsAccess untuk mengaktifkan penandaan sumber daya. | 21 Maret 2023 |
| AWS Clean Rooms mulai melacak perubahan | AWS Clean Rooms mulai melacak perubahan untuk kebijakan yang AWS dikelola. | Januari 12, 2023 |
# Memecahkan masalah AWS Clean Rooms identitas dan akses
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan AWS Clean Rooms dan IAM.
**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di AWS Clean Rooms](#security_iam_troubleshoot-no-permissions)
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses AWS Clean Rooms sumber daya saya](#security_iam_troubleshoot-cross-account-access)
## Saya tidak berwenang untuk melakukan tindakan di AWS Clean Rooms
Jika Anda menerima pesan kesalahan bahwa Anda tidak memiliki otorisasi untuk melakukan tindakan, kebijakan Anda harus diperbarui agar Anda dapat melakukan tindakan tersebut.
Contoh kesalahan berikut terjadi ketika pengguna IAM `mateojackson` mencoba menggunakan konsol untuk melihat detail tentang suatu sumber daya fiktif `my-example-widget`, tetapi tidak memiliki izin fiktif `cleanrooms:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cleanrooms:GetWidget on resource: my-example-widget
```
Dalam hal ini, kebijakan Mateo harus diperbarui untuk memungkinkannya mengakses `my-example-widget` sumber daya menggunakan `cleanrooms:GetWidget` tindakan tersebut.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya tidak berwenang untuk melakukan iam: PassRole
Jika Anda menerima kesalahan yang tidak diizinkan untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran AWS Clean Rooms.
Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.
Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol tersebut untuk melakukan tindakan di AWS Clean Rooms. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses AWS Clean Rooms sumber daya saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mempelajari apakah AWS Clean Rooms mendukung fitur ini, lihat[Bagaimana AWS Clean Rooms bekerja dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari perbedaan antara penggunaan kebijakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Bagaimana peran IAM berbeda dari kebijakan berbasis sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) dalam *Panduan Pengguna IAM*.
# Pencegahan "confused deputy" lintas layanan
Masalah "confused deputy" adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memengaruhi entitas yang memiliki hak akses lebih tinggi untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (*layanan yang dipanggil*) memanggil layanan lain (*layanan yang dipanggil*). Layanan pemanggilan dapat dimanipulasi menggunakan izinnya untuk bertindak pada sumber daya pelanggan lain dengan cara yang seharusnya tidak dilakukannya kecuali bila memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS menyediakan alat yang membantu Anda melindungi data untuk semua layanan dengan principal layanan yang telah diberi akses ke sumber daya di akun Anda.
Sebaiknya gunakan kunci konteks kondisi [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)global dalam kebijakan sumber daya untuk membatasi izin yang AWSClean Rooms memberikan layanan lain ke sumber daya. Gunakan `aws:SourceArn` jika Anda ingin hanya satu sumber daya yang akan dikaitkan dengan akses lintas layanan.
Cara paling efektif untuk melindungi dari masalah "confused deputy" adalah dengan menggunakan kunci konteks kondisi global `aws:SourceArn` dengan ARN lengkap sumber daya. Di AWSClean Rooms, Anda juga harus membandingkan dengan kunci `sts:ExternalId` kondisi.
Nilai `aws:SourceArn` harus diatur ke ARN dari keanggotaan peran yang diasumsikan.
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci konteks kondisi `aws:SourceArn` global AWSClean Rooms untuk mencegah masalah wakil yang membingungkan.
**catatan**
Kebijakan contoh berlaku untuk kebijakan kepercayaan peran layanan yang AWS Clean Rooms digunakan untuk mengakses data dan metadata untuk tabel yang dikonfigurasi.
Nilai untuk ** perlu disetel ke ID keanggotaan runner kueri.
Semua anggota kolaborasi dapat melihat metadata tabel yang dikonfigurasi sehingga setiap ARN keanggotaan harus dimasukkan dalam daftar keanggotaan. ARNs
**catatan**
Ketika peran layanan dibuat melalui AWS Clean Rooms konsol, semua anggota kolaborasi saat ini disertakan dalam kondisi wakil yang bingung secara default.
Jika Anda menambahkan anggota baru ke kolaborasi yang telah mengonfigurasi tabel yang terkait dengannya, pastikan Anda memperbarui kondisi wakil peran layanan yang membingungkan dengan ARN keanggotaan anggota baru.
Jika Anda tidak memperbarui kondisi wakil yang membingungkan peran layanan Anda setelah menambahkan anggota baru, anggota baru tersebut tidak akan dapat mengakses informasi AWS Clean Rooms yang diambil menggunakan peran tersebut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowIfExternalIdMatches",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringLike": {
"sts:ExternalId": "arn:aws:*:us-east-1:*:dbuser:*/*"
}
}
},
{
"Sid": "AllowIfSourceArnMatches",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ForAnyValue:ArnEquals": {
"aws:SourceArn": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/",
"arn:aws:cleanrooms:us-east-1:444455556666:membership/"
]
}
}
}
]
}
```
------
# Perilaku IAM untuk AWS Clean Rooms MS
## Lowongan kerja lintas akun
Clean Rooms ML memungkinkan sumber daya tertentu yang dibuat oleh satu orang Akun AWS untuk diakses dengan aman di akun mereka oleh yang lain Akun AWS. Ketika klien di Akun AWS A memanggil `StartAudienceGenerationJob` `ConfiguredAudienceModel` sumber daya yang dimiliki oleh Akun AWS B, Clean Rooms MLmenciptakan dua ARNs untuk pekerjaan itu. Satu ARN di Akun AWS A dan satu lagi di B. Akun AWS ARNs Mereka identik kecuali untuk mereka Akun AWS.
Clean Rooms MS menciptakan dua ARNs untuk pekerjaan tersebut untuk memastikan bahwa kedua akun dapat menerapkan kebijakan IAM mereka sendiri untuk pekerjaan tersebut. Misalnya, kedua akun dapat menggunakan kontrol akses berbasis tag dan menerapkan kebijakan dari AWS organisasi mereka. Pekerjaan memproses data dari kedua akun, sehingga kedua akun dapat menghapus pekerjaan dan data terkait. Tidak ada akun yang dapat memblokir akun lain dari menghapus pekerjaan.
Hanya ada satu eksekusi pekerjaan dan kedua akun dapat melihat pekerjaan ketika mereka menelepon`ListAudienceGenerationJobs`. Kedua akun dapat memanggil`Get`,`Delete`, dan `Export` APIs di tempat kerja menggunakan ARN dengan ID mereka sendiri Akun AWS .
Tidak ada yang Akun AWS dapat mengakses pekerjaan saat menggunakan ARN dengan ID lainnya Akun AWS .
Nama pekerjaan harus unik dalam sebuah Akun AWS. Nama dalam Akun AWS B adalah*\$1accountA-\$1name*. Nama yang dipilih oleh Akun AWS A diawali dengan Akun AWS A ketika pekerjaan dilihat di Akun AWS B.
Agar lintas akun `StartAudienceGenerationJob` berhasil, Akun AWS B harus mengizinkan tindakan tersebut pada pekerjaan baru di Akun AWS B dan `ConfiguredAudienceModel` di Akun AWS B menggunakan kebijakan sumber daya yang mirip dengan contoh berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Clean-Rooms-CAMA-ID",
"Effect": "Allow",
"Principal": {
"AWS": [
"111122223333"
]
},
"Action": [
"cleanrooms-ml:StartAudienceGenerationJob"
],
"Resource": [
"arn:aws:cleanrooms-ml:us-east-1:444455556666:configured-audience-model/id",
"arn:aws:cleanrooms-ml:us-east-1:444455556666:audience-generation-job/*"
],
"Condition":{"StringEquals":{"cleanrooms-ml:CollaborationId":"UUID"}}
}
]
}
```
------
**catatan**
Kebijakan sumber daya AWS Clean Rooms ML ini mereferensikan dua hal yang berbeda Akun AWS IDs untuk mendukung pembuatan audiens lintas akun:
**111122223333** - Ini adalah akun yang berisi prinsipal (pengguna, peran, atau layanan) yang berwenang untuk memulai pekerjaan generasi audiens. Akun ini memulai alur kerja pemrosesan ML.
**444455556666** - Ini adalah akun yang memiliki sumber daya AWS Clean Rooms ML (model audiens yang dikonfigurasi dan pekerjaan generasi audiens). Akun ini menghosting model ML dan mengelola eksekusi pekerjaan.
**Catatan Konfigurasi Tambahan:**
**Statement ID (Sid)**: Ganti `CAMA-ID` dengan pengenal AWS Clean Rooms Audience Model Application (CAMA) Anda yang sebenarnya untuk membuat pernyataan kebijakan mudah diidentifikasi.
**Sumber Daya IDs**: Ganti *id* dengan ID aktual model audiens yang dikonfigurasi, dan *UUID* dengan ID kolaborasi spesifik Anda.
**Kondisi**: `cleanrooms-ml:CollaborationId` Kondisi ini memastikan bahwa pekerjaan generasi audiens hanya dapat dimulai dalam konteks AWS Clean Rooms kolaborasi yang ditentukan, memberikan batas keamanan tambahan.
Konfigurasi lintas akun ini memungkinkan skenario di mana satu organisasi mengelola model dan infrastruktur ML sambil memungkinkan mitra resmi untuk memulai proses pembuatan audiens dalam batas-batas perjanjian kolaborasi mereka.
Jika Anda menggunakan [AWS Clean Rooms MLAPI](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/Welcome.html) untuk membuat model mirip yang dikonfigurasi dengan `manageResourcePolicies` disetel ke true, AWS Clean Rooms buat kebijakan ini untuk Anda.
Selain itu, kebijakan identitas penelepon di Akun AWS A memerlukan `StartAudienceGenerationJob` izin. `arn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/*` Jadi ada tiga Sumber Daya IAM untuk Tindakan`StartAudienceGenerationJob`: pekerjaan Akun AWS A, pekerjaan Akun AWS B, dan Akun AWS B`ConfiguredAudienceModel`.
**Awas**
Akun AWS Yang memulai pekerjaan menerima peristiwa log AWS CloudTrail audit tentang pekerjaan itu. Akun AWS Yang memiliki `ConfiguredAudienceModel` tidak menerima peristiwa log AWS CloudTrail audit.
## Lowongan kerja Tagging
Saat Anda menyetel `childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE` parameter`CreateConfiguredAudienceModel`, semua pekerjaan pembuatan segmen mirip dalam akun Anda yang dibuat dari model mirip mirip yang dikonfigurasi secara default untuk memiliki tag yang sama dengan model mirip yang dikonfigurasi. Model mirip yang dikonfigurasi adalah induknya dan pekerjaan pembuatan segmen yang mirip adalah anak.
Jika Anda membuat pekerjaan di dalam akun Anda sendiri, tag permintaan pekerjaan akan menggantikan tag induk. Pekerjaan yang dibuat oleh akun lain tidak pernah membuat tag di akun Anda. Jika Anda menetapkan `childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE` dan akun lain membuat pekerjaan, ada dua salinan pekerjaan. Salinan di akun Anda memiliki tag sumber daya induk dan salinan di akun pengirim pekerjaan memiliki tag dari permintaan.
## Memvalidasi kolaborator
Saat memberikan izin kepada anggota AWS Clean Rooms kolaborasi lainnya, kebijakan sumber daya harus menyertakan kunci kondisi. `cleanrooms-ml:CollaborationId` Ini memberlakukan bahwa `collaborationId` parameter disertakan dalam [StartAudienceGenerationJob](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_StartAudienceGenerationJob.html)permintaan. Ketika `collaborationId` parameter disertakan dalam permintaan, Clean Rooms MS memvalidasi bahwa kolaborasi ada, pengirim pekerjaan adalah anggota aktif kolaborasi, dan pemilik model mirip yang dikonfigurasi adalah anggota aktif kolaborasi.
Saat AWS Clean Rooms mengelola kebijakan sumber daya model mirip mirip yang dikonfigurasi (`manageResourcePolicies`parameternya `TRUE` dalam [CreateConfiguredAudienceModelAssociation permintaan](https://docs.aws.amazon.com/clean-rooms/latest/apireference/API_CreateConfiguredAudienceModelAssociation.html)), kunci kondisi ini akan disetel dalam kebijakan sumber daya. Oleh karena itu, Anda harus menentukan `collaborationId` in [StartAudienceGenerationJob](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_StartAudienceGenerationJob.html).
## Akses lintas akun
Hanya `StartAudienceGenerationJob` dapat dipanggil di seluruh akun. Semua Clean Rooms ML lainnya hanya APIs dapat digunakan dengan sumber daya di akun Anda sendiri. Ini memastikan bahwa data pelatihan Anda, konfigurasi model yang mirip, dan informasi lainnya tetap pribadi.
Clean Rooms tidak pernah mengungkapkan Amazon S3 atau AWS Glue lokasi di seluruh akun. Lokasi data pelatihan, lokasi keluaran model mirip yang dikonfigurasi, dan lokasi benih pekerjaan pembuatan segmen yang mirip tidak pernah terlihat di seluruh akun. Kecuali pencatatan kueri diaktifkan dalam kolaborasi, apakah data benih berasal dari kueri SQL dan kueri itu sendiri tidak terlihat di seluruh akun. Jika Anda `Get` memiliki pekerjaan pembuatan audiens yang dikirimkan oleh akun lain, layanan tidak menampilkan lokasi benih.
# Perilaku IAM untuk Kamar Bersih Model Kustom
## Lowongan kerja lintas akun
Clean Rooms ML memungkinkan sumber daya tertentu yang terkait dengan kolaborasi yang dibuat oleh satu orang Akun AWS untuk diakses dengan aman di akun mereka oleh yang lain Akun AWS. Klien di Akun AWS A dengan kemampuan anggota untuk menjalankan kueri dapat memanggil`CreateTrainedModel`,`CreateMLInputChannel`, atau `StartTrainedModelInferenceJob` pada `ConfiguredModelAlgorithmAssociation` sumber daya yang dimiliki oleh anggota lain dalam kolaborasi, asalkan `ConfiguredModelAlgorithmAssociation` diizinkan oleh aturan analisis kustom yang dibuat dengan`CreateConfiguredTableAnalysisRule`.
Selain itu, setiap anggota aktif kolaborasi dapat menghapus data yang terkait dengan model terlatih atau saluran input ML melalui `DeleteTrainedModelOutput` dan `DeleteMLInputChannelData` APIs.
## Akses lintas akun
Clean Rooms ML memungkinkan pengguna untuk mengambil metadata tentang sumber daya yang dibuat oleh akun lain melalui dan. `GetCollaboration` `ListCollaboration` APIs Clean Rooms ML tidak mengungkapkan kunci KMS ARNs, tag, variabel lingkungan, atau hiperparameter (untuk `TrainedModel` tindakan) ke akun lain.
## Akses keanggotaan dan kolaborasi
Saat mengakses sumber daya keanggotaan dan kolaborasi dalam konteks model kustom Clean Rooms, kebijakan identitas pengguna memerlukan izin untuk tindakan `cleanrooms:PassMembership``cleanrooms:PassCollaboration`, atau keduanya. Semua APIs yang menerima `membershipId` membutuhkan `cleanrooms:PassMembership` izin, dan semua APIs yang menerima `collaborationId` membutuhkan `cleanrooms:PassCollaboration` izin. Kebijakan identitas sampel untuk peran yang dapat dipanggil `createTrainedModel` dalam konteks ID keanggotaan yang dapat memanggil `GetCollaborationTrainedModel` dalam konteks ID kolaborasi disediakan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCleanroomsMLActions",
"Effect": "Allow",
"Action": [
"cleanrooms:PassCollaboration",
"cleanrooms:PassMembership"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowMembershipAccess",
"Effect": "Allow",
"Action": [
"cleanrooms:GetMembership"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/memberId"
]
},
{
"Sid": "AllowCollaborationAccess",
"Effect": "Allow",
"Action": [
"cleanrooms:GetCollaboration"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:collaboration/collaborationId"
]
}
]
}
```
------
# Validasi kepatuhan untuk AWS Clean Rooms
Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .
Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).
# Ketahanan di AWS Clean Rooms
Infrastruktur AWS global dibangun di sekitar AWS Wilayah dan Zona Ketersediaan. Wilayah memberikan beberapa Zona Ketersediaan yang terpisah dan terisolasi secara fisik, yang terkoneksi melalui jaringan latensi rendah, throughput tinggi, dan sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang serta mengoperasikan aplikasi dan basis data yang secara otomatis melakukan fail over di antara zona tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur pusat data tunggal atau multi tradisional.
Untuk informasi selengkapnya tentang AWS Wilayah dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Keamanan infrastruktur di AWS Clean Rooms
Sebagai layanan terkelola, AWS Clean Rooms dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses AWS Clean Rooms melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
## Keamanan jaringan
Saat AWS Clean Rooms membaca dari bucket S3 Anda selama eksekusi kueri, lalu lintas antara AWS Clean Rooms dan Amazon S3 dirutekan dengan aman melalui jaringan pribadi. AWS Lalu lintas dalam penerbangan ditandatangani menggunakan protokol Amazon Signature Version 4 (SIGv4) dan dienkripsi menggunakan HTTPS. Lalu lintas ini diotorisasi berdasarkan peran layanan IAM yang telah Anda siapkan untuk tabel yang dikonfigurasi.
Anda dapat terhubung secara terprogram ke AWS Clean Rooms melalui titik akhir. Untuk daftar titik akhir layanan, lihat [AWS Clean Rooms titik akhir dan kuota](https://docs.aws.amazon.com/general/latest/gr/clean-rooms.html#clean-rooms_region) di. *Referensi Umum AWS*
Semua titik akhir layanan hanya HTTP. Anda dapat menggunakan titik akhir Amazon Virtual Private Cloud (VPC) jika Anda ingin terhubung dari VPC AWS Clean Rooms Anda dan tidak ingin memiliki konektivitas internet. Untuk informasi selengkapnya, lihat [Akses AWS layanan melalui AWS PrivateLinkAWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) *Panduan*.
Anda dapat menetapkan kebijakan IAM ke kepala sekolah IAM Anda yang menggunakan [kunci SourceVpce konteks aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce) untuk membatasi prinsipal IAM Anda agar hanya dapat melakukan panggilan melalui titik akhir VPC dan bukan melalui AWS Clean Rooms internet.
# Access AWS Clean Rooms atau AWS Clean Rooms ML menggunakan endpoint antarmuka ()AWS PrivateLink
Anda dapat menggunakan AWS PrivateLink untuk membuat koneksi pribadi antara virtual private cloud (VPC) dan AWS Clean Rooms atau AWS Clean Rooms ML. Anda dapat mengakses AWS Clean Rooms atau AWS Clean Rooms ML seolah-olah berada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk mengakses. AWS Clean Rooms
Anda membuat koneksi pribadi ini dengan membuat *titik akhir antarmuka*, yang didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda aktifkan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditakdirkan. AWS Clean Rooms
Untuk informasi selengkapnya, lihat [Mengakses Layanan AWS melalui AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) di *Panduan AWS PrivateLink *.
## Pertimbangan untuk AWS Clean Rooms
*Sebelum Anda menyiapkan titik akhir antarmuka AWS Clean Rooms, tinjau [Pertimbangan](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) dalam Panduan.AWS PrivateLink *
AWS Clean Rooms dan dukungan AWS Clean Rooms ML membuat panggilan ke semua tindakan API mereka melalui titik akhir antarmuka.
Kebijakan titik akhir VPC tidak didukung untuk AWS Clean Rooms atau ML. AWS Clean Rooms Secara default, akses penuh ke AWS Clean Rooms dan AWS Clean Rooms ML diizinkan melalui titik akhir antarmuka. Atau, Anda dapat mengaitkan grup keamanan dengan antarmuka jaringan titik akhir untuk mengontrol lalu lintas ke AWS Clean Rooms atau AWS Clean Rooms ML melalui titik akhir antarmuka.
## Buat titik akhir antarmuka untuk AWS Clean Rooms
Anda dapat membuat titik akhir antarmuka untuk AWS Clean Rooms atau AWS Clean Rooms ML menggunakan konsol Amazon VPC atau AWS Command Line Interface ().AWS CLI Untuk informasi selengkapnya, lihat [Membuat titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) di *AWS PrivateLink Panduan*.
Buat titik akhir antarmuka untuk AWS Clean Rooms menggunakan nama layanan berikut.
```
com.amazonaws.region.cleanrooms
```
Buat endpoint antarmuka untuk AWS Clean Rooms ML menggunakan nama layanan berikut.
```
com.amazonaws.region.cleanrooms-ml
```
Jika Anda mengaktifkan DNS pribadi untuk titik akhir antarmuka, Anda dapat membuat permintaan API untuk AWS Clean Rooms menggunakan nama DNS Regional default. Misalnya, `cleanrooms-ml.us-east-1.amazonaws.com`.