Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Comportamenti IAM per i modelli personalizzati Clean Rooms ML
<a name="ml-behaviors-byom"></a>

## Lavori su più account
<a name="ml-behaviors-byom-cross-account-jobs"></a>

Clean Rooms ML consente a determinate risorse associate a una collaborazione creata da uno di Account AWS essere accessibili in modo sicuro nel proprio account da un altro. Account AWS Un client in Account AWS A con la capacità dei membri di eseguire query può chiamare `CreateTrainedModel` o `StartTrainedModelInferenceJob` utilizzare una `ConfiguredModelAlgorithmAssociation` risorsa di proprietà di un altro membro della collaborazione, a condizione che ciò `ConfiguredModelAlgorithmAssociation` sia consentito dalla regola di analisi personalizzata creata con. `CreateMLInputChannel` `CreateConfiguredTableAnalysisRule`

Inoltre, qualsiasi membro attivo di una collaborazione può eliminare i dati associati a un modello addestrato o a un canale di input ML tramite `DeleteTrainedModelOutput` and `DeleteMLInputChannelData` APIs.

## Accesso multi-account
<a name="ml-behaviors-byom-cross-account-access"></a>

Clean Rooms ML consente agli utenti di recuperare i metadati sulle risorse create da altri account tramite e. `GetCollaboration` `ListCollaboration` APIs Clean Rooms ML non rivela la chiave KMS, i tag ARNs, le variabili di ambiente o gli iperparametri (relativi all'`TrainedModel`azione) ad altri account.

## Accesso all'iscrizione e alla collaborazione
<a name="ml-behaviors-byom-membership-collaboration-access"></a>

Quando si accede alle risorse di iscrizione e collaborazione nel contesto dei modelli personalizzati di Clean Rooms ML, la politica di identità di un utente richiede le autorizzazioni `cleanrooms:PassMembership` per le azioni o entrambe. `cleanrooms:PassCollaboration` Tutti coloro APIs che accettano `membershipId` hanno bisogno del `cleanrooms:PassMembership` permesso e tutti quelli APIs che accettano `collaborationId` hanno bisogno del `cleanrooms:PassCollaboration` permesso. Viene fornito un esempio di politica di identità per un ruolo che può chiamare `createTrainedModel` nel contesto di un ID di iscrizione che può chiamare `GetCollaborationTrainedModel` nel contesto di un ID di collaborazione.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCleanroomsMLActions",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:PassCollaboration",
                "cleanrooms:PassMembership"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowMembershipAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetMembership"
            ],
            "Resource": [
                "arn:aws:cleanrooms:us-east-1:111122223333:membership/memberId"
            ]
        },
        {
            "Sid": "AllowCollaborationAccess",
            "Effect": "Allow",
            "Action": [
                "cleanrooms:GetCollaboration"
            ],
            "Resource": [
                "arn:aws:cleanrooms:us-east-1:111122223333:collaboration/collaborationId"
            ]
        }
    ]
}
```

------