Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in AWS Clean Rooms
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo modello come sicurezza del cloud e sicurezza nel cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per ulteriori informazioni sui programmi di conformità applicabili AWS Clean Rooms, consulta [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. Sei anche responsabile di altri fattori, tra cui la riservatezza dei dati, i tuoi requisiti aziendali e le leggi e le normative applicabili
Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa durante l'utilizzo AWS Clean Rooms. Ti mostra come configurare per AWS Clean Rooms soddisfare i tuoi obiettivi di sicurezza e conformità. Imparerai anche a utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere AWS Clean Rooms le tue risorse.
**Topics**
+ [Protezione dei dati](data-protection.md)
+ [Uso di ruoli collegati ai servizi](using-service-linked-roles.md)
+ [Conservazione dei dati](data-retention.md)
+ [Best practice](best-practices.md)
+ [Identity and Access Management](security-iam.md)
+ [Convalida della conformità](SERVICE-compliance.md)
+ [Resilienza](disaster-recovery-resiliency.md)
+ [Sicurezza dell’infrastruttura](infrastructure-security.md)
+ [AWS PrivateLink](vpc-interface-endpoints.md)
# Protezione dei dati in AWS Clean Rooms
Il [modello di responsabilità AWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) di si applica alla protezione dei dati in AWS Clean Rooms. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori AWS Clean Rooms o Servizi AWS utilizzi la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
## Crittografia dei dati a riposo
AWS Clean Rooms crittografa sempre tutti i metadati del servizio inattivi senza richiedere alcuna configurazione aggiuntiva. Questa crittografia è automatica quando si utilizza. AWS Clean Rooms
Clean Rooms ML crittografa tutti i dati archiviati all'interno del servizio in uso con AWS KMS. Se scegli di fornire la tua chiave KMS, i contenuti dei tuoi modelli simili e dei lavori di generazione di segmenti simili vengono crittografati con la tua chiave KMS.
Quando si utilizzano modelli ML AWS Clean Rooms personalizzati, il servizio crittografa tutti i dati archiviati con. AWS KMS AWS Clean Rooms supporta l'uso di chiavi simmetriche gestite dal cliente, create, possedute e gestite dall'utente per crittografare i dati inattivi. Se le chiavi gestite dal cliente non sono specificate, Chiavi di proprietà di AWS vengono utilizzate per impostazione predefinita.
AWS Clean Rooms utilizza concessioni e politiche chiave per accedere alle chiavi gestite dal cliente. Puoi revocare l'accesso alla concessione o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. In caso affermativo, AWS Clean Rooms non sarà possibile accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influirà sulle operazioni che dipendono da tali dati. Ad esempio, se si tenta di creare un modello addestrato da un canale di input ML crittografato a cui non è AWS Clean Rooms possibile accedere, l'operazione restituirà un `ValidationException` errore.
**Nota**
Puoi utilizzare le opzioni di crittografia di Amazon S3 per proteggere i dati archiviati.
Per ulteriori informazioni, consulta [Specificare la crittografia di Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-s3-encryption.html) nella *Amazon S3 User Guide*.
Quando si utilizza una tabella di mappatura degli ID all'interno AWS Clean Rooms, il servizio crittografa tutti i dati archiviati con. AWS KMS Se scegli di fornire la tua chiave KMS, il contenuto della tabella di mappatura degli ID viene crittografato quando è inattivo con la tua chiave KMS via. AWS Entity Resolution*Per maggiori dettagli sulle autorizzazioni necessarie per lavorare con le crittografie con un flusso di lavoro di mappatura degli ID, consulta [Creare un ruolo lavorativo nel flusso di lavoro nella Guida](https://docs.aws.amazon.com/entityresolution/latest/userguide/create-workflow-job-role.html) per l'utente. AWS Entity ResolutionAWS Entity Resolution *
## Crittografia dei dati in transito
AWS Clean Rooms utilizza Transport Layer Security (TLS) per la crittografia in transito. La comunicazione con AWS Clean Rooms avviene sempre tramite HTTPS, quindi i dati sono sempre crittografati in transito, indipendentemente dal fatto che siano archiviati in Amazon S3, Amazon Athena o Snowflake. Ciò include tutti i dati in transito quando si utilizza Clean Rooms ML.
## Crittografia dei dati sottostanti
Per ulteriori informazioni su come crittografare i dati sottostanti, consulta. [Elaborazione crittografica per Clean Rooms](crypto-computing.md)
## Policy della chiave
Le policy della chiave controllano l’accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, è possibile specificare una policy della chiave. Per ulteriori informazioni, consulta Gestire l'accesso alle chiavi gestite dal cliente nella Guida per gli AWS Key Management Service sviluppatori.
Per utilizzare la chiave gestita dal cliente con i modelli ML AWS Clean Rooms personalizzati, le seguenti operazioni API devono essere consentite nella politica chiave:
+ `kms:DescribeKey`— Fornisce i dettagli chiave gestiti dal cliente AWS Clean Rooms per consentire la convalida della chiave.
+ `kms:Decrypt`— Fornisce l'accesso AWS Clean Rooms per decrittografare i dati crittografati e utilizzarli nei lavori correlati.
+ `kms:CreateGrant`- Clean Rooms ML crittografa le immagini di formazione e inferenza inattive in Amazon ECR creando sovvenzioni per Amazon ECR. Per ulteriori informazioni, consulta [Encryption at Rest in Amazon ECR.](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html) Clean Rooms ML utilizza anche Amazon SageMaker AI per eseguire lavori di formazione e inferenza e concede sovvenzioni all' SageMaker intelligenza artificiale per crittografare i volumi Amazon EBS collegati alle istanze e i dati di output in Amazon S3. Per ulteriori informazioni, consulta [Proteggi i dati a riposo utilizzando la crittografia in Amazon SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/encryption-at-rest.html).
+ `kms:GenerateDataKey`- Clean Rooms ML crittografa i dati inattivi archiviati in Amazon S3 utilizzando la crittografia lato server con. AWS KMS keys Per ulteriori informazioni, consulta [Utilizzo della crittografia lato server con AWS KMS keys (SSE-KMS) in Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html).
Di seguito sono riportati alcuni esempi di dichiarazioni politiche che puoi aggiungere per le seguenti risorse: AWS Clean Rooms
**Canale di input ML con dati sintetici**
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow access to principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::666666666666:role/ExampleRole"
},
"Action": [
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"Encrypt",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"CreateGrant",
"DescribeKey",
"RetireGrant",
"GenerateDataKey"
]
},
"BoolIfExists": {
"kms:GrantIsForAWSResource": true
}
}
},
{
"Sid": "Allow describe key for principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::444455556666:role/ExampleRole"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
}
}
},
{
"Sid": "Allow grant operations for AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"Encrypt",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"CreateGrant",
"DescribeKey",
"RetireGrant",
"GenerateDataKey"
]
}
}
},
{
"Sid": "Allow describe key for AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
**Canale di ingresso ML senza dati sintetici**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow access to principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::666666666666:role/ExampleRole"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
}
}
},
{
"Sid": "Allow access to AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
**Lavoro modello addestrato o lavoro di inferenza basato su modelli addestrati**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow grant operations for principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::666666666666:role/ExampleRole"
},
"Action": [
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"Encrypt",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"CreateGrant",
"DescribeKey",
"RetireGrant",
"GenerateDataKey"
]
},
"BoolIfExists": {
"kms:GrantIsForAWSResource": true
}
}
},
{
"Sid": "Allow describe key for principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::444455556666:role/ExampleRole"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
}
}
},
{
"Sid": "Allow grant operations for AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"Encrypt",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"CreateGrant",
"DescribeKey",
"RetireGrant",
"GenerateDataKey"
]
}
}
},
{
"Sid": "Allow describe key for AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
Clean Rooms ML non supporta la specificazione del contesto di crittografia del servizio o del contesto di origine nelle politiche chiave gestite dal cliente. Il contesto di crittografia utilizzato internamente dal servizio è visibile ai clienti in. CloudTrail
# Utilizzo di ruoli collegati ai servizi per AWS Clean Rooms
AWS Clean Rooms utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Clean Rooms I ruoli collegati ai servizi sono predefiniti AWS Clean Rooms e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione AWS Clean Rooms perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Clean Rooms definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS Clean Rooms Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi AWS Clean Rooms le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta [AWS i servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per AWS Clean Rooms
AWS Clean Rooms utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForAWSCleanRooms, per pubblicare le metriche relative alle Camere** CloudWatch pulite nel tuo account. AWS
Il ruolo collegato al servizio AWSService RoleFor AWSClean Rooms prevede che i seguenti servizi assumano il ruolo:
+ `cleanrooms.amazonaws.com`
La politica di autorizzazione dei ruoli denominata AWSClean RoomsServiceRolePolicy consente di AWS Clean Rooms completare le seguenti azioni sulle risorse specificate:
+ Operazione: `cloudwatch:PutMetricData` su `all AWS resources, restricted to the AWS Clean Rooms namespace`
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato al servizio per AWS Clean Rooms
**Puoi utilizzare la console IAM per creare un ruolo collegato al servizio con lo AWSService RoleFor AWSClean use case Rooms.** Nella AWS CLI o nell' AWS API, crea un ruolo collegato al servizio con il nome del servizio. `cleanrooms.amazonaws.com` Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l’utente IAM*. Se elimini il ruolo collegato ai servizi, è possibile utilizzare lo stesso processo per crearlo nuovamente.
## Modifica di un ruolo collegato al servizio per AWS Clean Rooms
AWS Clean Rooms non consente di modificare il ruolo collegato al servizio AWSService RoleFor AWSClean Rooms. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per AWS Clean Rooms
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
[Per eliminare le **AWSServiceRoleForAWSCleanstanze**, devi prima eliminare tutte le [collaborazioni](https://docs.aws.amazon.com/clean-rooms/latest/userguide/delete-collaboration.html) e le iscrizioni presenti nel tuo.](https://docs.aws.amazon.com/clean-rooms/latest/userguide/leave-collab.html) Account AWS
**Nota**
Se il AWS Clean Rooms servizio utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al servizio AWSService RoleFor AWSClean Rooms. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli collegati ai servizi AWS Clean Rooms
AWS Clean Rooms supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per maggiori informazioni, consulta [Regioni ed endpoint di AWS](https://docs.aws.amazon.com/general/latest/gr/clean-rooms.html#clean-rooms_region).
# Conservazione dei dati in AWS Clean Rooms
Tutti i dati che vengono letti temporaneamente in una AWS Clean Rooms collaborazione vengono eliminati dopo il completamento della query.
Quando crei un modello simile, Clean Rooms ML legge i dati di addestramento, li trasforma in un formato adatto al nostro modello ML e memorizza i parametri del modello addestrato all'interno di Clean Rooms ML. Clean Rooms ML non conserva una copia dei dati di allenamento. AWS Clean Rooms Le query SQL non conservano alcun dato dopo l'esecuzione della query. Clean Rooms ML utilizza quindi il modello addestrato per riepilogare il comportamento di tutti gli utenti. Clean Rooms ML memorizza un set di dati a livello utente per ogni utente nei dati per tutto il tempo in cui il modello di somiglianza è attivo.
Quando si avvia un processo di generazione di segmenti simili, Clean Rooms ML legge i dati iniziali, legge i riepiloghi dei comportamenti dal modello di somiglianza associato e crea un segmento simile archiviato all'interno del servizio. AWS Clean Rooms Clean Rooms ML non conserva una copia dei dati iniziali. Clean Rooms ML memorizza l'output a livello utente del lavoro finché il lavoro è attivo.
Se i dati iniziali provengono da una query SQL, l'output di tale query viene archiviato nel servizio solo per la durata del lavoro. I risultati della query vengono crittografati sia quando sono inattivi che in transito.
Se desideri rimuovere i dati relativi al processo di generazione di segmenti simili o al modello simile, utilizza l'API per eliminarli. Clean Rooms ML elimina in modo asincrono tutti i dati associati al modello o al lavoro. Una volta completato questo processo, Clean Rooms ML elimina i metadati per il modello o il lavoro e non sono più visibili nell'API. Clean Rooms ML conserva i dati eliminati per 3 giorni per la prevenzione del disaster recovery. Una volta che il lavoro o il modello non sono più visibili nell'API e sono trascorsi 3 giorni, tutti i dati associati al modello o al lavoro sono stati eliminati definitivamente.
# Le migliori pratiche per la collaborazione sui dati in AWS Clean Rooms
Questo argomento descrive le migliori pratiche per condurre collaborazioni sui dati in. AWS Clean Rooms
AWS Clean Rooms segue il modello di [responsabilitàAWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/). AWS Clean Rooms offre [regole di analisi](analysis-rules.md) che è possibile configurare per rafforzare la capacità di proteggere i dati sensibili in una collaborazione. Le regole di analisi configurate AWS Clean Rooms applicheranno le restrizioni (controlli di query e controlli di output delle query) che avete configurato. Sei responsabile della determinazione delle restrizioni e della configurazione delle regole di analisi di conseguenza.
Le collaborazioni sui dati potrebbero comportare qualcosa di più del semplice utilizzo di. AWS Clean Rooms Per aiutarti a massimizzare i vantaggi delle collaborazioni sui dati, ti consigliamo di eseguire le seguenti best practice utilizzando AWS Clean Rooms e in particolare con le regole di analisi.
**Topics**
+ [Le migliori pratiche con AWS Clean Rooms](#best-practices-with-clean-rooms)
+ [Le migliori pratiche per l'utilizzo delle regole di analisi in AWS Clean Rooms](#best-practices-for-analysis-rules)
## Le migliori pratiche con AWS Clean Rooms
Sei responsabile della valutazione del rischio di ogni collaborazione sui dati e del confronto con i requisiti di privacy, come i programmi e le politiche di conformità esterni e interni. Ti consigliamo di intraprendere azioni aggiuntive con l'utilizzo di AWS Clean Rooms. Queste azioni possono aiutare a gestire ulteriormente i rischi e a prevenire i tentativi di terze parti di identificare nuovamente i dati (ad esempio, attacchi di differenziazione o attacchi su canale laterale).
*Ad esempio, valuta la possibilità di condurre una due diligence sugli altri collaboratori e di stipulare accordi legali con loro prima di avviare una collaborazione.* Per monitorare l'uso dei tuoi dati, prendi in considerazione anche l'adozione di altri meccanismi di controllo che prevedano l'utilizzo di. AWS Clean Rooms
## Le migliori pratiche per l'utilizzo delle regole di analisi in AWS Clean Rooms
Le regole di analisi AWS Clean Rooms consentono di limitare le query che possono essere eseguite impostando i controlli di interrogazione su una tabella configurata. Ad esempio, è possibile impostare un controllo di interrogazione su come unire una tabella configurata e quali colonne possono essere selezionate. È inoltre possibile limitare l'output della query impostando i controlli dei risultati delle query, ad esempio le soglie di aggregazione sulle righe di output. Il servizio rifiuta qualsiasi query e rimuove le righe che non rispettano le regole di analisi impostate dai membri nelle tabelle configurate nella query.
Consigliamo le seguenti *10 best practice* per l'utilizzo delle regole di analisi nella tabella configurata:
+ Crea tabelle configurate separate per casi d'uso di query diversi (ad esempio, pianificazione dell'audience o attribuzione). È possibile creare più tabelle configurate con la stessa AWS Glue tabella sottostante.
+ Specificate le colonne nella regola di analisi (ad esempio, colonne di dimensione, colonne di elenco, colonne di unione) necessarie per le query in una collaborazione. Ciò potrebbe aiutare a mitigare il rischio di attacchi differenziati o consentire ad altri membri di decodificare i dati. Usa la funzionalità **delle colonne consentite** per annotare altre colonne che potresti voler rendere interrogabili in futuro. Per personalizzare le colonne che possono essere utilizzate per una determinata collaborazione, crea tabelle configurate aggiuntive con la stessa tabella sottostante. AWS Glue
+ Specificate nella regola di analisi le funzioni necessarie per l'analisi nella collaborazione. Questo può aiutare a mitigare il rischio derivante da errori funzionali rari che possono presentare informazioni su un singolo punto dati. Per personalizzare le funzioni che possono essere utilizzate per una determinata collaborazione, crea tabelle configurate aggiuntive con la stessa AWS Glue tabella sottostante.
+ Aggiungi vincoli di aggregazione su tutte le colonne i cui valori a livello di riga sono sensibili. Ciò include le colonne della tabella configurata che esistono anche nelle tabelle degli altri membri della collaborazione e nelle regole di analisi come vincolo di aggregazione. Ciò include anche le colonne della tabella configurata che non sono interrogabili, ovvero le colonne che si trovano nella tabella configurata ma non sono incluse nella regola di analisi. I vincoli di aggregazione possono aiutare a mitigare il rischio derivante dalla correlazione dei risultati delle query con i dati esterni alla collaborazione.
+ Crea collaborazioni di test e regole di analisi per testare le restrizioni create con regole di analisi specifiche.
+ Esamina le tabelle configurate dal collaboratore e le regole di analisi dei membri sulle tabelle configurate per verificare che corrispondano a quanto concordato per la collaborazione. Questo può aiutare a mitigare il rischio derivante dall'ingegnerizzazione dei propri dati da parte di altri membri per eseguire query non concordate.
+ Controlla la query di esempio fornita (solo console) che è abilitata nella tabella configurata dopo aver impostato la regola di analisi.
**Nota**
Oltre alla query di esempio fornita, sono possibili altre query basate sulla regola di analisi e su altre tabelle e regole di analisi dei membri della collaborazione.
+ È possibile aggiungere o aggiornare una regola di analisi per una tabella configurata in una collaborazione. Quando lo fai, esamina tutte le collaborazioni a cui è associata la tabella configurata e il relativo impatto. Questo aiuta a garantire che nessuna collaborazione utilizzi regole di analisi obsolete.
+ Esamina le query eseguite nella collaborazione per verificare che corrispondano ai casi d'uso o alle query concordate per la collaborazione. (Le interrogazioni sono disponibili nei log delle interrogazioni quando la funzionalità di **registrazione delle interrogazioni** è attivata.) Questo può aiutare a mitigare il rischio derivante dall'esecuzione di analisi non concordate da parte dei membri e da potenziali attacchi come gli attacchi sui canali laterali.
+ Esamina le colonne della tabella configurate utilizzate nelle regole di analisi dei membri della collaborazione e nelle query per verificare che corrispondano a quanto concordato nella collaborazione. (Le interrogazioni sono disponibili nei registri delle interrogazioni quando tale funzionalità è attivata.) Questo può aiutare a mitigare il rischio derivante dall'ingegnerizzazione dei propri dati da parte di altri membri per eseguire domande non concordate.
# Identity and Access Management per AWS Clean Rooms
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse. AWS Clean Rooms IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security-iam-audience)
+ [Autenticazione con identità](#security-iam-auth-with-identities)
+ [Gestione dell’accesso tramite policy](#security-iam-managing-access)
+ [Come AWS Clean Rooms funziona con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per AWS Clean Rooms](security_iam_id-based-policy-examples.md)
+ [AWS politiche gestite per AWS Clean Rooms](security-iam-awsmanpol.md)
+ [Risoluzione dei problemi di AWS Clean Rooms identità e accesso](security_iam_troubleshoot.md)
+ [Prevenzione del problema "confused deputy" tra servizi](cross-service-confused-deputy-prevention.md)
+ [Comportamenti IAM per AWS Clean Rooms ML](ml-behaviors.md)
+ [Comportamenti IAM per i modelli personalizzati Clean Rooms ML](ml-behaviors-byom.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi di AWS Clean Rooms identità e accesso](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come AWS Clean Rooms funziona con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per AWS Clean Rooms](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi essere *autenticato* (aver effettuato l' Utente root dell'account AWS accesso AWS) come utente IAM o assumendo un ruolo IAM.
Puoi accedere AWS come identità federata utilizzando le credenziali fornite tramite una fonte di identità. AWS IAM Identity Center Gli utenti (IAM Identity Center) o l'autenticazione Single Sign-On della tua azienda sono esempi di identità federate. Se accedi come identità federata, l’amministratore ha configurato in precedenza la federazione delle identità utilizzando i ruoli IAM. Quando accedi AWS utilizzando la federazione, assumi indirettamente un ruolo.
A seconda del tipo di utente, puoi accedere al Console di gestione AWS o al portale di AWS accesso. Per ulteriori informazioni sull'accesso a AWS, vedi [Come accedere al tuo Account AWS nella](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) *Guida per l'Accedi ad AWS utente*.
Se accedi a AWS livello di codice, AWS fornisce un kit di sviluppo software (SDK) e un'interfaccia a riga di comando (CLI) per firmare crittograficamente le tue richieste utilizzando le tue credenziali. Se non utilizzi AWS strumenti, devi firmare tu stesso le richieste. Per ulteriori informazioni sul metodo consigliato per firmare personalmente le richieste, consulta la sezione [Processo di firma con Signature Version 4](https://docs.aws.amazon.com//general/latest/gr/signature-version-4.html) nella *Riferimenti generali di AWS*.
A prescindere dal metodo di autenticazione utilizzato, potrebbe essere necessario specificare ulteriori informazioni sulla sicurezza. Ad esempio, ti AWS consiglia di utilizzare l'autenticazione a più fattori (MFA) per aumentare la sicurezza del tuo account. Per ulteriori informazioni, consulta [Autenticazione a più fattori](https://docs.aws.amazon.com//singlesignon/latest/userguide/enable-mfa.html) nella *Guida per l'utente di AWS IAM Identity Center *e [Utilizzo dell'autenticazione a più fattori (MFA) in AWS](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_mfa.html)nella *Guida per l'utente IAM*.
### Account AWS utente root
Quando si crea un account Account AWS, si inizia con un'identità di accesso che ha accesso completo a tutte Servizi AWS le risorse dell'account. Tale identità è detta *utente root* Account AWS ed è possibile accedervi con l’indirizzo e-mail e la password utilizzati per creare l’account. È vivamente consigliato di non utilizzare l'utente root per le attività quotidiane. Conserva le credenziali dell'utente root e utilizzale per eseguire le operazioni che solo l'utente root può eseguire. Per l'elenco completo delle attività che richiedono l'accesso come utente root, consulta [Utente root dell'account AWS le credenziali e le identità IAM](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html#aws_tasks-that-require-root) in. *Riferimenti generali di AWS*
### Identità federata
Come best practice, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy è un oggetto AWS che, se associato a un'identità o a una risorsa, ne definisce le autorizzazioni. AWS valuta queste politiche quando un principale (utente, utente root o sessione di ruolo) effettua una richiesta. Le autorizzazioni nelle policy determinano l’approvazione o il rifiuto della richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sulla struttura e sui contenuti dei documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente di IAM*.
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. Cioè, quale **principale** può eseguire **azioni** su quali **risorse**, e in quali **condizioni**.
Ogni entità IAM (utente o ruolo) inizialmente non dispone di autorizzazioni. Di default, gli utenti non possono eseguire alcuna operazione, neppure modificare la propria password. Per autorizzare un utente a eseguire operazioni, un amministratore deve allegare una policy di autorizzazioni a tale utente. In alternativa, l’amministratore può aggiungere l’utente a un gruppo che dispone delle autorizzazioni desiderate. Quando un amministratore fornisce le autorizzazioni a un gruppo, le autorizzazioni vengono concesse a tutti gli utenti in tale gruppo.
Le policy IAM definiscono le autorizzazioni relative a un’operazione, indipendentemente dal metodo utilizzato per eseguirla. Ad esempio, supponiamo di disporre di una policy che consente l’operazione `iam:GetRole`. Un utente con tale policy può ottenere informazioni sul ruolo dall' Console di gestione AWS AWS CLI, dall'o dall' AWS API.
### Policy basate sull’identità
Le policy basate sull’identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un’identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Le policy basate sull’identità possono essere ulteriormente classificate come *policy inline* o *policy gestite*. Le policy inline sono integrate direttamente in un singolo utente, gruppo o ruolo. Le policy gestite sono policy autonome che possono essere collegate a più utenti, gruppi e ruoli in Account AWS. Le politiche AWS gestite includono politiche gestite e politiche gestite dai clienti. Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scelta fra policy gestite e policy inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline) nella *Guida per l'utente IAM*.
### Policy basate su risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non puoi utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi e meno comuni. Questi tipi di policy possono impostare il numero massimo di autorizzazioni concesse dai più tipi di policy comuni.
+ **Limiti delle autorizzazioni** - Un limite delle autorizzazioni è una funzionalità avanzata nella quale si imposta il numero massimo di autorizzazioni che una policy basata su identità può concedere a un’entità IAM (utente o ruolo IAM). È possibile impostare un limite delle autorizzazioni per un'entità. Le autorizzazioni risultanti sono l'intersezione delle policy basate su identità dell'entità e i suoi limiti delle autorizzazioni. Le policy basate su risorse che specificano l'utente o il ruolo nel campo `Principal` sono condizionate dal limite delle autorizzazioni. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l’autorizzazione. Per maggiori informazioni sui limiti delle autorizzazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: SCPs sono politiche JSON che specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa (OU) in. AWS Organizations AWS Organizations è un servizio per il raggruppamento e la gestione centralizzata di più di proprietà dell' Account AWS azienda. Se abiliti tutte le funzionalità di un'organizzazione, puoi applicare le politiche di controllo del servizio (SCPs) a uno o tutti i tuoi account. L'SCP limita le autorizzazioni per le entità presenti negli account dei membri, inclusa ciascuna di esse. Utente root dell'account AWS Per ulteriori informazioni su Organizations and SCPs, consulta [How SCPs work](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html) nella *AWS Organizations User Guide*.
+ **Policy di sessione** - Le policy di sessione sono policy avanzate che vengono trasmesse come parametro quando si crea in modo programmatico una sessione temporanea per un ruolo o un utente federato. Le autorizzazioni della sessione risultante sono l’intersezione delle policy basate sull’identità del ruolo o dell’utente e le policy di sessione. Le autorizzazioni possono anche provenire da una policy basata su risorse. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l’autorizzazione. Per ulteriori informazioni, consulta [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come AWS Clean Rooms funziona con IAM
Prima di utilizzare IAM per gestire l'accesso a AWS Clean Rooms, scopri con quali funzionalità IAM è disponibile l'uso AWS Clean Rooms.
**Funzionalità IAM che puoi utilizzare con AWS Clean Rooms**
| Funzionalità IAM | AWS Clean Rooms supporto |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | Parziale |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione della policy (specifica del servizio)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Parziale |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Sì |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Inoltro delle sessioni di accesso (FAS)](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | Sì |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | No |
Per avere una panoramica generale di come AWS Clean Rooms e altri Servizi AWS utilizzi la maggior parte delle funzionalità IAM, consulta la sezione dedicata alla [Servizi AWS compatibilità con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Politiche basate sull'identità per AWS Clean Rooms
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di politiche basate sull'identità per AWS Clean Rooms
Per visualizzare esempi di politiche basate sull' AWS Clean Rooms identità, vedere. [Esempi di policy basate sull'identità per AWS Clean Rooms](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno AWS Clean Rooms
**Supporta le policy basate su risorse:** parziale
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
Il AWS Clean Rooms servizio supporta solo un tipo di policy basata sulle risorse, denominata policy *gestita delle risorse con modello simile configurato, collegata a un modello simile* configurato. Questa politica definisce quali principali possono eseguire azioni sul modello di somiglianza configurato.
Per informazioni su come collegare una policy basata sulle risorse a un modello simile configurato, consulta. **[Comportamenti IAM per AWS Clean Rooms ML](ml-behaviors.md)**
## Azioni politiche per AWS Clean Rooms
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco di AWS Clean Rooms azioni, vedere [Azioni definite da AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscleanrooms.html) nel *Service Authorization* Reference.
Le azioni politiche in AWS Clean Rooms uso utilizzano il seguente prefisso prima dell'azione.
```
cleanrooms
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"cleanrooms:action1",
"cleanrooms:action2"
]
```
Per visualizzare esempi di politiche AWS Clean Rooms basate sull'identità, vedere. [Esempi di policy basate sull'identità per AWS Clean Rooms](security_iam_id-based-policy-examples.md)
## Risorse politiche per AWS Clean Rooms
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di AWS Clean Rooms risorse e relativi ARNs, vedere [Resources defined by AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-resources-for-iam-policies) nel *Service Authorization* Reference. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta la sezione [Operazioni definite da AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).
Per visualizzare esempi di politiche AWS Clean Rooms basate sull'identità, vedere. [Esempi di policy basate sull'identità per AWS Clean Rooms](security_iam_id-based-policy-examples.md)
## Chiavi relative alle condizioni delle politiche per AWS Clean Rooms
**Supporta le chiavi delle condizioni delle politiche specifiche del servizio**: parziale
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per scoprire come AWS Clean Rooms ML utilizza le chiavi delle condizioni delle policy, consulta **[Comportamenti IAM per AWS Clean Rooms ML](ml-behaviors.md)**.
## ACLs in AWS Clean Rooms
**Supporti ACLs:** No
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## ABAC con AWS Clean Rooms
**Supporta ABAC (tag nelle policy):** sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
## Utilizzo di credenziali temporanee con AWS Clean Rooms
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Sessioni di accesso diretto per AWS Clean Rooms
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale chiamante an Servizio AWS, combinate con la richiesta di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per AWS Clean Rooms
**Supporta i ruoli di servizio:** sì
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe compromettere AWS Clean Rooms la funzionalità. Modifica i ruoli di servizio solo quando viene AWS Clean Rooms fornita una guida in tal senso.
## Ruoli collegati ai servizi per AWS Clean Rooms
**Supporta i ruoli collegati ai servizi:** no
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
# Esempi di policy basate sull'identità per AWS Clean Rooms
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse AWS Clean Rooms . Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da AWS Clean Rooms, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione AWS Clean Rooms nel *Service* Authorization](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html) Reference.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console AWS Clean Rooms](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare AWS Clean Rooms risorse nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console AWS Clean Rooms
Per accedere alla AWS Clean Rooms console, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle AWS Clean Rooms risorse del tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano ancora utilizzare la AWS Clean Rooms console, allega anche la policy AWS Clean Rooms `FullAccess` o la policy `ReadOnly` AWS gestita alle entità. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS politiche gestite per AWS Clean Rooms
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: `AWSCleanRoomsReadOnlyAccess`
Puoi collegarti `AWSCleanRoomsReadOnlyAccess` ai tuoi principi IAM.
Questa policy concede autorizzazioni di sola lettura alle risorse e ai metadati in una collaborazione. `AWSCleanRoomsReadOnlyAccess`
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `CleanRoomsRead`— Consente ai principali l'accesso in sola lettura al servizio.
+ `ConsoleDisplayTables`— Consente ai principali di accedere in sola lettura ai AWS Glue metadati necessari per mostrare i dati sulle tabelle sottostanti sulla console. AWS Glue
+ `ConsoleLogSummaryQueryLogs`— Consente ai responsabili di visualizzare i log delle interrogazioni.
+ `ConsoleLogSummaryObtainLogs`— Consente ai responsabili di recuperare i risultati del registro.
Per un elenco in JSON dei dettagli della policy, consulta la *AWS Managed Policy [AWSCleanRoomsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsReadOnlyAccess.html)*Reference Guide.
## AWS politica gestita: `AWSCleanRoomsFullAccess`
Puoi collegarti `AWSCleanRoomsFullAccess` ai tuoi principi IAM.
Questa policy concede autorizzazioni amministrative che consentono l'accesso completo (lettura, scrittura e aggiornamento) alle risorse e ai metadati in una collaborazione. AWS Clean Rooms Questa politica include l'accesso per eseguire interrogazioni.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `CleanRoomsAccess`— Garantisce l'accesso completo a tutte le azioni su tutte le risorse per. AWS Clean Rooms
+ `PassServiceRole`— Concede l'accesso per assegnare un ruolo di servizio solo al servizio (`PassedToService`condizione) che ha "cleanrooms" nel nome.
+ `ListRolesToPickServiceRole`— Consente ai responsabili di elencare tutti i loro ruoli per poter scegliere un ruolo di servizio durante l'utilizzo. AWS Clean Rooms
+ `GetRoleAndListRolePoliciesToInspectServiceRole`— Consente ai dirigenti di visualizzare il ruolo del servizio e la politica corrispondente in IAM.
+ `ListPoliciesToInspectServiceRolePolicy`— Consente ai dirigenti di visualizzare il ruolo del servizio e la politica corrispondente in IAM.
+ `GetPolicyToInspectServiceRolePolicy`— Consente ai dirigenti di visualizzare il ruolo del servizio e la politica corrispondente in IAM.
+ `ConsoleDisplayTables`— Consente ai principali di accedere in sola lettura ai AWS Glue metadati necessari per mostrare i dati sulle tabelle sottostanti AWS Glue sulla console.
+ `ConsolePickQueryResultsBucketListAll`— Consente ai mandanti di scegliere un bucket Amazon S3 da un elenco di tutti i bucket S3 disponibili in cui vengono scritti i risultati delle query.
+ `SetQueryResultsBucket`— Consente ai responsabili di scegliere un bucket S3 in cui scrivere i risultati delle query.
+ `ConsoleDisplayQueryResults`— Consente ai responsabili di mostrare al cliente i risultati delle query, letti dal bucket S3.
+ `WriteQueryResults`— Consente ai responsabili di scrivere i risultati della query in un bucket S3 di proprietà del cliente.
+ `EstablishLogDeliveries`— Consente ai responsabili di inviare i log delle query al gruppo di log Amazon CloudWatch Logs di un cliente.
+ `SetupLogGroupsDescribe`— Consente ai mandanti di utilizzare il processo di creazione dei gruppi di log di Amazon CloudWatch Logs.
+ `SetupLogGroupsCreate`— Consente ai mandanti di creare un gruppo di CloudWatch log Amazon Logs.
+ `SetupLogGroupsResourcePolicy`— Consente ai responsabili di impostare una politica delle risorse sul gruppo di log di Amazon CloudWatch Logs.
+ `ConsoleLogSummaryQueryLogs`— Consente ai responsabili di visualizzare i log delle query.
+ `ConsoleLogSummaryObtainLogs`— Consente ai responsabili di recuperare i risultati del registro.
Per un elenco in JSON dei dettagli della policy, consulta la *AWS Managed Policy [AWSCleanRoomsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsFullAccess.html)*Reference Guide.
## AWS politica gestita: `AWSCleanRoomsFullAccessNoQuerying`
Puoi allegare `AWSCleanRoomsFullAccessNoQuerying` al tuoIAM principals.
Questa politica concede autorizzazioni amministrative che consentono l'accesso completo (lettura, scrittura e aggiornamento) alle risorse e ai metadati in una collaborazione. AWS Clean Rooms Questa politica esclude l'accesso per eseguire interrogazioni.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `CleanRoomsAccess`— Garantisce l'accesso completo a tutte le azioni su tutte le risorse AWS Clean Rooms, ad eccezione delle interrogazioni nelle collaborazioni.
+ `CleanRoomsNoQuerying`— Nega `StartProtectedQuery` esplicitamente e impedisce l'interrogazione. `UpdateProtectedQuery`
+ `PassServiceRole`— Concede l'accesso per trasferire un ruolo di servizio solo al servizio (`PassedToService`condizione) che ha "cleanrooms" nel nome.
+ `ListRolesToPickServiceRole`— Consente ai responsabili di elencare tutti i loro ruoli per poter scegliere un ruolo di servizio durante l'utilizzo. AWS Clean Rooms
+ `GetRoleAndListRolePoliciesToInspectServiceRole`— Consente ai dirigenti di visualizzare il ruolo del servizio e la politica corrispondente in IAM.
+ `ListPoliciesToInspectServiceRolePolicy`— Consente ai dirigenti di visualizzare il ruolo del servizio e la politica corrispondente in IAM.
+ `GetPolicyToInspectServiceRolePolicy`— Consente ai dirigenti di visualizzare il ruolo del servizio e la politica corrispondente in IAM.
+ `ConsoleDisplayTables`— Consente ai principali di accedere in sola lettura ai AWS Glue metadati necessari per mostrare i dati sulle tabelle sottostanti AWS Glue sulla console.
+ `EstablishLogDeliveries`— Consente ai responsabili di inviare i log delle query al gruppo di log Amazon CloudWatch Logs di un cliente.
+ `SetupLogGroupsDescribe`— Consente ai mandanti di utilizzare il processo di creazione dei gruppi di log di Amazon CloudWatch Logs.
+ `SetupLogGroupsCreate`— Consente ai mandanti di creare un gruppo di CloudWatch log Amazon Logs.
+ `SetupLogGroupsResourcePolicy`— Consente ai responsabili di impostare una politica delle risorse sul gruppo di log di Amazon CloudWatch Logs.
+ `ConsoleLogSummaryQueryLogs`— Consente ai responsabili di visualizzare i log delle query.
+ `ConsoleLogSummaryObtainLogs`— Consente ai responsabili di recuperare i risultati del registro.
+ `cleanrooms`— Gestisci collaborazioni, modelli di analisi, tabelle configurate, appartenenze e risorse associate all'interno del servizio. AWS Clean Rooms Esegui varie operazioni come la creazione, l'aggiornamento, l'eliminazione, l'elenco e il recupero di informazioni su queste risorse.
+ `iam`— Passare ruoli di servizio con nomi contenenti "`cleanrooms`" al servizio. AWS Clean Rooms Elenca i ruoli e le politiche e analizza i ruoli di servizio e le politiche relative al AWS Clean Rooms servizio.
+ `glue`— Recupera informazioni su database, tabelle, partizioni e schemi da. AWS Glue Ciò è necessario per consentire al AWS Clean Rooms servizio di visualizzare e interagire con le fonti di dati sottostanti.
+ `logs`— Gestisci le consegne dei log, i gruppi di log e le politiche delle risorse per CloudWatch Logs. Interroga e recupera i log relativi al servizio. AWS Clean Rooms Queste autorizzazioni sono necessarie per scopi di monitoraggio, controllo e risoluzione dei problemi all'interno del servizio.
La politica nega inoltre esplicitamente le azioni `cleanrooms:StartProtectedQuery` e impedisce `cleanrooms:UpdateProtectedQuery` agli utenti di eseguire o aggiornare direttamente le query protette, operazione che dovrebbe avvenire attraverso i meccanismi controllati. AWS Clean Rooms
Per un elenco in JSON dei dettagli della policy, consulta la *AWS Managed* Policy [AWSCleanRoomsFullAccessNoQuerying](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsFullAccessNoQuerying.html)Reference Guide.
## AWS politica gestita: `AWSCleanRoomsMLReadOnlyAccess`
Puoi collegarti `AWSCleanRoomsMLReadOnlyAccess` ai tuoi principi IAM.
Questa policy concede autorizzazioni di sola lettura alle risorse e ai metadati in una collaborazione. `AWSCleanRoomsMLReadOnlyAccess`
Questa policy include le seguenti autorizzazioni:
+ `CleanRoomsConsoleNavigation`— Concede l'accesso alla visualizzazione delle schermate della console. AWS Clean Rooms
+ `CleanRoomsMLRead`— Consente ai principali l'accesso in sola lettura al servizio Clean Rooms ML.
+ `PassCleanRoomsResources`— Garantisce l'accesso a risorse specifiche. AWS Clean Rooms
Per un elenco in JSON dei dettagli della policy, consulta [AWSCleanRooms MLRead OnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsMLReadOnlyAccess.html) nella *AWS Managed Policy Reference Guide*.
## AWS politica gestita: `AWSCleanRoomsMLFullAccess`
Puoi collegarti `AWSCleanRoomsMLFullAcces` ai tuoi principi IAM. Questa politica concede autorizzazioni amministrative che consentono l'accesso completo (lettura, scrittura e aggiornamento) alle risorse e ai metadati necessari a Clean Rooms ML.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `CleanRoomsMLFullAccess`— Concede l'accesso a tutte le azioni di Clean Rooms ML.
+ `PassServiceRole`— Concede l'accesso per assegnare un ruolo di servizio solo al servizio (`PassedToService`condizione) che ha "cleanrooms-ml" nel nome.
+ `CleanRoomsConsoleNavigation`— Garantisce l'accesso alla visualizzazione delle schermate della AWS Clean Rooms console.
+ `CollaborationMembershipCheck`— Quando si avvia un lavoro di generazione di audience (segmento lookalike) all'interno di una collaborazione, il servizio Clean Rooms ML chiama `ListMembers` per verificare che la collaborazione sia valida, che il chiamante sia un membro attivo e che il proprietario del modello di pubblico configurato sia un membro attivo. Questa autorizzazione è sempre richiesta; il SID di navigazione della console è richiesto solo per gli utenti della console.
+ `PassCleanRoomsResources`— Concede l'accesso a risorse specifiche AWS Clean Rooms di Pass.
+ `AssociateModels`— Consente ai responsabili di associare un modello Clean Rooms ML alla collaborazione dell'utente.
+ `TagAssociations`— Consente ai responsabili di aggiungere tag all'associazione tra un modello simile e una collaborazione.
+ `ListRolesToPickServiceRole`— Consente ai dirigenti di elencare tutti i loro ruoli per poter scegliere un ruolo di servizio durante l'utilizzo. AWS Clean Rooms
+ `GetRoleAndListRolePoliciesToInspectServiceRole`— Consente ai dirigenti di visualizzare il ruolo del servizio e la politica corrispondente in IAM.
+ `ListPoliciesToInspectServiceRolePolicy`— Consente ai dirigenti di visualizzare il ruolo del servizio e la politica corrispondente in IAM.
+ `GetPolicyToInspectServiceRolePolicy`— Consente ai dirigenti di visualizzare il ruolo del servizio e la politica corrispondente in IAM.
+ `ConsoleDisplayTables`— Consente ai principali di accedere in sola lettura ai AWS Glue metadati necessari per mostrare i dati sulle tabelle sottostanti AWS Glue sulla console.
+ `ConsolePickOutputBucket`— Consente ai mandanti di selezionare i bucket Amazon S3 per gli output del modello di audience configurato.
+ `ConsolePickS3Location`— Consente ai mandanti di selezionare la posizione all'interno di un bucket per gli output del modello di audience configurato.
+ `ConsoleDescribeECRRepositories`— Consente ai responsabili di descrivere i repository e le immagini di Amazon ECR.
Per un elenco in JSON dei dettagli della policy, consulta [AWSCleanRooms MLFull Access](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsMLFullAccess.html) nella *AWS Managed* Policy Reference Guide.
## AWS Clean Rooms aggiornamenti alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite AWS Clean Rooms da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei AWS Clean Rooms documenti.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery)— Aggiornamento alla politica esistente | Camere bianche aggiunte: UpdateConfiguredTableAllowedColumns e camere bianche: UpdateConfiguredTableReference a. CleanRoomsAccess | 29 luglio 2025 |
| [AWSCleanRoomsMLReadOnlyAccess](#ml-read-only): aggiornamento a policy esistente | Aggiunto PassCleanRoomsResources a AWSCleanRoomsMLReadOnlyAccess. Aggiunti PassCleanRoomsResources e ConsoleDescribeECRRepositories a AWSCleanRoomsMLFullAccess. | 10 gennaio 2025 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery): aggiornamento a policy esistente | Aggiunto cleanrooms:BatchGetSchemaAnalysisRule a CleanRoomsAccess. | 13 maggio 2024 |
| [AWSCleanRoomsFullAccess](#security-iam-awsmanpol-fullaccess): aggiornamento a policy esistente | L'ID dello Statement è stato aggiornato AWSCleanRoomsFullAccess dal ConsolePickQueryResultsBucket al SetQueryResultsBucket in questo criterio per rappresentare meglio le autorizzazioni, poiché le autorizzazioni sono necessarie per impostare il bucket dei risultati delle query con e senza la console. | 21 marzo 2024 |
| [AWSCleanRoomsMLReadOnlyAccess](#ml-read-only): nuova policy [AWSCleanRoomsMLFullAccess](#ml-full-access): nuova policy | Aggiunto AWSCleanRoomsMLReadOnlyAccess e AWSCleanRoomsMLFullAccess per supportare AWS Clean Rooms ML. | 29 novembre 2023 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery): aggiornamento a policy esistente | Aggiunto cleanrooms:CreateAnalysisTemplatecleanrooms:GetAnalysisTemplate,cleanrooms:UpdateAnalysisTemplate,, cleanrooms:DeleteAnalysisTemplate,cleanrooms:ListAnalysisTemplates, cleanrooms:GetCollaborationAnalysisTemplatecleanrooms:BatchGetCollaborationAnalysisTemplate, e cleanrooms:ListCollaborationAnalysisTemplates a per CleanRoomsAccess abilitare la nuova funzionalità dei modelli di analisi. | 31 luglio 2023 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery): aggiornamento a policy esistente | Aggiunto cleanrooms:ListTagsForResourcecleanrooms:UntagResource, e cleanrooms:TagResource per CleanRoomsAccess abilitare l'etichettatura delle risorse. | 21 marzo 2023 |
| AWS Clean Rooms ha iniziato a tenere traccia delle modifiche | AWS Clean Rooms ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 12 gennaio 2023 |
# Risoluzione dei problemi di AWS Clean Rooms identità e accesso
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con AWS Clean Rooms un IAM.
**Topics**
+ [Non sono autorizzato a eseguire alcuna azione in AWS Clean Rooms](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie AWS Clean Rooms risorse](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire alcuna azione in AWS Clean Rooms
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L'errore di esempio seguente si verifica quando l'utente `mateojackson` IAM prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `cleanrooms:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cleanrooms:GetWidget on resource: my-example-widget
```
In questo caso, la policy deve essere aggiornata in modo che Mateo possa accedere alla risorsa `my-example-widget` mediante l'operazione `cleanrooms:GetWidget`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un errore che indica che non sei autorizzato a eseguire l'operazione `iam:PassRole`, le tue policy devono essere aggiornate per poter passare un ruolo a AWS Clean Rooms.
Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
L'errore di esempio seguente si verifica quando un utente IAM denominato `marymajor` cerca di utilizzare la console per eseguire un'operazione in AWS Clean Rooms. Tuttavia, l'operazione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie AWS Clean Rooms risorse
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se AWS Clean Rooms supporta queste funzionalità, consulta[Come AWS Clean Rooms funziona con IAM](security_iam_service-with-iam.md).
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l’accesso tramite la federazione delle identità, consulta [Fornire l’accesso a utenti autenticati esternamente (Federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l’utente IAM*.
+ Per informazioni sulle differenze tra l'utilizzo di ruoli e policy basate su risorse per l'accesso multi-account, consulta [Differenza tra i ruoli IAM e le policy basate su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) nella *Guida per l'utente IAM*.
# Prevenzione del problema "confused deputy" tra servizi
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione tra servizi può causare il problema del sostituto confuso. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse dell’account.
Si consiglia di utilizzare le chiavi di contesto della condizione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)globale nelle politiche delle risorse per limitare le autorizzazioni che AWSClean Rooms forniscono un altro servizio alla risorsa. Utilizzare `aws:SourceArn` se si desidera consentire l’associazione di una sola risorsa all’accesso tra servizi.
Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale `aws:SourceArn` con l’ARN completo della risorsa. Inoltre AWSClean Rooms, devi anche confrontarlo con la chiave di `sts:ExternalId` condizione.
Il valore di `aws:SourceArn` deve essere impostato sull'ARN dell'appartenenza al ruolo assunto.
L'esempio seguente mostra come utilizzare la chiave `aws:SourceArn` global condition context AWSClean Rooms per evitare il confuso problema del vice.
**Nota**
La politica di esempio si applica alla politica di attendibilità del ruolo di servizio che AWS Clean Rooms utilizza per accedere ai dati e ai metadati per una tabella configurata.
Il valore di ** deve essere impostato sull'ID di appartenenza del Query Runner.
Tutti i membri della collaborazione possono visualizzare i metadati della tabella configurata, pertanto ogni ARN di appartenenza deve essere incluso nell'elenco dei membri. ARNs
**Nota**
Quando un ruolo di servizio viene creato tramite la AWS Clean Rooms console, per impostazione predefinita tutti i membri attuali della collaborazione sono inclusi nella confusa condizione sostitutiva.
Se stai aggiungendo nuovi membri a una collaborazione a cui sono già associate tabelle configurate, assicurati di aggiornare la confusa condizione di vice del ruolo di servizio con l'ARN di appartenenza del nuovo membro.
Se non aggiorni la confusa condizione di assistente del tuo ruolo di servizio dopo aver aggiunto un nuovo membro, quel nuovo membro non sarà in grado di accedere alle informazioni recuperate utilizzando quel ruolo. AWS Clean Rooms
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowIfExternalIdMatches",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringLike": {
"sts:ExternalId": "arn:aws:*:us-east-1:*:dbuser:*/*"
}
}
},
{
"Sid": "AllowIfSourceArnMatches",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ForAnyValue:ArnEquals": {
"aws:SourceArn": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/",
"arn:aws:cleanrooms:us-east-1:444455556666:membership/"
]
}
}
}
]
}
```
------
# Comportamenti IAM per AWS Clean Rooms ML
## Lavori su più account
Clean Rooms ML consente a determinate risorse create da uno di Account AWS essere accessibili in modo sicuro nel proprio account da un altro. Account AWS Quando un cliente in A richiama Account AWS `StartAudienceGenerationJob` una `ConfiguredAudienceModel` risorsa di proprietà di Account AWS B, Clean Rooms ML ne crea due ARNs per il lavoro. Un ARN in A e Account AWS un altro in B. Account AWS ARNs Sono identici tranne che per loro Account AWS.
Clean Rooms ML ne crea due ARNs per il job per garantire che entrambi gli account possano applicare le proprie politiche IAM ai lavori. Ad esempio, entrambi gli account possono utilizzare il controllo degli accessi basato su tag e applicare le politiche della propria AWS organizzazione. Il job elabora i dati di entrambi gli account, in modo che entrambi gli account possano eliminare il lavoro e i dati associati. Nessuno degli account può impedire all'altro account di eliminare il lavoro.
Esiste una sola esecuzione del lavoro ed entrambi gli account possono vedere il lavoro quando `ListAudienceGenerationJobs` chiamano. Entrambi gli account possono chiamare `Get``Delete`, e `Export` APIs sul posto di lavoro utilizzando l'ARN con il proprio ID. Account AWS
Nessuno dei due Account AWS può accedere al lavoro quando si utilizza un ARN con l'altro Account AWS ID.
Il nome del lavoro deve essere univoco all'interno di un Account AWS. Il nome in Account AWS B è*\$1accountA-\$1name*. Il nome scelto da Account AWS A è preceduto da Account AWS A quando il lavoro viene visualizzato in B. Account AWS
Affinché un account `StartAudienceGenerationJob` incrociato abbia successo, Account AWS B deve consentire tale azione sia sul nuovo lavoro in Account AWS B che su quello `ConfiguredAudienceModel` in Account AWS B utilizzando una politica delle risorse simile all'esempio seguente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Clean-Rooms-CAMA-ID",
"Effect": "Allow",
"Principal": {
"AWS": [
"111122223333"
]
},
"Action": [
"cleanrooms-ml:StartAudienceGenerationJob"
],
"Resource": [
"arn:aws:cleanrooms-ml:us-east-1:444455556666:configured-audience-model/id",
"arn:aws:cleanrooms-ml:us-east-1:444455556666:audience-generation-job/*"
],
"Condition":{"StringEquals":{"cleanrooms-ml:CollaborationId":"UUID"}}
}
]
}
```
------
**Nota**
Questa politica sulle risorse di AWS Clean Rooms machine learning fa riferimento a due diverse politiche Account AWS IDs per supportare la generazione di audience tra account:
**111122223333**: questo è l'account che contiene il principale (utente, ruolo o servizio) autorizzato ad avviare lavori di generazione di audience. Questo account avvia il flusso di lavoro di elaborazione ML.
**444455556666**: questo è l'account che possiede le risorse AWS Clean Rooms ML (il modello di audience configurato e i processi di generazione dell'audience). Questo account ospita i modelli ML e gestisce l'esecuzione del lavoro.
**Note di configurazione aggiuntive:**
**Statement ID (Sid)**: sostituiscilo `CAMA-ID` con l'attuale identificatore AWS Clean Rooms Audience Model Application (CAMA) per rendere la dichiarazione politica facilmente identificabile.
**Risorsa IDs**: *id* sostituiscila con l'ID effettivo del modello di audience configurato e *UUID* con il tuo ID di collaborazione specifico.
**Condizione**: la `cleanrooms-ml:CollaborationId` condizione garantisce che i lavori di generazione di audience possano essere avviati solo nel contesto della AWS Clean Rooms collaborazione specificata, fornendo un ulteriore limite di sicurezza.
Questa configurazione tra account consente scenari in cui un'organizzazione gestisce i modelli e l'infrastruttura ML, consentendo al contempo ai partner autorizzati di avviare processi di generazione del pubblico entro i limiti del loro accordo di collaborazione.
Se utilizzi l'[API ML di AWS Clean Rooms](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/Welcome.html) per creare un modello simile configurato con `manageResourcePolicies` set to true, AWS Clean Rooms crea questa policy per te.
Inoltre, la policy di identità del chiamante in Account AWS A richiede `StartAudienceGenerationJob` l'autorizzazione. `arn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/*` Quindi ci sono tre risorse IAM per l'azione`StartAudienceGenerationJob`: il lavoro Account AWS A, il lavoro Account AWS B e il lavoro Account AWS B. `ConfiguredAudienceModel`
**avvertimento**
L'utente Account AWS che ha avviato il lavoro riceve un evento del registro di AWS CloudTrail controllo relativo al lavoro. Il proprietario Account AWS di `ConfiguredAudienceModel` non riceve un evento del registro di AWS CloudTrail controllo.
## Etichettare i lavori
Quando imposti il `childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE` parametro di`CreateConfiguredAudienceModel`, tutti i lavori di generazione di segmenti simili all'interno del tuo account e creati a partire da quel modello di somiglianza configurato hanno per impostazione predefinita gli stessi tag del modello di somiglianza configurato. Il modello di somiglianza configurato è il genitore e il processo di generazione di segmenti simili è il processo secondario.
Se stai creando un lavoro all'interno del tuo account, i tag di richiesta del lavoro sostituiscono i tag principali. Le offerte di lavoro create da altri account non creano mai tag nel tuo account. Se imposti `childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE` e un altro account crea un lavoro, ci sono due copie del lavoro. La copia nel tuo account contiene i tag delle risorse principali e la copia nell'account di chi ha inviato il lavoro contiene i tag della richiesta.
## Convalida dei collaboratori
Quando si concedono le autorizzazioni ad altri membri di una AWS Clean Rooms collaborazione, la politica delle risorse deve includere la chiave condizionale. `cleanrooms-ml:CollaborationId` Ciò impone che il `collaborationId` parametro sia incluso nella richiesta. [StartAudienceGenerationJob](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_StartAudienceGenerationJob.html) Quando il `collaborationId` parametro è incluso nella richiesta, Clean Rooms ML verifica che la collaborazione esista, chi ha inviato il lavoro sia un membro attivo della collaborazione e il proprietario del modello simile configurato sia un membro attivo della collaborazione.
Quando si AWS Clean Rooms gestisce la politica delle risorse del modello Lookalike configurata (il `manageResourcePolicies` parametro è [CreateConfiguredAudienceModelAssociation richiesto](https://docs.aws.amazon.com/clean-rooms/latest/apireference/API_CreateConfiguredAudienceModelAssociation.html)), questa chiave di condizione verrà impostata `TRUE` nella politica delle risorse. Pertanto, è necessario specificare il `collaborationId` in. [StartAudienceGenerationJob](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_StartAudienceGenerationJob.html)
## Accesso multi-account
`StartAudienceGenerationJob`Può essere chiamato solo da un account all'altro. Tutti gli altri Clean Rooms ML APIs possono essere utilizzati solo con le risorse del proprio account. Ciò garantisce che i dati di allenamento, la configurazione del modello simile e altre informazioni rimangano private.
Clean Rooms ML non rivela mai Amazon S3 o AWS Glue le posizioni tra gli account. La posizione dei dati di formazione, la posizione di output del modello Lookalike configurato e la posizione iniziale per la generazione di segmenti simili non sono mai visibili su tutti gli account. A meno che la registrazione delle query non sia abilitata nella collaborazione, il fatto che i dati iniziali provengano da una query SQL e la query stessa non sono visibili su tutti gli account. Se si tratta di `Get` un lavoro di generazione di audience inviato da un altro account, il servizio non mostra la posizione iniziale.
# Comportamenti IAM per i modelli personalizzati Clean Rooms ML
## Lavori su più account
Clean Rooms ML consente a determinate risorse associate a una collaborazione creata da uno di Account AWS essere accessibili in modo sicuro nel proprio account da un altro. Account AWS Un client in Account AWS A con la capacità dei membri di eseguire query può chiamare `CreateTrainedModel` o `StartTrainedModelInferenceJob` utilizzare una `ConfiguredModelAlgorithmAssociation` risorsa di proprietà di un altro membro della collaborazione, a condizione che ciò `ConfiguredModelAlgorithmAssociation` sia consentito dalla regola di analisi personalizzata creata con. `CreateMLInputChannel` `CreateConfiguredTableAnalysisRule`
Inoltre, qualsiasi membro attivo di una collaborazione può eliminare i dati associati a un modello addestrato o a un canale di input ML tramite `DeleteTrainedModelOutput` and `DeleteMLInputChannelData` APIs.
## Accesso multi-account
Clean Rooms ML consente agli utenti di recuperare i metadati sulle risorse create da altri account tramite e. `GetCollaboration` `ListCollaboration` APIs Clean Rooms ML non rivela la chiave KMS, i tag ARNs, le variabili di ambiente o gli iperparametri (relativi all'`TrainedModel`azione) ad altri account.
## Accesso all'iscrizione e alla collaborazione
Quando si accede alle risorse di iscrizione e collaborazione nel contesto dei modelli personalizzati di Clean Rooms ML, la politica di identità di un utente richiede le autorizzazioni `cleanrooms:PassMembership` per le azioni o entrambe. `cleanrooms:PassCollaboration` Tutti coloro APIs che accettano `membershipId` hanno bisogno del `cleanrooms:PassMembership` permesso e tutti quelli APIs che accettano `collaborationId` hanno bisogno del `cleanrooms:PassCollaboration` permesso. Viene fornito un esempio di politica di identità per un ruolo che può chiamare `createTrainedModel` nel contesto di un ID di iscrizione che può chiamare `GetCollaborationTrainedModel` nel contesto di un ID di collaborazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCleanroomsMLActions",
"Effect": "Allow",
"Action": [
"cleanrooms:PassCollaboration",
"cleanrooms:PassMembership"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowMembershipAccess",
"Effect": "Allow",
"Action": [
"cleanrooms:GetMembership"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/memberId"
]
},
{
"Sid": "AllowCollaborationAccess",
"Effect": "Allow",
"Action": [
"cleanrooms:GetCollaboration"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:collaboration/collaborationId"
]
}
]
}
```
------
# Convalida della conformità per AWS Clean Rooms
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).
# Resilienza in AWS Clean Rooms
L'infrastruttura AWS globale è costruita attorno a AWS regioni e zone di disponibilità. Le regioni forniscono più zone di disponibilità fisicamente separate e isolate, connesse tramite reti altamente ridondanti, a bassa latenza e throughput elevato. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
Per ulteriori informazioni su AWS regioni e zone di disponibilità, consulta [Infrastruttura AWS globale](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sicurezza dell'infrastruttura in AWS Clean Rooms
In quanto servizio gestito, AWS Clean Rooms è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzate chiamate API AWS pubblicate per accedere AWS Clean Rooms attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
## Sicurezza di rete
Quando viene AWS Clean Rooms letto dal tuo bucket S3 durante l'esecuzione delle query, il traffico tra Amazon S3 e Amazon AWS Clean Rooms S3 viene instradato in modo sicuro attraverso la rete privata. AWS Il traffico in volo viene firmato utilizzando il protocollo Amazon Signature versione 4 (SIGv4) e crittografato tramite HTTPS. Questo traffico è autorizzato in base al ruolo del servizio IAM che hai impostato per la tabella configurata.
Puoi connetterti a livello di codice AWS Clean Rooms tramite un endpoint. Per un elenco degli endpoint del servizio, consulta [AWS Clean Rooms endpoint](https://docs.aws.amazon.com/general/latest/gr/clean-rooms.html#clean-rooms_region) e quote in. *Riferimenti generali di AWS*
Tutti gli endpoint del servizio sono solo HTTPS. Puoi utilizzare gli endpoint Amazon Virtual Private Cloud (VPC) nel caso in cui desideri connetterti dal AWS Clean Rooms tuo VPC e non desideri disporre di connettività Internet. *Per ulteriori informazioni, consulta [Accedere ai AWS servizi AWS PrivateLink nella Guida](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html).AWS PrivateLink *
Puoi assegnare policy IAM ai tuoi presidi IAM che utilizzano [aws: chiavi di SourceVpce contesto](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce) per limitare il tuo principale IAM in modo che sia in grado di effettuare chiamate solo AWS Clean Rooms tramite un endpoint VPC e non su Internet.
# Access AWS Clean Rooms o AWS Clean Rooms ML utilizzando un'interfaccia endpoint ()AWS PrivateLink
Puoi utilizzarlo AWS PrivateLink per creare una connessione privata tra il tuo cloud privato virtuale (VPC) e AWS Clean Rooms il machine learning. AWS Clean Rooms Puoi accedere al AWS Clean Rooms nostro AWS Clean Rooms ML come se fosse nel tuo VPC, senza l'uso di un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. Direct Connect Le istanze del tuo VPC non necessitano di indirizzi IP pubblici per accedervi. AWS Clean Rooms
Stabilisci questa connessione privata creando un *endpoint di interfaccia* attivato da AWS PrivateLink. In ciascuna sottorete viene creata un'interfaccia di rete endpoint da abilitare per l'endpoint di interfaccia. Queste sono interfacce di rete gestite dal richiedente che fungono da punto di ingresso per il traffico destinato a AWS Clean Rooms.
Per ulteriori informazioni, consulta la sezione [Accesso a Servizi AWS tramite AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) nella *Guida di AWS PrivateLink *.
## Considerazioni per AWS Clean Rooms
*Prima di configurare un endpoint di interfaccia per AWS Clean Rooms, consulta [le considerazioni nella Guida](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints).AWS PrivateLink *
AWS Clean Rooms e AWS Clean Rooms ML supportano l'esecuzione di chiamate a tutte le loro azioni API tramite l'endpoint dell'interfaccia.
Le policy degli endpoint VPC non sono supportate per AWS Clean Rooms il machine learning. AWS Clean Rooms Per impostazione predefinita, l'accesso completo a AWS Clean Rooms e AWS Clean Rooms ML è consentito tramite l'endpoint dell'interfaccia. In alternativa, è possibile associare un gruppo di sicurezza alle interfacce di rete degli endpoint per controllare il traffico verso AWS Clean Rooms o il AWS Clean Rooms machine learning attraverso l'endpoint dell'interfaccia.
## Crea un endpoint di interfaccia per AWS Clean Rooms
Puoi creare un endpoint di interfaccia per AWS Clean Rooms o AWS Clean Rooms ML utilizzando la console Amazon VPC o AWS Command Line Interface ().AWS CLI Per ulteriori informazioni, consulta la sezione [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) nella *Guida per l'utente di AWS PrivateLink *.
Crea un endpoint di interfaccia per AWS Clean Rooms utilizzare il seguente nome di servizio.
```
com.amazonaws.region.cleanrooms
```
Crea un endpoint di interfaccia per AWS Clean Rooms ML utilizzando il seguente nome di servizio.
```
com.amazonaws.region.cleanrooms-ml
```
Se abiliti il DNS privato per l'endpoint dell'interfaccia, puoi effettuare richieste API AWS Clean Rooms utilizzando il nome DNS regionale predefinito. Ad esempio, `cleanrooms-ml.us-east-1.amazonaws.com`.