翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Clean Rooms ML のサービスロールを設定する
類似モデリングの実行に必要なロールは、カスタムモデルを使用するために必要なロールとは異なります。以下のセクションでは、各タスクの実行に必要なロールについて説明します。
**Topics**
+ [
## 類似モデリングのサービスロールを設定する
](#aws-model-roles)
+ [
## カスタムモデリングのサービスロールを設定する
](#custom-model-roles)
## 類似モデリングのサービスロールを設定する
**Topics**
+ [
### トレーニングデータを読み取るサービスロールの作成
](#ml-create-role-training)
+ [
### サービスロールを作成して類似セグメントを書き込む
](#ml-create-role-write-segment)
+ [
### シードデータを読み取るサービスロールの作成
](#ml-create-role-read-seed)
### トレーニングデータを読み取るサービスロールの作成
AWS Clean Rooms は、サービスロールを使用してトレーニングデータを読み取ります。必要な IAM アクセス許可がある場合には、コンソールを使用してこのロールを作成できます。`CreateRole` アクセス許可がない場合は、管理者にサービスロールの作成を依頼してください。
**データセットをトレーニングするサービスロールの作成**
1. 管理者アカウントを使用して、IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) にサインインします。
1. **[アクセス管理]** で、**[ポリシー]** を選択します。
1. [**Create policy**] (ポリシーの作成) を選択します。
1. **[ポリシーエディタ]** で **[JSON]** タブを選択し、次のポリシーをコピーして貼り付けます。
**注記**
次のポリシー例では、 AWS Glue メタデータとその対応する Amazon S3 データを読み取るために必要なアクセス許可をサポートしています。ただし、S3 データの設定方法によっては、このポリシーを変更する必要が生じる場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。
AWS Glue リソースと基盤となる Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartitions",
"glue:GetPartition",
"glue:BatchGetPartition",
"glue:GetUserDefinedFunctions"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:database/databases",
"arn:aws:glue:us-east-1:111122223333:table/databases/tables",
"arn:aws:glue:us-east-1:111122223333:catalog",
"arn:aws:glue:us-east-1:111122223333:database/default"
]
},
{
"Effect": "Allow",
"Action": [
"glue:CreateDatabase"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:database/default"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::bucket"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"111122223333"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucketFolders/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"111122223333"
]
}
}
}
]
}
```
------
KMS キーを使用してデータを復号する必要がある場合、前のテンプレートに AWS KMS ステートメントを追加します。
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
],
"Resource": [
"arn:aws:kms:region:accountId:key/keyId"
],
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
}
}
}
]
}
```
1. 各*プレースホルダー*を自分の情報に置き換えます。
+ *region* – AWS リージョンの名前。例えば、**us-east-1**。
+ *accountId* – S3 バケットがある AWS アカウント ID。
+ *database/databases*、*table/databases/tables*、 *Catalog*、および *database/default* – アクセス AWS Clean Rooms する必要があるトレーニングデータの場所。
+ bucket** – S3 バケットの **Amazon リソースネーム (ARN)**。**[Amazon リソースネーム (ARN)]** は Amazon S3 のバケットの **[プロパティ]** タブにあります。
+ *bucketFolders* – アクセス AWS Clean Rooms する必要がある S3 バケット内の特定のフォルダの名前。
1. [**次へ**] を選択します。
1. **[確認して作成]** で **[ポリシー名]** と **[説明]** を入力し、**[概要]** を確認します。
1. [**Create policy**] (ポリシーの作成) を選択します。
のポリシーを作成しました AWS Clean Rooms。
1. **[アクセス管理]** で、**[ロール]** を選択します。
**[ロール]** を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。**[ユーザー]** を選択して長期間の認証情報を作成することもできます。
1. [**ロールの作成**] を選択してください。
1. **[ロールの作成]** ウィザードの **[信頼されたエンティティタイプ]** で **[カスタム信頼ポリシー]** を選択します。
1. 次のカスタム信頼ポリシーをコピーして JSON エディタに貼り付けます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEqualsIfExists": {
"aws:SourceAccount": ["111122223333"]
},
"ArnLikeIfExists": {
"aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:training-dataset/*"
}
}
}
]
}
```
------
`SourceAccount` は常にお客様のものです AWS アカウント。`SourceArn` は特定のトレーニングデータセットに制限できますが、そのデータセットが作成された後に限られます。トレーニングデータセット ARN がまだわからないため、ワイルドカードはここで指定します。
*accountId* は、トレーニングデータを含む AWS アカウント の ID です。
1. **[次へ]** を選択し、**[アクセス許可を追加]** で、作成したポリシーの名前を入力します。(ページを再度読み込む必要がある場合があります)。
1. 作成したポリシーの横にあるチェックボックスをオンにし、**[次へ]** を選択します。
1. **[名前、確認、および作成]** で、**[ロール名]** と **[説明]** を入力します。
**注記**
**[ロール名]** は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された `passRole` アクセス許可のパターンと一致している必要があります。
1. **[信頼されたエンティティを選択]** を確認し、必要に応じて編集します。
1. **[許可を追加]** でアクセス許可を確認し、必要に応じて編集します。
1. **[タグ]** を確認し、必要に応じてタグを追加します。
1. [**ロールの作成**] を選択してください。
のサービスロールを作成しました AWS Clean Rooms。
### サービスロールを作成して類似セグメントを書き込む
AWS Clean Rooms はサービスロールを使用して類似セグメントをバケットに書き込みます。必要な IAM アクセス許可がある場合には、コンソールを使用してこのロールを作成できます。`CreateRole` アクセス許可がない場合は、管理者にサービスロールの作成を依頼してください。
**サービスロールを作成して類似セグメントを書き込むには**
1. 管理者アカウントを使用して、IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) にサインインします。
1. **[アクセス管理]** で、**[ポリシー]** を選択します。
1. [**Create policy**] (ポリシーの作成) を選択します。
1. **[ポリシーエディタ]** で **[JSON]** タブを選択し、次のポリシーをコピーして貼り付けます。
**注記**
次のポリシー例では、 AWS Glue メタデータとその対応する Amazon S3 データを読み取るために必要なアクセス許可をサポートしています。ただし、Amazon S3 データの設定方法によっては、このポリシーを変更する必要がある場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。
AWS Glue リソースと基盤となる Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::buckets"
],
"Condition":{
"StringEquals":{
"s3:ResourceAccount":[
"accountId"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucketFolders/*"
],
"Condition":{
"StringEquals":{
"s3:ResourceAccount":[
"accountId"
]
}
}
}
]
}
```
------
KMS キーを使用してデータを暗号化する必要がある場合、テンプレートに、この AWS KMS ステートメントを追加します。
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:ReEncrypt*",
],
"Resource": [
"arn:aws:kms:region:accountId:key/keyId"
],
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
}
}
}
]
}
```
1. 各*プレースホルダー*はお客様の情報に置き換えてください。
+ *buckets* – S3 バケットの **Amazon リソースネーム (ARN)**。**[Amazon リソースネーム (ARN)]** は Amazon S3 のバケットの **[プロパティ]** タブにあります。
+ *accountId* – S3 バケットがある AWS アカウント ID。
+ *bucketFolders* – アクセス AWS Clean Rooms する必要がある S3 バケット内の特定のフォルダの名前。
+ *region* – AWS リージョンの名前。例えば、**us-east-1**。
+ *keyId* – データの暗号化に必要な KMS キー。
1. [**次へ**] を選択します。
1. **[確認して作成]** で **[ポリシー名]** と **[説明]** を入力し、**[概要]** を確認します。
1. [**Create policy**] (ポリシーの作成) を選択します。
のポリシーを作成しました AWS Clean Rooms。
1. **[アクセス管理]** で、**[ロール]** を選択します。
**[ロール]** を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。**[ユーザー]** を選択して長期間の認証情報を作成することもできます。
1. [**ロールの作成**] を選択してください。
1. **[ロールの作成]** ウィザードの **[信頼されたエンティティタイプ]** で **[カスタム信頼ポリシー]** を選択します。
1. 次のカスタム信頼ポリシーをコピーして JSON エディタに貼り付けます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEqualsIfExists": {
"aws:SourceAccount": ["111122223333"]
},
"ArnLikeIfExists": {
"aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:configured-audience-model/*"
}
}
}
]
}
```
------
`SourceAccount` は常にお客様のものです AWS アカウント。`SourceArn` は特定のトレーニングデータセットに制限できますが、そのデータセットが作成された後に限られます。トレーニングデータセット ARN がまだわからないため、ワイルドカードはここで指定します。
1. [**次へ**] を選択します。
1. 作成したポリシーの横にあるチェックボックスをオンにし、**[次へ]** を選択します。
1. **[名前、確認、および作成]** で、**[ロール名]** と **[説明]** を入力します。
**注記**
**[ロール名]** は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された `passRole` アクセス許可のパターンと一致している必要があります。
1. **[信頼されたエンティティを選択]** を確認し、必要に応じて編集します。
1. **[許可を追加]** でアクセス許可を確認し、必要に応じて編集します。
1. **[タグ]** を確認し、必要に応じてタグを追加します。
1. [**ロールの作成**] を選択してください。
のサービスロールを作成しました AWS Clean Rooms。
### シードデータを読み取るサービスロールの作成
AWS Clean Rooms はサービスロールを使用してシードデータを読み取ります。必要な IAM アクセス許可がある場合には、コンソールを使用してこのロールを作成できます。`CreateRole` アクセス許可がない場合は、管理者にサービスロールの作成を依頼してください。
**S3 バケットに保存されているシードデータを読み取るサービスロールを作成するには。**
1. 管理者アカウントを使用して、IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) にサインインします。
1. **[アクセス管理]** で、**[ポリシー]** を選択します。
1. [**Create policy**] (ポリシーの作成) を選択します。
1. **[ポリシーエディタ]** で **[JSON]** タブを選択し、次のいずれかのポリシーをコピーして貼り付けます。
**注記**
次のポリシー例では、 AWS Glue メタデータとその対応する Amazon S3 データを読み取るために必要なアクセス許可をサポートしています。ただし、Amazon S3 データの設定方法によっては、このポリシーを変更する必要がある場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。
AWS Glue リソースと基盤となる Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::buckets"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"accountId"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucketFolders/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"accountId"
]
}
}
}
]
}
```
------
**注記**
次のポリシー例は、SQL クエリの結果を読み取って入力データとして使用するために必要なアクセス許可をサポートしています。ただし、クエリの構造によっては、このポリシーの変更が必要になる場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCleanRoomsStartQuery",
"Effect": "Allow",
"Action": [
"cleanrooms:GetCollaborationAnalysisTemplate",
"cleanrooms:GetSchema",
"cleanrooms:StartProtectedQuery"
],
"Resource": "*"
},
{
"Sid": "AllowCleanRoomsGetAndUpdateQuery",
"Effect": "Allow",
"Action": [
"cleanrooms:GetProtectedQuery",
"cleanrooms:UpdateProtectedQuery"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/queryRunnerMembershipId"
]
}
]
}
```
------
KMS キーを使用してデータを復号化する必要がある場合、テンプレートに AWS KMS ステートメントを追加します。
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:region:accountId:key/keyId"
],
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
}
}
}
]
}
```
1. 各*プレースホルダー*はお客様の情報に置き換えてください。
+ *buckets* – S3 バケットの **Amazon リソースネーム (ARN)**。**[Amazon リソースネーム (ARN)]** は Amazon S3 のバケットの **[プロパティ]** タブにあります。
+ *accountId* – S3 バケットがある AWS アカウント ID。
+ *bucketFolders* – アクセス AWS Clean Rooms する必要がある S3 バケット内の特定のフォルダの名前。
+ *region* – AWS リージョンの名前。例えば、**us-east-1**。
+ *queryRunnerAccountId* – クエリを実行するアカウントの AWS アカウント ID。
+ *queryRunnerMembershipId* – クエリできるメンバーの**メンバーシップ ID**。**[メンバーシップ ID]** はコラボレーションの **[詳細]** タブにあります。これにより、このメンバーがこのコラボレーションで分析を実行する場合にのみ、 AWS Clean Rooms がロールを引き受けるようになります。
+ *keyId* – データの暗号化に必要な KMS キー。
1. [**次へ**] を選択します。
1. **[確認して作成]** で **[ポリシー名]** と **[説明]** を入力し、**[概要]** を確認します。
1. [**Create policy**] (ポリシーの作成) を選択します。
のポリシーを作成しました AWS Clean Rooms。
1. **[アクセス管理]** で、**[ロール]** を選択します。
**[ロール]** を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。**[ユーザー]** を選択して長期間の認証情報を作成することもできます。
1. [**ロールの作成**] を選択してください。
1. **[ロールの作成]** ウィザードの **[信頼されたエンティティタイプ]** で **[カスタム信頼ポリシー]** を選択します。
1. 次のカスタム信頼ポリシーをコピーして JSON エディタに貼り付けます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEqualsIfExists": {
"aws:SourceAccount": ["111122223333"]
},
"ArnLikeIfExists": {
"aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:audience-generation-job/*"
}
}
}
]
}
```
------
`SourceAccount` は常にお客様のものです AWS アカウント。`SourceArn` は特定のトレーニングデータセットに制限できますが、そのデータセットが作成された後に限られます。トレーニングデータセット ARN がまだわからないため、ワイルドカードはここで指定します。
1. [**次へ**] を選択します。
1. 作成したポリシーの横にあるチェックボックスをオンにし、**[次へ]** を選択します。
1. **[名前、確認、および作成]** で、**[ロール名]** と **[説明]** を入力します。
**注記**
**[ロール名]** は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された `passRole` アクセス許可のパターンと一致している必要があります。
1. **[信頼されたエンティティを選択]** を確認し、必要に応じて編集します。
1. **[許可を追加]** でアクセス許可を確認し、必要に応じて編集します。
1. **[タグ]** を確認し、必要に応じてタグを追加します。
1. [**ロールの作成**] を選択してください。
のサービスロールを作成しました AWS Clean Rooms。
## カスタムモデリングのサービスロールを設定する
**Topics**
+ [
### カスタム ML モデリングのサービスロールを作成する - ML 設定
](#ml-roles-custom-configure)
+ [
### カスタム ML モデルを提供するサービスロールを作成する
](#ml-roles-custom-model-provider)
+ [
### データセットをクエリするサービスロールを作成する
](#ml-roles-custom-query-dataset)
+ [
### サービスロールを作成して、設定済みテーブルの関連付けを作成する
](#ml-roles-custom-configure-table)
### カスタム ML モデリングのサービスロールを作成する - ML 設定
AWS Clean Rooms はサービスロールを使用して、カスタム ML 設定を作成できるユーザーを制御します。必要な IAM アクセス許可がある場合には、コンソールを使用してこのロールを作成できます。`CreateRole` アクセス許可がない場合は、管理者にサービスロールの作成を依頼してください。
このロールでは、[PutMLConfiguration](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_PutMLConfiguration.html) アクションを使用できます。
**カスタム ML 設定の作成を許可するサービスロールを作成するには**
1. 管理者アカウントを使用して、IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) にサインインします。
1. **[アクセス管理]** で、**[ポリシー]** を選択します。
1. [**Create policy**] (ポリシーの作成) を選択します。
1. **[ポリシーエディタ]** で **[JSON]** タブを選択し、次のポリシーをコピーして貼り付けます。
**注記**
次のポリシー例では、S3 バケットへのデータへのアクセスと書き込み、および CloudWatch メトリクスの発行に必要なアクセス許可をサポートしています。ただし、Amazon S3 データの設定方法によっては、このポリシーを変更する必要がある場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。
Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowS3ObjectWriteForExport",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"111122223333"
]
}
}
},
{
"Sid": "AllowS3KMSEncryptForExport",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/keyId"
],
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket*"
}
}
},
{
"Sid": "AllowCloudWatchMetricsPublishingForTrainingJobs",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringLike": {
"cloudwatch:namespace": "/aws/cleanroomsml/*"
}
}
},
{
"Sid": "AllowCloudWatchLogsPublishingForTrainingOrInferenceJobs",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:/aws/cleanroomsml/*"
]
}
]
}
```
------
1. 各*プレースホルダー*はお客様の情報に置き換えてください。
+ bucket** – S3 バケットの **Amazon リソースネーム (ARN)**。**[Amazon リソースネーム (ARN)]** は Amazon S3 のバケットの **[プロパティ]** タブにあります。
+ *region* – AWS リージョンの名前。例えば、**us-east-1**。
+ *accountId* – S3 バケットがある AWS アカウント ID。
+ *keyId* – データの暗号化に必要な KMS キー。
1. [**次へ**] を選択します。
1. **[確認して作成]** で **[ポリシー名]** と **[説明]** を入力し、**[概要]** を確認します。
1. [**Create policy**] (ポリシーの作成) を選択します。
のポリシーを作成しました AWS Clean Rooms。
1. **[アクセス管理]** で、**[ロール]** を選択します。
**[ロール]** を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。**[ユーザー]** を選択して長期間の認証情報を作成することもできます。
1. [**ロールの作成**] を選択してください。
1. **[ロールの作成]** ウィザードの **[信頼されたエンティティタイプ]** で **[カスタム信頼ポリシー]** を選択します。
1. 次のカスタム信頼ポリシーをコピーして JSON エディタに貼り付けます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:cleanrooms:us-east-1:111122223333:membership/membershipID"
}
}
}
]
}
```
------
`SourceAccount` は常にお客様のものです AWS アカウント。`SourceArn` は特定のトレーニングデータセットに制限できますが、そのデータセットが作成された後に限られます。トレーニングデータセット ARN がまだわからないため、ワイルドカードはここで指定します。
1. [**次へ**] を選択します。
1. 作成したポリシーの横にあるチェックボックスをオンにし、**[次へ]** を選択します。
1. **[名前、確認、および作成]** で、**[ロール名]** と **[説明]** を入力します。
**注記**
**[ロール名]** は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された `passRole` アクセス許可のパターンと一致している必要があります。
1. **[信頼されたエンティティを選択]** を確認し、必要に応じて編集します。
1. **[許可を追加]** でアクセス許可を確認し、必要に応じて編集します。
1. **[タグ]** を確認し、必要に応じてタグを追加します。
1. [**ロールの作成**] を選択してください。
のサービスロールを作成しました AWS Clean Rooms。
### カスタム ML モデルを提供するサービスロールを作成する
AWS Clean Rooms はサービスロールを使用して、カスタム ML モデルアルゴリズムを作成できるユーザーを制御します。必要な IAM アクセス許可がある場合には、コンソールを使用してこのロールを作成できます。`CreateRole` アクセス許可がない場合は、管理者にサービスロールの作成を依頼してください。
このロールでは、[CreateConfiguredModelAlgorithm](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_CreateConfiguredModelAlgorithm.html) アクションを使用できます。
**メンバーがカスタム ML モデルを提供できるようにするサービスロールを作成するには**
1. 管理者アカウントを使用して、IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) にサインインします。
1. **[アクセス管理]** で、**[ポリシー]** を選択します。
1. [**Create policy**] (ポリシーの作成) を選択します。
1. **[ポリシーエディタ]** で **[JSON]** タブを選択し、次のポリシーをコピーして貼り付けます。
**注記**
次のポリシー例では、モデルアルゴリズムを含む docker イメージを取得するために必要なアクセス許可をサポートしています。ただし、Amazon S3 データの設定方法によっては、このポリシーを変更する必要がある場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。
Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowECRImageDownloadForTrainingAndInferenceJobs",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/repoName"
}
]
}
```
------
1. 各*プレースホルダー*を自分の情報に置き換えます。
+ *region* – AWS リージョンの名前。例えば、**us-east-1**。
+ *accountId* – S3 バケットがある AWS アカウント ID。
+ *repoName* – データを含むリポジトリの名前。
1. [**次へ**] を選択します。
1. **[確認して作成]** で **[ポリシー名]** と **[説明]** を入力し、**[概要]** を確認します。
1. [**Create policy**] (ポリシーの作成) を選択します。
のポリシーを作成しました AWS Clean Rooms。
1. **[アクセス管理]** で、**[ロール]** を選択します。
**[ロール]** を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。**[ユーザー]** を選択して長期間の認証情報を作成することもできます。
1. [**ロールの作成**] を選択してください。
1. **[ロールの作成]** ウィザードの **[信頼されたエンティティタイプ]** で **[カスタム信頼ポリシー]** を選択します。
1. 次のカスタム信頼ポリシーをコピーして JSON エディタに貼り付けます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
`SourceAccount` は常に です AWS アカウント 。 は、特定のトレーニングデータセットに制限`SourceArn`できますが、そのデータセットが作成された後に限られます。トレーニングデータセット ARN がまだわからないため、ワイルドカードはここで指定します。
1. [**次へ**] を選択します。
1. 作成したポリシーの横にあるチェックボックスをオンにし、**[次へ]** を選択します。
1. **[名前、確認、および作成]** で、**[ロール名]** と **[説明]** を入力します。
**注記**
**[ロール名]** は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された `passRole` アクセス許可のパターンと一致している必要があります。
1. **[信頼されたエンティティを選択]** を確認し、必要に応じて編集します。
1. **[許可を追加]** でアクセス許可を確認し、必要に応じて編集します。
1. **[タグ]** を確認し、必要に応じてタグを追加します。
1. [**ロールの作成**] を選択してください。
のサービスロールを作成しました AWS Clean Rooms。
### データセットをクエリするサービスロールを作成する
AWS Clean Rooms は、サービスロールを使用して、カスタム ML モデリングに使用されるデータセットをクエリできるユーザーを制御します。必要な IAM アクセス許可がある場合には、コンソールを使用してこのロールを作成できます。`CreateRole` アクセス許可がない場合は、管理者にサービスロールの作成を依頼してください。
このロールでは、[CreateMLInputChannel](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_CreateMLInputChannel.html) アクションを使用できます。
**メンバーがデータセットをクエリできるようにするサービスロールを作成するには**
1. 管理者アカウントを使用して、IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) にサインインします。
1. **[アクセス管理]** で、**[ポリシー]** を選択します。
1. [**Create policy**] (ポリシーの作成) を選択します。
1. **[ポリシーエディタ]** で **[JSON]** タブを選択し、次のポリシーをコピーして貼り付けます。
**注記**
次のポリシー例では、カスタム ML モデリングに使用されるデータセットのクエリに必要なアクセス許可をサポートしています。ただし、Amazon S3 データの設定方法によっては、このポリシーを変更する必要がある場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。
Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCleanRoomsStartQueryForMLInputChannel",
"Effect": "Allow",
"Action": "cleanrooms:StartProtectedQuery",
"Resource": "*"
},
{
"Sid": "AllowCleanroomsGetSchemaAndGetAnalysisTemplateForMLInputChannel",
"Effect": "Allow",
"Action": [
"cleanrooms:GetSchema",
"cleanrooms:GetCollaborationAnalysisTemplate"
],
"Resource": "*"
},
{
"Sid": "AllowCleanRoomsGetAndUpdateQueryForMLInputChannel",
"Effect": "Allow",
"Action": [
"cleanrooms:GetProtectedQuery",
"cleanrooms:UpdateProtectedQuery"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/queryRunnerMembershipId"
]
}
]
}
```
------
1. 各*プレースホルダー*を自分の情報に置き換えます。
+ *region* – AWS リージョンの名前。例えば、**us-east-1**。
+ *queryRunnerAccountId* – クエリを実行するアカウントの AWS アカウント ID。
+ *queryRunnerMembershipId* – クエリできるメンバーの**メンバーシップ ID**。**[メンバーシップ ID]** はコラボレーションの **[詳細]** タブにあります。これにより、このメンバーがこのコラボレーションで分析を実行する場合にのみ、 AWS Clean Rooms がロールを引き受けるようになります。
1. [**次へ**] を選択します。
1. **[確認して作成]** で **[ポリシー名]** と **[説明]** を入力し、**[概要]** を確認します。
1. [**Create policy**] (ポリシーの作成) を選択します。
のポリシーを作成しました AWS Clean Rooms。
1. **[アクセス管理]** で、**[ロール]** を選択します。
**[ロール]** を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。**[ユーザー]** を選択して長期間の認証情報を作成することもできます。
1. [**ロールの作成**] を選択してください。
1. **[ロールの作成]** ウィザードの **[信頼されたエンティティタイプ]** で **[カスタム信頼ポリシー]** を選択します。
1. 次のカスタム信頼ポリシーをコピーして JSON エディタに貼り付けます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
`SourceAccount` は常に です AWS アカウント 。 は、特定のトレーニングデータセットに制限`SourceArn`できますが、そのデータセットが作成された後に限られます。トレーニングデータセット ARN がまだわからないため、ワイルドカードはここで指定します。
1. [**次へ**] を選択します。
1. 作成したポリシーの横にあるチェックボックスをオンにし、**[次へ]** を選択します。
1. **[名前、確認、および作成]** で、**[ロール名]** と **[説明]** を入力します。
**注記**
**[ロール名]** は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された `passRole` アクセス許可のパターンと一致している必要があります。
1. **[信頼されたエンティティを選択]** を確認し、必要に応じて編集します。
1. **[許可を追加]** でアクセス許可を確認し、必要に応じて編集します。
1. **[タグ]** を確認し、必要に応じてタグを追加します。
1. [**ロールの作成**] を選択してください。
のサービスロールを作成しました AWS Clean Rooms。
### サービスロールを作成して、設定済みテーブルの関連付けを作成する
AWS Clean Rooms はサービスロールを使用して、設定済みテーブルの関連付けを作成できるユーザーを制御します。必要な IAM アクセス許可がある場合には、コンソールを使用してこのロールを作成できます。`CreateRole` アクセス許可がない場合は、管理者にサービスロールの作成を依頼してください。
このロールでは、CreateConfiguredTableAssociation アクションを使用できます。
**設定されたテーブルの関連付けの作成を許可するサービスロールを作成するには**
1. 管理者アカウントを使用して、IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) にサインインします。
1. **[アクセス管理]** で、**[ポリシー]** を選択します。
1. [**Create policy**] (ポリシーの作成) を選択します。
1. **[ポリシーエディタ]** で **[JSON]** タブを選択し、次のポリシーをコピーして貼り付けます。
**注記**
次のポリシー例では、設定済みテーブルの関連付けの作成をサポートしています。ただし、Amazon S3 データの設定方法によっては、このポリシーを変更する必要がある場合があります。このポリシーには、データを復号するための KMS キーは含まれていません。
Amazon S3 リソースは、 AWS Clean Rooms コラボレーション AWS リージョン と同じ にある必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/KMS-key-ID",
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::bucket-name",
"Effect": "Allow"
},
{
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::bucket-name/*",
"Effect": "Allow"
},
{
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartitions",
"glue:GetPartition",
"glue:BatchGetPartition"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:catalog",
"arn:aws:glue:us-east-1:111122223333:database/Glue database name",
"arn:aws:glue:us-east-1:111122223333:table/Glue database name/Glue table name"
],
"Effect": "Allow"
},
{
"Action": [
"glue:GetSchema",
"glue:GetSchemaVersion"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
**プレースホルダーリソース ARNs**
このポリシーを使用する場合は、プレースホルダーリソース識別子をリソースの実際の ARNs に置き換える必要があります。
**AWS KMS キーリソース**: *KMS-key-ID* をAmazon S3データを暗号化する実際の AWS KMS キー ID に置き換えます。キーは、 AWS Glue カタログリソースを所有するのと同じアカウント (111122223333) にある必要があります。
**Amazon S3 バケットリソース**: *bucket-name* を、 AWS Glue テーブルデータを含む Amazon S3 バケットの実際の名前に置き換えます。バケット名はグローバルに一意であるため、Amazon S3 バケット ARNs にはアカウント IDs が含まれないことに注意してください。
**AWS Glue リソース**: 次のプレースホルダーを実際のリソース名に置き換えます。
*Glue データベース名* - AWS Glue データベースの名前
*Glue テーブル名* - AWS Glue テーブルの名前
一貫したアクセス許可を確保するには、すべての AWS Glue リソース (カタログ、データベース、テーブル) が同じ AWS アカウント (111122223333) にある必要があります。このアカウントは、データ暗号化に使用される AWS KMS キーを所有するアカウントと同じにし、 AWS Clean Rooms データリソースの統合セキュリティ境界を作成する必要があります。
1. 各*プレースホルダー*はお客様の情報に置き換えてください。
+ *Amazon S3 データの暗号化に使用される KMS キー* – Amazon S3 データの暗号化に使用された KMS キー。データを復号するには、データの暗号化に使用したのと同じ KMS キーを指定する必要があります。
+ * AWS Glue テーブルの Amazon S3 バケット* – データを含む AWS Glue テーブルを含む Amazon S3 バケットの名前。
+ *region* – AWS リージョンの名前。例えば、**us-east-1**。
+ *accountId* – データを所有するアカウントの AWS アカウント ID。
+ *AWS Glue データベース名* – データを含む AWS Glue データベースの名前。
+ *AWS Glue テーブル名* – データを含む AWS Glue テーブルの名前。
1. [**次へ**] を選択します。
1. **[確認して作成]** で **[ポリシー名]** と **[説明]** を入力し、**[概要]** を確認します。
1. [**Create policy**] (ポリシーの作成) を選択します。
のポリシーを作成しました AWS Clean Rooms。
1. **[アクセス管理]** で、**[ロール]** を選択します。
**[ロール]** を使用すると、短期間の認証情報を作成できるため、セキュリティ強化のためにお勧めです。**[ユーザー]** を選択して長期間の認証情報を作成することもできます。
1. [**ロールの作成**] を選択してください。
1. **[ロールの作成]** ウィザードの **[信頼されたエンティティタイプ]** で **[カスタム信頼ポリシー]** を選択します。
1. 次のカスタム信頼ポリシーをコピーして JSON エディタに貼り付けます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
`SourceAccount` は常に です AWS アカウント 。 は、特定のトレーニングデータセットに制限`SourceArn`できますが、そのデータセットが作成された後に限られます。トレーニングデータセット ARN がまだわからないため、ワイルドカードはここで指定します。
1. [**次へ**] を選択します。
1. 作成したポリシーの横にあるチェックボックスをオンにし、**[次へ]** を選択します。
1. **[名前、確認、および作成]** で、**[ロール名]** と **[説明]** を入力します。
**注記**
**[ロール名]** は、クエリを実行して結果を受け取ることができるメンバーとメンバーロールに付与された `passRole` アクセス許可のパターンと一致している必要があります。
1. **[信頼されたエンティティを選択]** を確認し、必要に応じて編集します。
1. **[許可を追加]** でアクセス許可を確認し、必要に応じて編集します。
1. **[タグ]** を確認し、必要に応じてタグを追加します。
1. [**ロールの作成**] を選択してください。
のサービスロールを作成しました AWS Clean Rooms。