기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Clean Rooms ML에 대한 서비스 역할 설정
유사 모델링을 수행하는 데 필요한 역할은 사용자 지정 모델을 사용하는 데 필요한 역할과 다릅니다. 다음 섹션에서는 각 작업을 수행하는 데 필요한 역할을 설명합니다.
**Topics**
+ [유사 모델링을 위한 서비스 역할 설정](#aws-model-roles)
+ [사용자 지정 모델링을 위한 서비스 역할 설정](#custom-model-roles)
## 유사 모델링을 위한 서비스 역할 설정
**Topics**
+ [서비스 역할 생성하여 훈련 데이터 읽기](#ml-create-role-training)
+ [서비스 역할을 생성하여 유사 세그먼트를 작성](#ml-create-role-write-segment)
+ [서비스 역할 생성하여 시드 데이터 읽기](#ml-create-role-read-seed)
### 서비스 역할 생성하여 훈련 데이터 읽기
AWS Clean Rooms 는 서비스 역할을 사용하여 훈련 데이터를 읽습니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. `CreateRole` 권한이 없는 경우 관리자에게 서비스 역할을 생성해 달라고 요청하세요.
**서비스 역할을 생성하여 데이터 세트를 훈련하려면**
1. 관리자 계정으로 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)의 IAM 콘솔에 로그인합니다.
1. **액세스 관리(Access management)**에서 **정책(Policies)**을 선택합니다.
1. **정책 생성**을 선택합니다.
1. **정책 편집기**에서 **JSON** 탭을 선택한 다음 다음 정책을 복사하여 붙여넣습니다.
**참고**
다음 예제 정책은 AWS Glue 메타데이터 및 해당 Amazon S3 데이터를 읽는 데 필요한 권한을 지원합니다. 하지만 S3 데이터를 설정한 방법에 따라 이 정책을 수정해야 할 수도 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.
AWS Glue 리소스와 기본 Amazon S3 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일한에 있어야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartitions",
"glue:GetPartition",
"glue:BatchGetPartition",
"glue:GetUserDefinedFunctions"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:database/databases",
"arn:aws:glue:us-east-1:111122223333:table/databases/tables",
"arn:aws:glue:us-east-1:111122223333:catalog",
"arn:aws:glue:us-east-1:111122223333:database/default"
]
},
{
"Effect": "Allow",
"Action": [
"glue:CreateDatabase"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:database/default"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::bucket"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"111122223333"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucketFolders/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"111122223333"
]
}
}
}
]
}
```
------
KMS 키를 사용하여 데이터를 복호화해야 하는 경우 이전 템플릿에 이 AWS KMS 문을 추가하세요.
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
],
"Resource": [
"arn:aws:kms:region:accountId:key/keyId"
],
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
}
}
}
]
}
```
1. 각 *자리 표시자*를 자신의 정보로 바꿉니다.
+ *리전* – AWS 리전의 이름. 예를 들어 **us-east-1**입니다.
+ *accountId* — S3 버킷이 위치한 AWS 계정 ID입니다.
+ *데이터베이스/데이터베이스*, *table/databases/tables*블, *카탈로그* 및 *데이터베이스/기본값* -에서 액세스 AWS Clean Rooms 해야 하는 훈련 데이터의 위치입니다.
+ *버킷* - S3 버킷의 **Amazon 리소스 이름(ARN)**입니다. **Amazon 리소스 이름(ARN)**은 Amazon S3에 있는 버킷의 **속성** 탭에서 찾을 수 있습니다.
+ *bucketFolders* -가 액세스 AWS Clean Rooms 해야 하는 S3 버킷의 특정 폴더 이름입니다.
1. **다음**을 선택합니다.
1. **검토 및 생성**에서 **정책 이름** 및 **설명**을 입력하고 **요약**을 검토합니다.
1. **정책 생성**을 선택합니다.
에 대한 정책을 생성했습니다 AWS Clean Rooms.
1. **액세스 관리**에서 **역할**을 선택합니다.
**역할**을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. **사용자**를 선택하여 장기 보안 인증을 생성할 수도 있습니다.
1. **역할 생성**을 선택합니다.
1. **역할 생성** 마법사의 **신뢰할 수 있는 엔터티** 유형에서 **사용자 지정 신뢰 정책**을 선택합니다.
1. 다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEqualsIfExists": {
"aws:SourceAccount": ["111122223333"]
},
"ArnLikeIfExists": {
"aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:training-dataset/*"
}
}
}
]
}
```
------
는 항상 사용자의 `SourceAccount`입니다 AWS 계정. 특정 훈련 데이터 세트로 `SourceArn`을 제한할 수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 아직 모르기 때문에 와일드카드가 여기에 지정됩니다.
*accountId*는 훈련 데이터가 AWS 계정 포함된의 ID입니다.
1. **다음**을 선택하고 **권한 추가**에서 방금 생성한 정책의 이름을 입력합니다. (페이지를 새로 고쳐야 할 수 있습니다.)
1. 생성한 정책 이름 옆에 있는 확인란을 선택하고 **다음**을 선택합니다.
1. **이름 지정, 생성**의 경우 **역할의 이름**과 **설명**을 입력합니다.
**참고**
**역할 이름**은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된 `passRole` 권한의 패턴과 일치해야 합니다.
1. 검토: **신뢰할 수 있는 엔티티를 선택**하고 필요한 경우 편집합니다.
1. **권한 추가**에서 권한을 검토하고 필요한 경우 편집합니다.
1. **태그**를 검토하고 필요한 경우 태그를 추가합니다.
1. **역할 생성**을 선택합니다.
에 대한 서비스 역할을 생성했습니다 AWS Clean Rooms.
### 서비스 역할을 생성하여 유사 세그먼트를 작성
AWS Clean Rooms 는 서비스 역할을 사용하여 유사 세그먼트를 버킷에 씁니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. `CreateRole` 권한이 없는 경우 관리자에게 서비스 역할을 생성해 달라고 요청하세요.
**서비스 역할을 생성하여 유사 세그먼트를 작성하려면**
1. 관리자 계정으로 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)의 IAM 콘솔에 로그인합니다.
1. **액세스 관리(Access management)**에서 **정책(Policies)**을 선택합니다.
1. **정책 생성**을 선택합니다.
1. **정책 편집기**에서 **JSON** 탭을 선택한 다음 다음 정책을 복사하여 붙여넣습니다.
**참고**
다음 예제 정책은 AWS Glue 메타데이터 및 해당 Amazon S3 데이터를 읽는 데 필요한 권한을 지원합니다. 그러나 Amazon S3 데이터를 설정한 방법에 따라이 정책을 수정해야 할 수 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.
AWS Glue 리소스와 기본 Amazon S3 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일한에 있어야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::buckets"
],
"Condition":{
"StringEquals":{
"s3:ResourceAccount":[
"accountId"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucketFolders/*"
],
"Condition":{
"StringEquals":{
"s3:ResourceAccount":[
"accountId"
]
}
}
}
]
}
```
------
KMS 키를 사용하여 데이터를 암호화해야 하는 경우 템플릿에 이 AWS KMS 문을 추가하세요.
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:ReEncrypt*",
],
"Resource": [
"arn:aws:kms:region:accountId:key/keyId"
],
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
}
}
}
]
}
```
1. 각 *자리 표시자*를 사용자의 정보로 바꿉니다.
+ *버킷 *- S3 버킷의 **Amazon 리소스 이름(ARN)**입니다. **Amazon 리소스 이름(ARN)**은 Amazon S3에 있는 버킷의 **속성** 탭에서 찾을 수 있습니다.
+ *accountId* — S3 버킷이 위치한 AWS 계정 ID입니다.
+ *bucketFolders* -가 액세스 AWS Clean Rooms 해야 하는 S3 버킷의 특정 폴더 이름입니다.
+ *리전* – AWS 리전의 이름. 예를 들어 **us-east-1**입니다.
+ *keyId* - 데이터를 암호화하는 데 필요한 KMS 키입니다.
1. **다음**을 선택합니다.
1. **검토 및 생성**에서 **정책 이름** 및 **설명**을 입력하고 **요약**을 검토합니다.
1. **정책 생성**을 선택합니다.
에 대한 정책을 생성했습니다 AWS Clean Rooms.
1. **액세스 관리**에서 **역할**을 선택합니다.
**역할**을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. **사용자**를 선택하여 장기 보안 인증을 생성할 수도 있습니다.
1. **역할 생성**을 선택합니다.
1. **역할 생성** 마법사의 **신뢰할 수 있는 엔터티** 유형에서 **사용자 지정 신뢰 정책**을 선택합니다.
1. 다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEqualsIfExists": {
"aws:SourceAccount": ["111122223333"]
},
"ArnLikeIfExists": {
"aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:configured-audience-model/*"
}
}
}
]
}
```
------
는 항상 사용자의 `SourceAccount`입니다 AWS 계정. 특정 훈련 데이터 세트로 `SourceArn`을 제한할 수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 아직 모르기 때문에 와일드카드가 여기에 지정됩니다.
1. **다음**을 선택합니다.
1. 생성한 정책 이름 옆에 있는 확인란을 선택하고 **다음**을 선택합니다.
1. **이름 지정, 생성**의 경우 **역할의 이름**과 **설명**을 입력합니다.
**참고**
**역할 이름**은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된 `passRole` 권한의 패턴과 일치해야 합니다.
1. 검토: **신뢰할 수 있는 엔티티를 선택**하고 필요한 경우 편집합니다.
1. **권한 추가**에서 권한을 검토하고 필요한 경우 편집합니다.
1. **태그**를 검토하고 필요한 경우 태그를 추가합니다.
1. **역할 생성**을 선택합니다.
에 대한 서비스 역할을 생성했습니다 AWS Clean Rooms.
### 서비스 역할 생성하여 시드 데이터 읽기
AWS Clean Rooms 는 서비스 역할을 사용하여 시드 데이터를 읽습니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. `CreateRole` 권한이 없는 경우 관리자에게 서비스 역할을 생성해 달라고 요청하세요.
**서비스 역할을 생성하여 S3 버킷에 저장된 시드 데이터를 읽습니다.**
1. 관리자 계정으로 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)의 IAM 콘솔에 로그인합니다.
1. **액세스 관리(Access management)**에서 **정책(Policies)**을 선택합니다.
1. **정책 생성**을 선택합니다.
1. **정책 편집기**에서 **JSON** 탭을 선택한 후 다음 정책 중 하나를 복사하여 붙여넣습니다.
**참고**
다음 예제 정책은 AWS Glue 메타데이터 및 해당 Amazon S3 데이터를 읽는 데 필요한 권한을 지원합니다. 그러나 Amazon S3 데이터를 설정한 방법에 따라이 정책을 수정해야 할 수 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.
AWS Glue 리소스와 기본 Amazon S3 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일한에 있어야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::buckets"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"accountId"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucketFolders/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"accountId"
]
}
}
}
]
}
```
------
**참고**
다음 예제 정책은 SQL 쿼리의 결과를 읽고 이를 입력 데이터로 사용하는 데 필요한 권한을 지원합니다. 그러나 쿼리 구조에 따라 이 정책을 수정해야 할 수 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCleanRoomsStartQuery",
"Effect": "Allow",
"Action": [
"cleanrooms:GetCollaborationAnalysisTemplate",
"cleanrooms:GetSchema",
"cleanrooms:StartProtectedQuery"
],
"Resource": "*"
},
{
"Sid": "AllowCleanRoomsGetAndUpdateQuery",
"Effect": "Allow",
"Action": [
"cleanrooms:GetProtectedQuery",
"cleanrooms:UpdateProtectedQuery"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/queryRunnerMembershipId"
]
}
]
}
```
------
KMS 키를 사용하여 데이터를 복호화해야 하는 경우 템플릿에 이 AWS KMS 문을 추가하세요.
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:region:accountId:key/keyId"
],
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
}
}
}
]
}
```
1. 각 *자리 표시자*를 사용자의 정보로 바꿉니다.
+ *버킷 *- S3 버킷의 **Amazon 리소스 이름(ARN)**입니다. **Amazon 리소스 이름(ARN)**은 Amazon S3에 있는 버킷의 **속성** 탭에서 찾을 수 있습니다.
+ *accountId* — S3 버킷이 위치한 AWS 계정 ID입니다.
+ *bucketFolders* -가 액세스 AWS Clean Rooms 해야 하는 S3 버킷의 특정 폴더 이름입니다.
+ *리전* – AWS 리전의 이름. 예를 들어 **us-east-1**입니다.
+ *queryRunnerAccountId* - 쿼리를 실행할 계정의 AWS 계정 ID입니다.
+ *queryRunnerMembershipId* - 쿼리할 수 있는 멤버의 **멤버십 ID**입니다. **멤버십 ID**는 공동 작업의 **세부 정보** 탭에서 찾을 수 있습니다. 이렇게 하면이 구성원 AWS Clean Rooms 이이 공동 작업에서 분석을 실행할 때만가 역할을 수임할 수 있습니다.
+ *keyId* - 데이터를 암호화하는 데 필요한 KMS 키입니다.
1. **다음**을 선택합니다.
1. **검토 및 생성**에서 **정책 이름** 및 **설명**을 입력하고 **요약**을 검토합니다.
1. **정책 생성**을 선택합니다.
에 대한 정책을 생성했습니다 AWS Clean Rooms.
1. **액세스 관리**에서 **역할**을 선택합니다.
**역할**을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. **사용자**를 선택하여 장기 보안 인증을 생성할 수도 있습니다.
1. **역할 생성**을 선택합니다.
1. **역할 생성** 마법사의 **신뢰할 수 있는 엔터티** 유형에서 **사용자 지정 신뢰 정책**을 선택합니다.
1. 다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEqualsIfExists": {
"aws:SourceAccount": ["111122223333"]
},
"ArnLikeIfExists": {
"aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:audience-generation-job/*"
}
}
}
]
}
```
------
는 항상 사용자의 `SourceAccount`입니다 AWS 계정. 특정 훈련 데이터 세트로 `SourceArn`을 제한할 수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 아직 모르기 때문에 와일드카드가 여기에 지정됩니다.
1. **다음**을 선택합니다.
1. 생성한 정책 이름 옆에 있는 확인란을 선택하고 **다음**을 선택합니다.
1. **이름 지정, 생성**의 경우 **역할의 이름**과 **설명**을 입력합니다.
**참고**
**역할 이름**은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된 `passRole` 권한의 패턴과 일치해야 합니다.
1. 검토: **신뢰할 수 있는 엔티티를 선택**하고 필요한 경우 편집합니다.
1. **권한 추가**에서 권한을 검토하고 필요한 경우 편집합니다.
1. **태그**를 검토하고 필요한 경우 태그를 추가합니다.
1. **역할 생성**을 선택합니다.
에 대한 서비스 역할을 생성했습니다 AWS Clean Rooms.
## 사용자 지정 모델링을 위한 서비스 역할 설정
**Topics**
+ [사용자 지정 ML 모델링을 위한 서비스 역할 생성 - ML 구성](#ml-roles-custom-configure)
+ [서비스 역할을 생성하여 사용자 지정 ML 모델 제공](#ml-roles-custom-model-provider)
+ [데이터 세트를 쿼리할 서비스 역할 생성](#ml-roles-custom-query-dataset)
+ [서비스 역할을 생성하여 구성된 테이블 연결 생성](#ml-roles-custom-configure-table)
### 사용자 지정 ML 모델링을 위한 서비스 역할 생성 - ML 구성
AWS Clean Rooms 는 서비스 역할을 사용하여 사용자 지정 ML 구성을 생성할 수 있는 사용자를 제어합니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. `CreateRole` 권한이 없는 경우 관리자에게 서비스 역할을 생성해 달라고 요청하세요.
이 역할을 사용하면 [PutMLConfiguration](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_PutMLConfiguration.html) 작업을 사용할 수 있습니다.
**사용자 지정 ML 구성 생성을 허용하는 서비스 역할을 생성하려면**
1. 관리자 계정으로 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)의 IAM 콘솔에 로그인합니다.
1. **액세스 관리(Access management)**에서 **정책(Policies)**을 선택합니다.
1. **정책 생성**을 선택합니다.
1. **정책 편집기**에서 **JSON** 탭을 선택한 다음 다음 정책을 복사하여 붙여넣습니다.
**참고**
다음 예제 정책은 S3 버킷에 액세스하고 데이터를 쓰고 CloudWatch 지표를 게시하는 데 필요한 권한을 지원합니다. 그러나 Amazon S3 데이터를 설정한 방법에 따라이 정책을 수정해야 할 수 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.
Amazon S3 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일한에 있어야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowS3ObjectWriteForExport",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"111122223333"
]
}
}
},
{
"Sid": "AllowS3KMSEncryptForExport",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/keyId"
],
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket*"
}
}
},
{
"Sid": "AllowCloudWatchMetricsPublishingForTrainingJobs",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringLike": {
"cloudwatch:namespace": "/aws/cleanroomsml/*"
}
}
},
{
"Sid": "AllowCloudWatchLogsPublishingForTrainingOrInferenceJobs",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:/aws/cleanroomsml/*"
]
}
]
}
```
------
1. 각 *자리 표시자*를 사용자의 정보로 바꿉니다.
+ *버킷* - S3 버킷의 **Amazon 리소스 이름(ARN)**입니다. **Amazon 리소스 이름(ARN)**은 Amazon S3에 있는 버킷의 **속성** 탭에서 찾을 수 있습니다.
+ *리전* – AWS 리전의 이름. 예를 들어 **us-east-1**입니다.
+ *accountId* — S3 버킷이 위치한 AWS 계정 ID입니다.
+ *keyId* - 데이터를 암호화하는 데 필요한 KMS 키입니다.
1. **다음**을 선택합니다.
1. **검토 및 생성**에서 **정책 이름** 및 **설명**을 입력하고 **요약**을 검토합니다.
1. **정책 생성**을 선택합니다.
에 대한 정책을 생성했습니다 AWS Clean Rooms.
1. **액세스 관리**에서 **역할**을 선택합니다.
**역할**을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. **사용자**를 선택하여 장기 보안 인증을 생성할 수도 있습니다.
1. **역할 생성**을 선택합니다.
1. **역할 생성** 마법사의 **신뢰할 수 있는 엔터티** 유형에서 **사용자 지정 신뢰 정책**을 선택합니다.
1. 다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:cleanrooms:us-east-1:111122223333:membership/membershipID"
}
}
}
]
}
```
------
는 항상 사용자의 `SourceAccount`입니다 AWS 계정. 특정 훈련 데이터 세트로 `SourceArn`을 제한할 수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 아직 모르기 때문에 와일드카드가 여기에 지정됩니다.
1. **다음**을 선택합니다.
1. 생성한 정책 이름 옆에 있는 확인란을 선택하고 **다음**을 선택합니다.
1. **이름 지정, 생성**의 경우 **역할의 이름**과 **설명**을 입력합니다.
**참고**
**역할 이름**은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된 `passRole` 권한의 패턴과 일치해야 합니다.
1. 검토: **신뢰할 수 있는 엔티티를 선택**하고 필요한 경우 편집합니다.
1. **권한 추가**에서 권한을 검토하고 필요한 경우 편집합니다.
1. **태그**를 검토하고 필요한 경우 태그를 추가합니다.
1. **역할 생성**을 선택합니다.
에 대한 서비스 역할을 생성했습니다 AWS Clean Rooms.
### 서비스 역할을 생성하여 사용자 지정 ML 모델 제공
AWS Clean Rooms 는 서비스 역할을 사용하여 사용자 지정 ML 모델 알고리즘을 생성할 수 있는 사용자를 제어합니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. `CreateRole` 권한이 없는 경우 관리자에게 서비스 역할을 생성해 달라고 요청하세요.
이 역할을 사용하면 [CreateConfiguredModelAlgorithm](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_CreateConfiguredModelAlgorithm.html) 작업을 사용할 수 있습니다.
**멤버가 사용자 지정 ML 모델을 제공하도록 허용하는 서비스 역할을 생성하려면**
1. 관리자 계정으로 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)의 IAM 콘솔에 로그인합니다.
1. **액세스 관리(Access management)**에서 **정책(Policies)**을 선택합니다.
1. **정책 생성**을 선택합니다.
1. **정책 편집기**에서 **JSON** 탭을 선택한 다음 다음 정책을 복사하여 붙여넣습니다.
**참고**
다음 예제 정책은 모델 알고리즘이 포함된 Docker 이미지를 검색하는 데 필요한 권한을 지원합니다. 그러나 Amazon S3 데이터를 설정한 방법에 따라이 정책을 수정해야 할 수 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.
Amazon S3 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일한에 있어야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowECRImageDownloadForTrainingAndInferenceJobs",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/repoName"
}
]
}
```
------
1. 각 *자리 표시자*를 자신의 정보로 바꿉니다.
+ *리전* – AWS 리전의 이름. 예를 들어 **us-east-1**입니다.
+ *accountId* — S3 버킷이 위치한 AWS 계정 ID입니다.
+ *repoName* - 데이터가 포함된 리포지토리의 이름입니다.
1. **다음**을 선택합니다.
1. **검토 및 생성**에서 **정책 이름** 및 **설명**을 입력하고 **요약**을 검토합니다.
1. **정책 생성**을 선택합니다.
에 대한 정책을 생성했습니다 AWS Clean Rooms.
1. **액세스 관리**에서 **역할**을 선택합니다.
**역할**을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. **사용자**를 선택하여 장기 보안 인증을 생성할 수도 있습니다.
1. **역할 생성**을 선택합니다.
1. **역할 생성** 마법사의 **신뢰할 수 있는 엔터티** 유형에서 **사용자 지정 신뢰 정책**을 선택합니다.
1. 다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
`SourceAccount`는 항상 사용자의 입니다 AWS 계정 .는 특정 훈련 데이터 세트로 제한될 `SourceArn` 수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 아직 모르기 때문에 와일드카드가 여기에 지정됩니다.
1. **다음**을 선택합니다.
1. 생성한 정책 이름 옆에 있는 확인란을 선택하고 **다음**을 선택합니다.
1. **이름 지정, 생성**의 경우 **역할의 이름**과 **설명**을 입력합니다.
**참고**
**역할 이름**은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된 `passRole` 권한의 패턴과 일치해야 합니다.
1. 검토: **신뢰할 수 있는 엔티티를 선택**하고 필요한 경우 편집합니다.
1. **권한 추가**에서 권한을 검토하고 필요한 경우 편집합니다.
1. **태그**를 검토하고 필요한 경우 태그를 추가합니다.
1. **역할 생성**을 선택합니다.
에 대한 서비스 역할을 생성했습니다 AWS Clean Rooms.
### 데이터 세트를 쿼리할 서비스 역할 생성
AWS Clean Rooms 는 서비스 역할을 사용하여 사용자 지정 ML 모델링에 사용할 데이터 세트를 쿼리할 수 있는 사용자를 제어합니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. `CreateRole` 권한이 없는 경우 관리자에게 서비스 역할을 생성해 달라고 요청하세요.
이 역할을 사용하면 [CreateMLInputChannel](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_CreateMLInputChannel.html) 작업을 사용할 수 있습니다.
**멤버가 데이터 세트를 쿼리할 수 있도록 서비스 역할을 생성하려면**
1. 관리자 계정으로 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)의 IAM 콘솔에 로그인합니다.
1. **액세스 관리(Access management)**에서 **정책(Policies)**을 선택합니다.
1. **정책 생성**을 선택합니다.
1. **정책 편집기**에서 **JSON** 탭을 선택한 다음 다음 정책을 복사하여 붙여넣습니다.
**참고**
다음 예제 정책은 사용자 지정 ML 모델링에 사용할 데이터 세트를 쿼리하는 데 필요한 권한을 지원합니다. 그러나 Amazon S3 데이터를 설정한 방법에 따라이 정책을 수정해야 할 수 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.
Amazon S3 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일한에 있어야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCleanRoomsStartQueryForMLInputChannel",
"Effect": "Allow",
"Action": "cleanrooms:StartProtectedQuery",
"Resource": "*"
},
{
"Sid": "AllowCleanroomsGetSchemaAndGetAnalysisTemplateForMLInputChannel",
"Effect": "Allow",
"Action": [
"cleanrooms:GetSchema",
"cleanrooms:GetCollaborationAnalysisTemplate"
],
"Resource": "*"
},
{
"Sid": "AllowCleanRoomsGetAndUpdateQueryForMLInputChannel",
"Effect": "Allow",
"Action": [
"cleanrooms:GetProtectedQuery",
"cleanrooms:UpdateProtectedQuery"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/queryRunnerMembershipId"
]
}
]
}
```
------
1. 각 *자리 표시자*를 자신의 정보로 바꿉니다.
+ *리전* – AWS 리전의 이름. 예를 들어 **us-east-1**입니다.
+ *queryRunnerAccountId* - 쿼리를 실행할 계정의 AWS 계정 ID입니다.
+ *queryRunnerMembershipId* - 쿼리할 수 있는 멤버의 **멤버십 ID**입니다. **멤버십 ID**는 공동 작업의 **세부 정보** 탭에서 찾을 수 있습니다. 이렇게 하면이 구성원 AWS Clean Rooms 이이 공동 작업에서 분석을 실행할 때만가 역할을 수임할 수 있습니다.
1. **다음**을 선택합니다.
1. **검토 및 생성**에서 **정책 이름** 및 **설명**을 입력하고 **요약**을 검토합니다.
1. **정책 생성**을 선택합니다.
에 대한 정책을 생성했습니다 AWS Clean Rooms.
1. **액세스 관리**에서 **역할**을 선택합니다.
**역할**을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. **사용자**를 선택하여 장기 보안 인증을 생성할 수도 있습니다.
1. **역할 생성**을 선택합니다.
1. **역할 생성** 마법사의 **신뢰할 수 있는 엔터티** 유형에서 **사용자 지정 신뢰 정책**을 선택합니다.
1. 다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
`SourceAccount`는 항상 사용자의 입니다 AWS 계정 .는 특정 훈련 데이터 세트로 제한될 `SourceArn` 수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 아직 모르기 때문에 와일드카드가 여기에 지정됩니다.
1. **다음**을 선택합니다.
1. 생성한 정책 이름 옆에 있는 확인란을 선택하고 **다음**을 선택합니다.
1. **이름 지정, 생성**의 경우 **역할의 이름**과 **설명**을 입력합니다.
**참고**
**역할 이름**은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된 `passRole` 권한의 패턴과 일치해야 합니다.
1. 검토: **신뢰할 수 있는 엔티티를 선택**하고 필요한 경우 편집합니다.
1. **권한 추가**에서 권한을 검토하고 필요한 경우 편집합니다.
1. **태그**를 검토하고 필요한 경우 태그를 추가합니다.
1. **역할 생성**을 선택합니다.
에 대한 서비스 역할을 생성했습니다 AWS Clean Rooms.
### 서비스 역할을 생성하여 구성된 테이블 연결 생성
AWS Clean Rooms 는 서비스 역할을 사용하여 구성된 테이블 연결을 생성할 수 있는 사용자를 제어합니다. 필수 IAM 권한이 있는 경우 콘솔을 사용하여 이 역할을 생성할 수 있습니다. `CreateRole` 권한이 없는 경우 관리자에게 서비스 역할을 생성해 달라고 요청하세요.
이 역할을 사용하면 CreateConfiguredTableAssociation 작업을 사용할 수 있습니다.
**구성된 테이블 연결을 생성할 수 있도록 서비스 역할을 생성하려면**
1. 관리자 계정으로 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)의 IAM 콘솔에 로그인합니다.
1. **액세스 관리(Access management)**에서 **정책(Policies)**을 선택합니다.
1. **정책 생성**을 선택합니다.
1. **정책 편집기**에서 **JSON** 탭을 선택한 다음 다음 정책을 복사하여 붙여넣습니다.
**참고**
다음 예제 정책은 구성된 테이블 연결 생성을 지원합니다. 그러나 Amazon S3 데이터를 설정한 방법에 따라이 정책을 수정해야 할 수 있습니다. 이 정책에는 데이터를 복호화하기 위한 KMS 키가 포함되어 있지 않습니다.
Amazon S3 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일한에 있어야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/KMS-key-ID",
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::bucket-name",
"Effect": "Allow"
},
{
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::bucket-name/*",
"Effect": "Allow"
},
{
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartitions",
"glue:GetPartition",
"glue:BatchGetPartition"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:catalog",
"arn:aws:glue:us-east-1:111122223333:database/Glue database name",
"arn:aws:glue:us-east-1:111122223333:table/Glue database name/Glue table name"
],
"Effect": "Allow"
},
{
"Action": [
"glue:GetSchema",
"glue:GetSchemaVersion"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
**자리 표시자 리소스 ARNs 교체**
이 정책을 사용할 때는 자리 표시자 리소스 식별자를 리소스의 실제 ARNs으로 바꿔야 합니다.
**AWS KMS 키 리소스**: *KMS-key-ID*를 Amazon S3 데이터를 암호화하는 실제 AWS KMS 키 ID로 바꿉니다. 키는 AWS Glue 카탈로그 리소스를 소유한 동일한 계정(111122223333)에 있어야 합니다.
**Amazon S3 버킷 리소스**: *bucket-name*을 AWS Glue 테이블 데이터가 포함된 Amazon S3 버킷의 실제 이름으로 바꿉니다. 버킷 이름은 전역적으로 고유하므로 Amazon S3 버킷 ARNs에는 계정 IDs가 포함되지 않습니다.
**AWS Glue 리소스**: 다음 자리 표시자를 실제 리소스 이름으로 바꿉니다.
*Glue 데이터베이스 이름* - AWS Glue 데이터베이스 이름
*Glue 테이블 이름* - AWS Glue 테이블 이름
일관된 액세스 권한을 보장하려면 모든 AWS Glue 리소스(카탈로그, 데이터베이스 및 테이블)가 동일한 AWS 계정 (111122223333)에 있어야 합니다. 이 계정은 데이터 암호화에 사용되는 AWS KMS 키를 소유한 계정과 동일해야 하며, AWS Clean Rooms 데이터 리소스에 대한 통합 보안 경계를 생성해야 합니다.
1. 각 *자리 표시자*를 사용자의 정보로 바꿉니다.
+ *Amazon S3 데이터를 암호화하는 데 사용된 KMS 키 *- Amazon S3 데이터를 암호화하는 데 사용된 KMS 키입니다. 데이터를 복호화하려면 데이터를 암호화하는 데 사용된 것과 동일한 KMS 키를 제공해야 합니다.
+ * AWS Glue 테이블의 Amazon S3 버킷* - 데이터가 포함된 AWS Glue 테이블이 포함된 Amazon S3 버킷의 이름입니다.
+ *리전* – AWS 리전의 이름. 예를 들어 **us-east-1**입니다.
+ *accountId* - 데이터를 소유한 계정의 AWS 계정 ID입니다.
+ *AWS Glue 데이터베이스 이름* - 데이터가 포함된 AWS Glue 데이터베이스의 이름입니다.
+ *AWS Glue 테이블 이름* - 데이터가 포함된 AWS Glue 테이블의 이름입니다.
1. **다음**을 선택합니다.
1. **검토 및 생성**에서 **정책 이름** 및 **설명**을 입력하고 **요약**을 검토합니다.
1. **정책 생성**을 선택합니다.
에 대한 정책을 생성했습니다 AWS Clean Rooms.
1. **액세스 관리**에서 **역할**을 선택합니다.
**역할**을 사용하면 단기 보안 인증을 만들 수 있으며, 보안 강화를 위해 이 방법을 사용하는 것이 좋습니다. **사용자**를 선택하여 장기 보안 인증을 생성할 수도 있습니다.
1. **역할 생성**을 선택합니다.
1. **역할 생성** 마법사의 **신뢰할 수 있는 엔터티** 유형에서 **사용자 지정 신뢰 정책**을 선택합니다.
1. 다음 사용자 지정 신뢰 정책을 복사하여 JSON 편집기에 붙여넣습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
`SourceAccount`는 항상 사용자의 입니다 AWS 계정 .는 특정 훈련 데이터 세트로 제한될 `SourceArn` 수 있지만 해당 데이터 세트가 생성된 후에만 가능합니다. 훈련 데이터 세트 ARN을 아직 모르기 때문에 와일드카드가 여기에 지정됩니다.
1. **다음**을 선택합니다.
1. 생성한 정책 이름 옆에 있는 확인란을 선택하고 **다음**을 선택합니다.
1. **이름 지정, 생성**의 경우 **역할의 이름**과 **설명**을 입력합니다.
**참고**
**역할 이름**은 결과 및 구성원 역할을 쿼리하고 받을 수 있는 구성원에게 부여된 `passRole` 권한의 패턴과 일치해야 합니다.
1. 검토: **신뢰할 수 있는 엔티티를 선택**하고 필요한 경우 편집합니다.
1. **권한 추가**에서 권한을 검토하고 필요한 경우 편집합니다.
1. **태그**를 검토하고 필요한 경우 태그를 추가합니다.
1. **역할 생성**을 선택합니다.
에 대한 서비스 역할을 생성했습니다 AWS Clean Rooms.