As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança em AWS Clean Rooms
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como a segurança da nuvem e a segurança na nuvem:
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços na AWS nuvem. AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia de nossa segurança como parte dos Programas de Conformidade Programas de [AWS](https://aws.amazon.com/compliance/programs/) de . Para saber mais sobre os programas de conformidade que se aplicam AWS Clean Rooms, consulte [Serviços da AWS no escopo do programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade dos dados, os requisitos da empresa e as leis e os regulamentos aplicáveis
Esta documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar AWS Clean Rooms. Ele mostra como configurar para atender AWS Clean Rooms aos seus objetivos de segurança e conformidade. Você também aprenderá a usar outros AWS serviços que ajudam a monitorar e proteger seus AWS Clean Rooms recursos.
**Topics**
+ [Proteção de dados](data-protection.md)
+ [Uso de perfis vinculados ao serviço](using-service-linked-roles.md)
+ [Retenção de dados](data-retention.md)
+ [Práticas recomendadas](best-practices.md)
+ [Gerenciamento de Identidade e Acesso](security-iam.md)
+ [Validação de conformidade](SERVICE-compliance.md)
+ [Resiliência](disaster-recovery-resiliency.md)
+ [Segurança da infraestrutura](infrastructure-security.md)
+ [AWS PrivateLink](vpc-interface-endpoints.md)
# Proteção de dados em AWS Clean Rooms
O modelo de [responsabilidade AWS compartilhada modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados em AWS Clean Rooms. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com AWS Clean Rooms ou Serviços da AWS usa o console, a API ou AWS SDKs. AWS CLI Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
## Criptografia em repouso
AWS Clean Rooms sempre criptografa todos os metadados do serviço em repouso sem exigir nenhuma configuração adicional. Essa criptografia é automática quando você usa AWS Clean Rooms.
O Clean Rooms ML criptografa todos os dados armazenados no serviço em repouso. AWS KMS Se você optar por fornecer sua própria chave do KMS, o conteúdo de seus modelos de semelhanças e trabalhos de geração de segmentos de semelhanças será criptografado em repouso com sua chave do KMS.
Ao usar modelos de ML AWS Clean Rooms personalizados, o serviço criptografa todos os dados armazenados em repouso com AWS KMS. AWS Clean Rooms suporta o uso de chaves simétricas gerenciadas pelo cliente que você cria, possui e gerencia para criptografar dados em repouso. Se as chaves gerenciadas pelo cliente não forem especificadas, Chaves pertencentes à AWS elas serão usadas por padrão.
AWS Clean Rooms usa concessões e políticas de chaves para acessar as chaves gerenciadas pelo cliente. É possível revogar o acesso à concessão, ou remover o acesso do serviço à chave gerenciada pelo cliente a qualquer momento. Se você fizer isso, AWS Clean Rooms não conseguirá acessar nenhum dos dados criptografados pela chave gerenciada pelo cliente, o que afeta as operações que dependem desses dados. Por exemplo, se você tentar criar um modelo treinado a partir de um canal de entrada de ML criptografado que não AWS Clean Rooms pode ser acessado, a operação retornará um `ValidationException` erro.
**nota**
Você pode usar as opções de criptografia do Amazon S3 para proteger seus dados em repouso.
Para obter mais informações, consulte [Especificar a criptografia do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-s3-encryption.html) no *Guia do usuário do Amazon S3*.
Ao usar uma tabela de mapeamento de ID dentro AWS Clean Rooms dela, o serviço criptografa todos os dados armazenados em repouso com AWS KMS. Se você optar por fornecer sua própria chave KMS, o conteúdo da sua tabela de mapeamento de ID será criptografado em repouso com sua chave KMS via. AWS Entity Resolution Para ter mais detalhes sobre as permissões necessárias para trabalhar com criptografias com um fluxo de trabalho de mapeamento de ID, consulte [Create a workflow job role for AWS Entity Resolution](https://docs.aws.amazon.com/entityresolution/latest/userguide/create-workflow-job-role.html) no *Guia do usuário do AWS Entity Resolution *.
## Criptografia em trânsito
AWS Clean Rooms usa Transport Layer Security (TLS) para criptografia em trânsito. A comunicação com AWS Clean Rooms é sempre feita por HTTPS para que seus dados sejam sempre criptografados em trânsito, independentemente de estarem armazenados no Amazon S3, no Amazon Athena ou no Snowflake. Isso inclui todos os dados em trânsito ao usar o Clean Rooms ML.
## Criptografia de dados subjacentes
Para obter mais informações sobre como criptografar seus dados subjacentes, consulte [Computação criptográfica para Clean Rooms](crypto-computing.md).
## Política de chave
As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, é possível especificar uma política de chave. Para obter mais informações, consulte Gerenciando o acesso às chaves gerenciadas pelo cliente no Guia do AWS Key Management Service desenvolvedor.
Para usar sua chave gerenciada pelo cliente com seus modelos de ML AWS Clean Rooms personalizados, as seguintes operações de API devem ser permitidas na política de chaves:
+ `kms:DescribeKey`— Fornece os detalhes da chave gerenciada pelo cliente AWS Clean Rooms para permitir a validação da chave.
+ `kms:Decrypt`— Fornece acesso AWS Clean Rooms para descriptografar os dados criptografados e usá-los em trabalhos relacionados.
+ `kms:CreateGrant`- O Clean Rooms ML criptografa imagens de treinamento e inferência em repouso no Amazon ECR criando subsídios para o Amazon ECR. Para saber mais, consulte [Criptografia em repouso no Amazon ECR.](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html) O Clean Rooms ML também usa o Amazon SageMaker AI para executar trabalhos de treinamento e inferência e cria subsídios para que a SageMaker IA criptografe os volumes do Amazon EBS anexados às instâncias, bem como os dados de saída no Amazon S3. Para saber mais, consulte [Proteger dados em repouso usando criptografia na Amazon SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/encryption-at-rest.html).
+ `kms:GenerateDataKey`- O Clean Rooms ML criptografa dados em repouso armazenados no Amazon S3 usando criptografia do lado do servidor com. AWS KMS keys Para saber mais, consulte [Uso da criptografia do lado do servidor com AWS KMS keys (SSE-KMS) no Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html).
Veja a seguir exemplos de declarações de política que você pode adicionar AWS Clean Rooms aos seguintes recursos:
**Canal de entrada ML com dados sintéticos**
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow access to principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::666666666666:role/ExampleRole"
},
"Action": [
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"Encrypt",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"CreateGrant",
"DescribeKey",
"RetireGrant",
"GenerateDataKey"
]
},
"BoolIfExists": {
"kms:GrantIsForAWSResource": true
}
}
},
{
"Sid": "Allow describe key for principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::444455556666:role/ExampleRole"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
}
}
},
{
"Sid": "Allow grant operations for AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"Encrypt",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"CreateGrant",
"DescribeKey",
"RetireGrant",
"GenerateDataKey"
]
}
}
},
{
"Sid": "Allow describe key for AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
**Canal de entrada ML sem dados sintéticos**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow access to principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::666666666666:role/ExampleRole"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
}
}
},
{
"Sid": "Allow access to AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
**Trabalho de modelo treinado ou trabalho de inferência de modelo treinado**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow grant operations for principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::666666666666:role/ExampleRole"
},
"Action": [
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"Encrypt",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"CreateGrant",
"DescribeKey",
"RetireGrant",
"GenerateDataKey"
]
},
"BoolIfExists": {
"kms:GrantIsForAWSResource": true
}
}
},
{
"Sid": "Allow describe key for principals authorized to use AWS Clean Rooms ML",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::444455556666:role/ExampleRole"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "cleanrooms-ml.us-east-1.amazonaws.com"
}
}
},
{
"Sid": "Allow grant operations for AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"Encrypt",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"CreateGrant",
"DescribeKey",
"RetireGrant",
"GenerateDataKey"
]
}
}
},
{
"Sid": "Allow describe key for AWS Clean Rooms ML service principal",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
O Clean Rooms ML não suporta a especificação do contexto de criptografia do serviço ou do contexto de origem nas políticas de chaves gerenciadas pelo cliente. O contexto de criptografia usado internamente pelo serviço é visível para os clientes em CloudTrail.
# Usando funções vinculadas a serviços para AWS Clean Rooms
AWS Clean Rooms usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS Clean Rooms As funções vinculadas ao serviço são predefinidas AWS Clean Rooms e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração AWS Clean Rooms porque você não precisa adicionar manualmente as permissões necessárias. AWS Clean Rooms define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS Clean Rooms pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus AWS Clean Rooms recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.
## Permissões de função vinculadas ao serviço para AWS Clean Rooms
AWS Clean Rooms usa a função vinculada ao serviço chamada **AWSServiceRoleForAWSCleanSalas** — para publicar CloudWatch métricas relacionadas a Salas Limpas em sua conta. AWS
A função vinculada ao serviço AWSService RoleFor AWSClean Rooms confia nos seguintes serviços para assumir a função:
+ `cleanrooms.amazonaws.com`
A política de permissões de função nomeada AWSClean RoomsServiceRolePolicy AWS Clean Rooms permite concluir as seguintes ações nos recursos especificados:
+ Ação: `cloudwatch:PutMetricData` em `all AWS resources, restricted to the AWS Clean Rooms namespace`
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
## Criação de uma função vinculada ao serviço para AWS Clean Rooms
Você pode usar o console do IAM para criar uma função vinculada ao serviço com o caso de uso de **AWSServiceRoleForAWSCleanRooms**. Na AWS CLI ou na AWS API, crie uma função vinculada ao serviço com o nome do `cleanrooms.amazonaws.com` serviço. Para saber mais, consulte [Criar um perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.
## Editando uma função vinculada ao serviço para AWS Clean Rooms
AWS Clean Rooms não permite que você edite a função vinculada ao serviço AWSService RoleFor AWSClean Rooms. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para AWS Clean Rooms
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
Para excluir as **AWSServiceRoleForAWSCleansalas**, você deve primeiro excluir todas as [colaborações](https://docs.aws.amazon.com/clean-rooms/latest/userguide/delete-collaboration.html) e [associações](https://docs.aws.amazon.com/clean-rooms/latest/userguide/leave-collab.html) em seu. Conta da AWS
**nota**
Se o AWS Clean Rooms serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função vinculada ao serviço AWSService RoleFor AWSClean Rooms. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões suportadas para funções vinculadas a AWS Clean Rooms serviços
AWS Clean Rooms suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/clean-rooms.html#clean-rooms_region).
# Retenção de dados em AWS Clean Rooms
Todos os dados que são lidos temporariamente em uma AWS Clean Rooms colaboração são excluídos após a conclusão da consulta.
Quando você cria um modelo de semelhanças, o Clean Rooms ML lê os dados de treinamento, os transforma em um formato adequado para nosso modelo de ML e armazena os parâmetros do modelo treinado no Clean Rooms ML. O Clean Rooms ML não retém uma cópia dos seus dados de treinamento. AWS Clean Rooms As consultas SQL não retêm nenhum dos seus dados após a execução da consulta. Depois, o Clean Rooms ML usa o modelo treinado para resumir o comportamento de todos os usuários. O Clean Rooms ML armazena um conjunto de dados em nível de usuário para cada usuário nos dados enquanto o modelo de semelhanças está ativo.
Quando você inicia um trabalho de geração de segmentos semelhantes, o Clean Rooms ML lê os dados iniciais, lê os resumos de comportamento do modelo semelhante associado e cria um segmento semelhante que é armazenado no serviço. AWS Clean Rooms O Clean Rooms ML não retém uma cópia dos seus dados iniciais. O Clean Rooms ML armazena a saída em nível de usuário do trabalho, desde que o trabalho esteja ativo.
Se seus dados iniciais vierem de uma consulta SQL, a saída dessa consulta só será armazenada no serviço durante o trabalho. Os resultados da consulta são criptografados em repouso e em trânsito.
Se você quiser remover seus dados de trabalho de geração de modelos ou segmentos de semelhanças, use a API para excluí-los. O Clean Rooms ML exclui de forma assíncrona todos os dados associados ao modelo ou ao trabalho. Quando esse processo é concluído, o Clean Rooms ML exclui os metadados do modelo ou do trabalho, e eles não ficam mais visíveis na API. O Clean Rooms ML retém os dados excluídos por três dias como medida de prevenção para recuperação de desastres. Depois que o trabalho ou modelo não estiver mais visível na API e passarem três dias, todos os dados associados ao modelo ou ao trabalho serão excluídos permanentemente.
# Melhores práticas para colaborações de dados em AWS Clean Rooms
Este tópico descreve as melhores práticas para conduzir colaborações de dados no AWS Clean Rooms.
AWS Clean Rooms segue o [Modelo de Responsabilidade AWS Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/). AWS Clean Rooms oferece [regras de análise](analysis-rules.md) que você pode configurar para fortalecer sua capacidade de proteger dados confidenciais em uma colaboração. As regras de análise que você configura AWS Clean Rooms aplicarão as restrições (controles de consulta e controles de saída de consulta) que você configurou. Você é responsável por determinar as restrições e configurar as regras de análise adequadamente.
As colaborações de dados podem envolver mais do que apenas o uso de AWS Clean Rooms. Para ajudá-lo a maximizar os benefícios das colaborações de dados, recomendamos que você execute as seguintes melhores práticas com o uso AWS Clean Rooms e especificamente com as regras de análise.
**Topics**
+ [Melhores práticas com AWS Clean Rooms](#best-practices-with-clean-rooms)
+ [Práticas recomendadas para usar regras de análise em AWS Clean Rooms](#best-practices-for-analysis-rules)
## Melhores práticas com AWS Clean Rooms
Você é responsável por avaliar o risco de cada colaboração de dados e compará-lo aos seus requisitos de privacidade, como políticas e programas de conformidade externos e internos. Recomendamos que você tome medidas adicionais com o uso do AWS Clean Rooms. Essas ações podem ajudar a gerenciar ainda mais os riscos e a evitar tentativas de terceiros de reidentificar seus dados (por exemplo, ataques diferenciados ou ataques de canal lateral).
Por exemplo, considere realizar a devida diligência com seus outros colaboradores e firmar acordos legais com eles *antes de iniciar* uma colaboração. Para monitorar o uso de seus dados, considere também adotar outros mecanismos de auditoria com o uso do AWS Clean Rooms.
## Práticas recomendadas para usar regras de análise em AWS Clean Rooms
As regras de análise AWS Clean Rooms permitem restringir as consultas que podem ser executadas definindo controles de consulta em uma tabela configurada. Por exemplo, você pode definir um controle de consulta sobre como uma tabela configurada pode ser unida e quais colunas podem ser selecionadas. Você também pode restringir a saída da consulta definindo controles de resultados de consulta, como limites de agregação nas linhas de saída. O serviço rejeita qualquer consulta e remove as linhas que não estão em conformidade com as regras de análise definidas pelos membros em suas tabelas configuradas na consulta.
Recomendamos as *10 melhores práticas* a seguir para usar as regras de análise em sua tabela configurada:
+ Crie tabelas configuradas separadas para casos de uso de consultas separados (por exemplo, planejamento ou atribuição de público). Você pode criar várias tabelas configuradas com a mesma tabela AWS Glue subjacente.
+ Especifique as colunas na regra de análise (por exemplo, colunas de dimensão, colunas de lista, colunas de união) que são necessárias para consultas em uma colaboração. Isso pode ajudar a reduzir o risco de ataques diferenciados ou permitir que outros membros façam engenharia reversa em seus dados. Use o atributo de colunas da **lista de permissões** para observar outras colunas que talvez você queira tornar consultáveis no futuro. Para personalizar as colunas que podem ser usadas para uma determinada colaboração, crie tabelas configuradas adicionais com a mesma AWS Glue tabela subjacente.
+ Especifique as funções na regra de análise que são necessárias para análise na colaboração. Isso pode ajudar a reduzir o risco de erros de função raros que podem apresentar informações em um ponto de dados individual. Para personalizar as funções que podem ser usadas para uma determinada colaboração, crie tabelas configuradas adicionais com a mesma tabela AWS Glue subjacente.
+ Adicione restrições de agregação em todas as colunas cujos valores em nível de linha sejam confidenciais. Isso inclui colunas em sua tabela configurada que também existem nas tabelas e regras de análise de outros membros da colaboração como uma restrição de agregação. Isso também inclui colunas na tabela configurada que não podem ser consultadas, ou seja, colunas que estão na tabela configurada, mas não estão na regra de análise. As restrições de agregação podem ajudar a reduzir o risco de correlacionar os resultados de consulta com dados fora da colaboração.
+ Crie colaborações de teste e regras de análise para testar restrições criadas com regras de análise especificadas.
+ Analise as tabelas configuradas pelo colaborador e as regras de análise dos membros nas tabelas configuradas para verificar se elas correspondem ao que foi acordado para a colaboração. Isso pode ajudar a reduzir o risco de outros membros criarem seus próprios dados para executar consultas que não foram acordadas.
+ Revise a consulta de exemplo fornecida (somente console) que está ativada na tabela configurada após a configuração da regra de análise.
**nota**
Além da consulta de exemplo fornecida, outras consultas são possíveis com base na regra de análise e em outras tabelas e regras de análise de membros da colaboração.
+ Você pode adicionar ou atualizar uma regra de análise para uma tabela configurada em uma colaboração. Ao fazer isso, revise todas as colaborações às quais a tabela configurada está associada e o impacto resultante. Isso ajuda a garantir que nenhuma colaboração use regras de análise obsoletas.
+ Analise as consultas executadas na colaboração para verificar se elas correspondem aos casos de uso ou às consultas que foram acordadas para a colaboração. (As consultas estão disponíveis nos logs de consultas quando o atributo de **registro de consultas** está ativado.) Isso pode ajudar a reduzir o risco de membros realizarem análises que não foram acordadas e de possíveis ataques, como ataques por canais laterais.
+ Revise as colunas configuradas da tabela usadas nas regras de análise dos membros da colaboração e nas consultas para verificar se elas correspondem ao que foi acordado na colaboração. (As consultas estão disponíveis nos logs de consultas quando esse atributo está ativado.) Isso pode ajudar a reduzir o risco de outros membros criarem seus próprios dados para fazer consultas que não foram acordadas.
# Identity and Access Management para AWS Clean Rooms
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) a usar AWS Clean Rooms os recursos. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security-iam-audience)
+ [Autenticação com identidades](#security-iam-auth-with-identities)
+ [Gerenciar o acesso usando políticas](#security-iam-managing-access)
+ [Como AWS Clean Rooms funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade para AWS Clean Rooms](security_iam_id-based-policy-examples.md)
+ [AWS políticas gerenciadas para AWS Clean Rooms](security-iam-awsmanpol.md)
+ [Solução de problemas AWS Clean Rooms de identidade e acesso](security_iam_troubleshoot.md)
+ [Prevenção do problema "confused deputy" entre serviços](cross-service-confused-deputy-prevention.md)
+ [Comportamentos do IAM para AWS Clean Rooms ML](ml-behaviors.md)
+ [Comportamentos do IAM para modelos personalizados de ML de salas limpas](ml-behaviors-byom.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas AWS Clean Rooms de identidade e acesso](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como AWS Clean Rooms funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade para AWS Clean Rooms](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar *autenticado* (conectado AWS) como o Usuário raiz da conta da AWS, como usuário do IAM ou assumindo uma função do IAM.
Você pode entrar AWS como uma identidade federada usando credenciais fornecidas por meio de uma fonte de identidade. Centro de Identidade do AWS IAM Os usuários (IAM Identity Center) ou a autenticação de login único da sua empresa são exemplos de identidades federadas. Quando você faz login como identidade federada, o administrador já configurou anteriormente a federação de identidades usando perfis do IAM. Ao acessar AWS usando a federação, você está assumindo indiretamente uma função.
Dependendo do tipo de usuário que você é, você pode entrar no Console de gerenciamento da AWS ou no portal de AWS acesso. Para obter mais informações sobre como fazer login AWS, consulte [Como fazer login Conta da AWS no](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) *Guia do Início de Sessão da AWS usuário*.
Se você acessar AWS programaticamente, AWS fornece um kit de desenvolvimento de software (SDK) e uma interface de linha de comando (CLI) para assinar criptograficamente suas solicitações usando suas credenciais. Se você não usa AWS ferramentas, você mesmo deve assinar as solicitações. Para obter mais informações sobre o uso do método recomendado para você assinar as solicitações por conta própria, consulte [Signature Version 4 signing process](https://docs.aws.amazon.com//general/latest/gr/signature-version-4.html) no *Referência geral da AWS*.
Independente do método de autenticação usado, também pode ser necessário fornecer informações adicionais de segurança. Por exemplo, AWS recomenda que você use a autenticação multifator (MFA) para aumentar a segurança da sua conta. Para saber mais, consulte [Autenticação Multifator](https://docs.aws.amazon.com//singlesignon/latest/userguide/enable-mfa.html) no *Guia do Usuário do Centro de Identidade do AWS IAM *. [Usar a autenticação multifator (MFA) na AWS](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_mfa.html) no *Guia do Usuário do IAM*.
### Conta da AWS usuário root
Ao criar uma Conta da AWS, você começa com uma identidade de login que tem acesso completo a todos Serviços da AWS os recursos da conta. Essa identidade, chamada *usuário-raiz* da Conta da AWS , é acessada por login com o endereço de e-mail e a senha usada para criar a conta. É altamente recomendável não usar o usuário raiz para tarefas diárias. Proteja as credenciais do usuário raiz e use-as para executar as tarefas que somente ele pode executar. Para obter a lista completa de tarefas que exigem que você faça login como usuário raiz, consulte [credenciais Usuário raiz da conta da AWS e identidades do IAM](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html#aws_tasks-that-require-root) na *Referência geral da AWS*.
### Identidade federada
Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.
Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.
Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política é um objeto AWS que, quando associada a uma identidade ou recurso, define suas permissões. AWS avalia essas políticas quando um principal (usuário, usuário raiz ou sessão de função) faz uma solicitação. As permissões nas políticas determinam se a solicitação será permitida ou negada. A maioria das políticas é armazenada AWS como documentos JSON. Para obter mais informações sobre a estrutura e o conteúdo de documentos de políticas JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **principal** pode executar **ações** em quais **recursos**, e em que **condições**.
Cada entidade do IAM (usuário ou função) começa sem permissões. Por padrão, os usuários não podem fazer nada, nem mesmo alterar sua própria senha. Para dar permissão a um usuário para fazer algo, um administrador deve anexar uma política de permissões ao usuário. Ou o administrador pode adicionar o usuário a um grupo que tenha as permissões pretendidas. Quando um administrador concede permissões a um grupo, todos os usuários desse grupo recebem essas permissões.
As políticas do IAM definem permissões para uma ação, independentemente do método usado para executar a operação. Por exemplo, suponha que você tenha uma política que permite a ação `iam:GetRole`. Um usuário com essa política pode obter informações de função da Console de gerenciamento da AWS AWS CLI, da ou da AWS API.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissões JSON que você pode anexar a uma identidade, como usuário, grupo de usuários ou perfil do IAM. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser categorizadas como *políticas em linha* ou *políticas gerenciadas*. As políticas em linha são anexadas diretamente a um único usuário, grupo ou perfil. As políticas gerenciadas são políticas independentes que podem ser anexadas a vários usuários, grupos e perfis na Conta da AWS. As políticas AWS gerenciadas incluem políticas gerenciadas e políticas gerenciadas pelo cliente. Para saber como escolher entre uma política gerenciada ou uma política em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline) no *Guia do Usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais menos comuns. Esses tipos de política podem definir o máximo de permissões concedidas a você pelos tipos de política mais comuns.
+ **Limites de permissões**: um limite de permissões é um recurso avançado no qual você define o máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM (usuário ou perfil do IAM). É possível definir um limite de permissões para uma entidade. As permissões resultantes são a interseção das políticas baseadas em identidade da entidade e seus limites de permissões. As políticas baseadas em recursos que especificam o usuário ou o perfil no campo `Principal` não são limitadas pelo limite de permissões. Uma negação explícita em qualquer uma dessas políticas substitui a permissão. Para obter mais informações sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — SCPs são políticas JSON que especificam as permissões máximas para uma organização ou unidade organizacional (OU) em AWS Organizations. AWS Organizations é um serviço para agrupar e gerenciar centralmente vários Contas da AWS que sua empresa possui. Se você habilitar todos os recursos em uma organização, poderá aplicar políticas de controle de serviço (SCPs) a qualquer uma ou a todas as suas contas. O SCP limita as permissões para entidades nas contas dos membros, incluindo cada uma Usuário raiz da conta da AWS. Para obter mais informações sobre Organizations e SCPs, consulte [Como SCPs trabalhar](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html) no *Guia AWS Organizations do Usuário*.
+ **Políticas de sessão**: são políticas avançadas que você transmite como um parâmetro quando cria de forma programática uma sessão temporária para um perfil ou um usuário federado. As permissões da sessão resultante são a interseção das políticas baseadas em identidade do usuário ou do perfil e das políticas de sessão. As permissões também podem ser provenientes de uma política baseada em recursos. Uma negação explícita em qualquer uma dessas políticas substitui a permissão. Para obter mais informações, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como AWS Clean Rooms funciona com o IAM
Antes de usar o IAM para gerenciar o acesso AWS Clean Rooms, saiba com quais recursos do IAM estão disponíveis para uso AWS Clean Rooms.
**Recursos do IAM que você pode usar com AWS Clean Rooms**
| Recurso do IAM | AWS Clean Rooms apoio |
| --- | --- |
| [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies) | Sim |
| [Políticas baseadas em recurso](#security_iam_service-with-iam-resource-based-policies) | Parcial |
| [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sim |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sim |
| [Chaves de condição de política (específicas do serviço)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Parcial |
| [ACLs](#security_iam_service-with-iam-acls) | Não |
| [ABAC (tags em políticas)](#security_iam_service-with-iam-tags) | Sim |
| [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds) | Sim |
| [Sessões de acesso direto (FAS)](#security_iam_service-with-iam-principal-permissions) | Sim |
| [Perfis de serviço](#security_iam_service-with-iam-roles-service) | Sim |
| [Perfis vinculados a serviço](#security_iam_service-with-iam-roles-service-linked) | Não |
Para ter uma visão de alto nível de como AWS Clean Rooms e outros Serviços da AWS funcionam com a maioria dos recursos do IAM, consulte [Serviços da AWS esse trabalho com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Políticas baseadas em identidade para AWS Clean Rooms
**Compatível com políticas baseadas em identidade:** sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Exemplos de políticas baseadas em identidade para AWS Clean Rooms
Para ver exemplos de políticas AWS Clean Rooms baseadas em identidade, consulte. [Exemplos de políticas baseadas em identidade para AWS Clean Rooms](security_iam_id-based-policy-examples.md)
## Políticas baseadas em recursos dentro AWS Clean Rooms
**Compatível com políticas baseadas em recursos:** Parcial
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS
Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
O AWS Clean Rooms serviço oferece suporte a apenas um tipo de política baseada em recursos, chamada política de *recursos gerenciados de modelo semelhante configurado*, que é anexada a um modelo semelhante configurado. Essa política define quais entidades principais podem realizar ações no modelo de semelhanças configurado.
Para saber como anexar uma política baseada em recursos a um modelo de semelhanças configurado, consulte **[Comportamentos do IAM para AWS Clean Rooms ML](ml-behaviors.md)**.
## Ações políticas para AWS Clean Rooms
**Compatível com ações de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
Para ver uma lista de AWS Clean Rooms ações, consulte [Ações definidas por AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscleanrooms.html) na *Referência de Autorização de Serviço*.
As ações de política AWS Clean Rooms usam o seguinte prefixo antes da ação.
```
cleanrooms
```
Para especificar várias ações em uma única declaração, separe-as com vírgulas.
```
"Action": [
"cleanrooms:action1",
"cleanrooms:action2"
]
```
Para ver exemplos de políticas AWS Clean Rooms baseadas em identidade, consulte. [Exemplos de políticas baseadas em identidade para AWS Clean Rooms](security_iam_id-based-policy-examples.md)
## Recursos políticos para AWS Clean Rooms
**Compatível com recursos de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Para ver uma lista dos tipos de AWS Clean Rooms recursos e seus ARNs, consulte [Recursos definidos por AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-resources-for-iam-policies) na *Referência de Autorização de Serviço*. Para saber com quais ações é possível especificar o ARN de cada atributo, consulte [Ações definidas pelo AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).
Para ver exemplos de políticas AWS Clean Rooms baseadas em identidade, consulte. [Exemplos de políticas baseadas em identidade para AWS Clean Rooms](security_iam_id-based-policy-examples.md)
## Chaves de condição de política para AWS Clean Rooms
**Compatível com chaves de condição de política específicas do serviço:** parcial
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Para saber como o AWS Clean Rooms ML usa chaves de condição de política, consulte **[Comportamentos do IAM para AWS Clean Rooms ML](ml-behaviors.md)**.
## ACLs in AWS Clean Rooms
**Suportes ACLs:** Não
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
## ABAC com AWS Clean Rooms
**Compatível com ABAC (tags em políticas):** sim
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades e AWS recursos do IAM e, em seguida, criar políticas ABAC para permitir operações quando a tag do diretor corresponder à tag no recurso.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.
Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**
Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.
## Usando credenciais temporárias com AWS Clean Rooms
**Compatível com credenciais temporárias:** sim
As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Sessões de acesso direto para AWS Clean Rooms
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Funções de serviço para AWS Clean Rooms
**Compatível com perfis de serviço:** sim
O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
**Atenção**
Alterar as permissões de uma função de serviço pode interromper AWS Clean Rooms a funcionalidade. Edite as funções de serviço somente quando AWS Clean Rooms fornecer orientação para fazer isso.
## Funções vinculadas a serviços para AWS Clean Rooms
**Compatível com perfis vinculados ao serviço:** Não
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
Para obter detalhes sobre como criar ou gerenciar perfis vinculados a serviços, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Encontre um serviço na tabela que inclua um `Yes` na coluna **Perfil vinculado ao serviço**. Escolha o link **Sim** para visualizar a documentação do perfil vinculado a serviço desse serviço.
# Exemplos de políticas baseadas em identidade para AWS Clean Rooms
Por padrão, usuários e perfis não têm permissão para criar ou modificar recursos do AWS Clean Rooms . Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.
Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.
Para obter detalhes sobre ações e tipos de recursos definidos por AWS Clean Rooms, incluindo o formato do ARNs para cada um dos tipos de recursos, consulte [Ações, recursos e chaves de condição AWS Clean Rooms na Referência de](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html) *Autorização de Serviço*.
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Usando o AWS Clean Rooms console](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir AWS Clean Rooms recursos em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Usando o AWS Clean Rooms console
Para acessar o AWS Clean Rooms console, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os AWS Clean Rooms recursos em seu Conta da AWS. Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.
Para garantir que usuários e funções ainda possam usar o AWS Clean Rooms console, anexe também a política AWS Clean Rooms `FullAccess` ou a política `ReadOnly` AWS gerenciada às entidades. Para obter informações, consulte [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS políticas gerenciadas para AWS Clean Rooms
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) for lançada ou novas operações de API forem disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
## AWS política gerenciada: `AWSCleanRoomsReadOnlyAccess`
Você pode conectar `AWSCleanRoomsReadOnlyAccess` às suas entidades principais do IAM.
Essa política concede permissões somente leitura aos recursos e metadados em uma colaboração `AWSCleanRoomsReadOnlyAccess`.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `CleanRoomsRead` – Permite que as entidades principais tenham acesso somente leitura ao serviço.
+ `ConsoleDisplayTables`— Permite que os diretores tenham acesso somente para leitura aos AWS Glue metadados necessários para mostrar dados sobre as AWS Glue tabelas subjacentes no console.
+ `ConsoleLogSummaryQueryLogs` – Permite que as entidades principais vejam os logs de consultas.
+ `ConsoleLogSummaryObtainLogs` – Permite que as entidades principais recuperem os resultados do log.
Para obter uma lista JSON dos detalhes da política, consulte o *Guia [AWSCleanRoomsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsReadOnlyAccess.html)de referência de políticas AWS gerenciadas*.
## AWS política gerenciada: `AWSCleanRoomsFullAccess`
Você pode conectar `AWSCleanRoomsFullAccess` às suas entidades principais do IAM.
Essa política concede permissões administrativas que permitem acesso total (leitura, gravação e atualização) aos recursos e metadados em uma AWS Clean Rooms colaboração. Essa política inclui acesso para realizar consultas.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `CleanRoomsAccess`— Concede acesso total a todas as ações em todos os recursos do AWS Clean Rooms.
+ `PassServiceRole` – Concede acesso para passar um perfil de serviço somente para o serviço (condição `PassedToService`) que tem "cleanrooms" em seu nome.
+ `ListRolesToPickServiceRole`— Permite que os diretores listem todas as suas funções para escolher uma função de serviço ao usar AWS Clean Rooms.
+ `GetRoleAndListRolePoliciesToInspectServiceRole` – Permite que as entidades principais vejam o perfil de serviço e a política correspondente no IAM.
+ `ListPoliciesToInspectServiceRolePolicy` – Permite que as entidades principais vejam o perfil de serviço e a política correspondente no IAM.
+ `GetPolicyToInspectServiceRolePolicy` – Permite que as entidades principais vejam o perfil de serviço e a política correspondente no IAM.
+ `ConsoleDisplayTables`— Permite que os diretores tenham acesso somente para leitura aos AWS Glue metadados necessários para mostrar dados sobre as AWS Glue tabelas subjacentes no console.
+ `ConsolePickQueryResultsBucketListAll` – Permite que as entidades principais escolham um bucket do Amazon S3 em uma lista de todos os buckets do S3 disponíveis nos quais seus resultados de consulta são gravados.
+ `SetQueryResultsBucket` – Permite que as entidades principais escolham um bucket do S3 no qual os resultados de consulta são gravados.
+ `ConsoleDisplayQueryResults` – Permite que as entidades principais mostrem ao cliente os resultados de consulta, lidos do bucket do S3.
+ `WriteQueryResults` – Permite que as entidades principais gravem os resultados de consulta em um bucket S3 de propriedade do cliente.
+ `EstablishLogDeliveries`— Permite que os diretores entreguem registros de consulta ao grupo de registros do Amazon CloudWatch Logs de um cliente.
+ `SetupLogGroupsDescribe`— Permite que os diretores usem o processo de criação de grupos de CloudWatch logs do Amazon Logs.
+ `SetupLogGroupsCreate`— Permite que os diretores criem um grupo de CloudWatch logs do Amazon Logs.
+ `SetupLogGroupsResourcePolicy`— Permite que os diretores configurem uma política de recursos no grupo de CloudWatch registros do Amazon Logs.
+ `ConsoleLogSummaryQueryLogs` – Permite que as entidades principais vejam os logs de consultas.
+ `ConsoleLogSummaryObtainLogs` – Permite que as entidades principais recuperem os resultados do log.
Para obter uma lista JSON dos detalhes da política, consulte o *Guia [AWSCleanRoomsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsFullAccess.html)de referência de políticas AWS gerenciadas*.
## AWS política gerenciada: `AWSCleanRoomsFullAccessNoQuerying`
Você pode conectar `AWSCleanRoomsFullAccessNoQuerying` às suas IAM principals.
Essa política concede permissões administrativas que permitem acesso total (leitura, gravação e atualização) aos recursos e metadados em uma AWS Clean Rooms colaboração. Essa política exclui o acesso para realizar consultas.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `CleanRoomsAccess`— Concede acesso total a todas as ações em todos os recursos AWS Clean Rooms, exceto para consultas em colaborações.
+ `CleanRoomsNoQuerying` – Nega explicitamente `StartProtectedQuery` e `UpdateProtectedQuery` para evitar consultas.
+ `PassServiceRole` – Concede acesso para passar um perfil de serviço somente para o serviço (condição `PassedToService`) que tem "cleanrooms" em seu nome.
+ `ListRolesToPickServiceRole`— Permite que os diretores listem todas as suas funções para escolher uma função de serviço ao usar AWS Clean Rooms.
+ `GetRoleAndListRolePoliciesToInspectServiceRole` – Permite que as entidades principais vejam o perfil de serviço e a política correspondente no IAM.
+ `ListPoliciesToInspectServiceRolePolicy` – Permite que as entidades principais vejam o perfil de serviço e a política correspondente no IAM.
+ `GetPolicyToInspectServiceRolePolicy` – Permite que as entidades principais vejam o perfil de serviço e a política correspondente no IAM.
+ `ConsoleDisplayTables`— Permite que os diretores tenham acesso somente para leitura aos AWS Glue metadados necessários para mostrar dados sobre as AWS Glue tabelas subjacentes no console.
+ `EstablishLogDeliveries`— Permite que os diretores entreguem registros de consulta ao grupo de registros do Amazon CloudWatch Logs de um cliente.
+ `SetupLogGroupsDescribe`— Permite que os diretores usem o processo de criação de grupos de CloudWatch logs do Amazon Logs.
+ `SetupLogGroupsCreate`— Permite que os diretores criem um grupo de CloudWatch logs do Amazon Logs.
+ `SetupLogGroupsResourcePolicy`— Permite que os diretores configurem uma política de recursos no grupo de CloudWatch registros do Amazon Logs.
+ `ConsoleLogSummaryQueryLogs` – Permite que as entidades principais vejam os logs de consultas.
+ `ConsoleLogSummaryObtainLogs` – Permite que as entidades principais recuperem os resultados do log.
+ `cleanrooms`: gerencie colaborações, modelos de análise, tabelas configuradas, associações e recursos relacionados no serviço AWS Clean Rooms . Realize várias operações, como criar, atualizar, excluir, listar e recuperar informações sobre esses recursos.
+ `iam`— Passe funções de serviço com nomes contendo `cleanrooms` "" para o AWS Clean Rooms serviço. Liste funções, políticas e inspecione funções de serviço e políticas relacionadas ao AWS Clean Rooms serviço.
+ `glue`— recupere informações sobre bancos de dados, tabelas, partições e esquemas do. AWS Glue Isso é necessário para que o AWS Clean Rooms serviço exiba e interaja com as fontes de dados subjacentes.
+ `logs`— Gerencie entregas de registros, grupos de registros e políticas de recursos para o CloudWatch Logs. Consulte e recupere registros relacionados ao AWS Clean Rooms serviço. Essas permissões são necessárias para fins de monitoramento, auditoria e solução de problemas no serviço.
A política também nega explicitamente as ações `cleanrooms:StartProtectedQuery` e `cleanrooms:UpdateProtectedQuery` para impedir que os usuários realizem ou atualizem diretamente consultas protegidas, o que deve ser feito por meio de mecanismos controlados do AWS Clean Rooms .
Para obter uma lista JSON dos detalhes da política, consulte o *Guia [AWSCleanRoomsFullAccessNoQuerying](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsFullAccessNoQuerying.html)de referência de políticas AWS gerenciadas*.
## AWS política gerenciada: `AWSCleanRoomsMLReadOnlyAccess`
Você pode conectar `AWSCleanRoomsMLReadOnlyAccess` às suas entidades principais do IAM.
Essa política concede permissões somente leitura aos recursos e metadados em uma colaboração `AWSCleanRoomsMLReadOnlyAccess`.
Esta política inclui as seguintes permissões:
+ `CleanRoomsConsoleNavigation`— Concede acesso para visualizar as telas do AWS Clean Rooms console.
+ `CleanRoomsMLRead`: permite que as entidades principais tenham acesso somente leitura ao serviço Clean Rooms ML.
+ `PassCleanRoomsResources`— Concede acesso para passar AWS Clean Rooms recursos específicos.
Para obter uma lista JSON dos detalhes da política, consulte [AWSCleanRooms MLRead OnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsMLReadOnlyAccess.html) no *Guia de referência de políticas AWS gerenciadas*.
## AWS política gerenciada: `AWSCleanRoomsMLFullAccess`
Você pode conectar `AWSCleanRoomsMLFullAcces` às suas entidades principais do IAM. Essa política concede permissões administrativas que autorizam acesso total (leitura, gravação e atualização) aos recursos e aos metadados necessários ao Clean Rooms ML.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `CleanRoomsMLFullAccess`: concede acesso a todas as ações do Clean Rooms ML.
+ `PassServiceRole` – Concede acesso para passar um perfil de serviço somente para o serviço (condição `PassedToService`) que tem "cleanrooms-ml" em seu nome.
+ `CleanRoomsConsoleNavigation`— Concede acesso para visualizar as telas do AWS Clean Rooms console.
+ `CollaborationMembershipCheck`— Quando você inicia um trabalho de geração de público (segmento semelhante) em uma colaboração, o serviço Clean Rooms ML liga `ListMembers` para verificar se a colaboração é válida, se o chamador é um membro ativo e se o proprietário do modelo de público configurado é um membro ativo. Essa permissão é sempre necessária; o SID de navegação do console só é necessário para usuários do console.
+ `PassCleanRoomsResources`— Concede acesso para passar AWS Clean Rooms recursos específicos.
+ `AssociateModels`: permite que as entidades principais associem um modelo do Clean Rooms ML à colaboração.
+ `TagAssociations`: permite que as entidades principais adicionem tags à associação entre um modelo de semelhanças e uma colaboração.
+ `ListRolesToPickServiceRole`— Permite que os diretores listem todas as suas funções para escolher uma função de serviço ao usar AWS Clean Rooms.
+ `GetRoleAndListRolePoliciesToInspectServiceRole` – Permite que as entidades principais vejam o perfil de serviço e a política correspondente no IAM.
+ `ListPoliciesToInspectServiceRolePolicy` – Permite que as entidades principais vejam o perfil de serviço e a política correspondente no IAM.
+ `GetPolicyToInspectServiceRolePolicy` – Permite que as entidades principais vejam o perfil de serviço e a política correspondente no IAM.
+ `ConsoleDisplayTables`— Permite que os diretores tenham acesso somente para leitura aos AWS Glue metadados necessários para mostrar dados sobre as AWS Glue tabelas subjacentes no console.
+ `ConsolePickOutputBucket`: permite que as entidades principais selecionem buckets do Amazon S3 para saídas configuradas do modelo de público.
+ `ConsolePickS3Location`: permite que as entidades principais selecionem o local em um bucket para saídas configuradas do modelo de público.
+ `ConsoleDescribeECRRepositories`— Permite que os diretores descrevam repositórios e imagens do Amazon ECR.
Para obter uma lista JSON dos detalhes da política, consulte [AWSCleanRooms MLFull Access](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsMLFullAccess.html) no *Guia de referência de políticas AWS gerenciadas*.
## AWS Clean Rooms atualizações nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas AWS Clean Rooms desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico do AWS Clean Rooms documento.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery)— Atualização da política existente | Salas limpas adicionadas: UpdateConfiguredTableAllowedColumns e salas limpas: a. UpdateConfiguredTableReference CleanRoomsAccess | 29 de julho de 2025 |
| [AWSCleanRoomsMLReadOnlyAccess](#ml-read-only): atualizar para uma política existente. | Adição de PassCleanRoomsResources a AWSCleanRoomsMLReadOnlyAccess. PassCleanRoomsResources e ConsoleDescribeECRRepositories adicionados a AWSCleanRoomsMLFullAccess. | 10 de janeiro de 2025 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery): atualizar para uma política existente. | Adição de cleanrooms:BatchGetSchemaAnalysisRule a CleanRoomsAccess. | 13 de maio de 2024 |
| [AWSCleanRoomsFullAccess](#security-iam-awsmanpol-fullaccess): atualizar para uma política existente. | Em AWSCleanRoomsFullAccess, o ID da declaração foi atualizado de ConsolePickQueryResultsBucket para SetQueryResultsBucket nessa política para representar melhor as permissões, pois elas são necessárias para definir o bucket de resultados da consulta com e sem o console. | 21 de março de 2024 |
| [AWSCleanRoomsMLReadOnlyAccess](#ml-read-only) – Nova política [AWSCleanRoomsMLFullAccess](#ml-full-access) – Nova política | Adicionado AWSCleanRoomsMLReadOnlyAccess e AWSCleanRoomsMLFullAccess para dar suporte ao AWS Clean Rooms ML. | 29 de novembro de 2023 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery): atualizar para uma política existente. | Adição de cleanrooms:CreateAnalysisTemplate, cleanrooms:GetAnalysisTemplate, cleanrooms:UpdateAnalysisTemplate, cleanrooms:DeleteAnalysisTemplate, cleanrooms:ListAnalysisTemplates, cleanrooms:GetCollaborationAnalysisTemplate, cleanrooms:BatchGetCollaborationAnalysisTemplate e cleanrooms:ListCollaborationAnalysisTemplates a CleanRoomsAccess para habilitar o novo recurso de modelo de análise. | 31 de julho de 2023 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery): atualizar para uma política existente. | Adicionado cleanrooms:ListTagsForResource, cleanrooms:UntagResource e cleanrooms:TagResource para CleanRoomsAccess habilitar a marcação de recursos. | 21 de março de 2023 |
| AWS Clean Rooms começou a rastrear as alterações | AWS Clean Rooms começou a rastrear as mudanças em suas políticas AWS gerenciadas. | 12 de janeiro de 2023 |
# Solução de problemas AWS Clean Rooms de identidade e acesso
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com AWS Clean Rooms um IAM.
**Topics**
+ [Não estou autorizado a realizar uma ação em AWS Clean Rooms](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas fora da minha Conta da AWS acessem meus AWS Clean Rooms recursos](#security_iam_troubleshoot-cross-account-access)
## Não estou autorizado a realizar uma ação em AWS Clean Rooms
Se você receber uma mensagem de erro informando que não tem autorização para executar uma ação, é preciso atualizar suas políticas para permitir que você realize a ação.
O erro do exemplo a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para exibir detalhes sobre um recurso do `my-example-widget` fictício, mas não tem as permissões fictícias do `cleanrooms:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cleanrooms:GetWidget on resource: my-example-widget
```
Nesse caso, a política de Mateo deve ser atualizada para permitir que ele tenha acesso ao recurso `my-example-widget` usando a ação `cleanrooms:GetWidget`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Não estou autorizado a realizar iam: PassRole
Se você receber uma mensagem de erro informando que não está autorizado a executar a ação `iam:PassRole`, as suas políticas devem ser atualizadas para permitir que você passe uma função para o AWS Clean Rooms.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazê-lo, você deve ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando uma usuária do IAM chamada `marymajor` tenta utilizar o console para executar uma ação no AWS Clean Rooms. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas fora da minha Conta da AWS acessem meus AWS Clean Rooms recursos
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil.
Para saber mais, consulte:
+ Para saber se é AWS Clean Rooms compatível com esses recursos, consulte[Como AWS Clean Rooms funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre usar perfis e políticas baseadas em recursos para acesso entre contas, consulte [Como os perfis do IAM diferem de políticas baseadas em recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) no *Guia do usuário do IAM*.
# Prevenção do problema "confused deputy" entre serviços
O problema "confused deputy" é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executar a ação. Em AWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado. A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com entidades principais de serviço que receberam acesso aos recursos em sua conta.
Recomendamos usar as chaves de contexto de condição global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) nas políticas de recursos para limitar as permissões que o AWS Clean Rooms concede outro serviço ao recurso. Use `aws:SourceArn` se quiser que apenas um recurso seja associado ao acesso entre serviços.
A maneira mais eficaz de se proteger contra o problema do confused deputy é usar a chave de contexto de condição global `aws:SourceArn` com o ARN completo do recurso. Em AWSClean Rooms, você também precisa comparar com a chave de `sts:ExternalId` condição.
O valor de `aws:SourceArn` deve ser definido como o ARN da associação da função assumida.
O exemplo a seguir mostra como você pode usar a chave de contexto da condição global `aws:SourceArn` no AWS Clean Rooms para evitar o problema confused deputy.
**nota**
O exemplo de política se aplica à política de confiança da função de serviço AWS Clean Rooms usada para acessar dados e metadados de uma tabela configurada.
O valor de ** precisa ser definido como o ID de associação do executor da consulta.
Todos os membros da colaboração podem visualizar os metadados da tabela configurada para que cada ARN de associação deva ser incluído na lista de membros. ARNs
**nota**
Quando uma função de serviço é criada por meio do AWS Clean Rooms console, todos os membros atuais da colaboração são incluídos na condição confusa de substituto por padrão.
Se você estiver adicionando novos membros a uma colaboração que já tem tabelas configuradas associadas a ela, certifique-se de atualizar a condição confusa de substituto da sua função de serviço com o ARN de associação do novo membro.
Se você não atualizar a condição confusa de substituto de sua função de serviço após adicionar um novo membro, esse novo membro não poderá acessar as informações recuperadas usando essa função. AWS Clean Rooms
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowIfExternalIdMatches",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringLike": {
"sts:ExternalId": "arn:aws:*:us-east-1:*:dbuser:*/*"
}
}
},
{
"Sid": "AllowIfSourceArnMatches",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ForAnyValue:ArnEquals": {
"aws:SourceArn": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/",
"arn:aws:cleanrooms:us-east-1:444455556666:membership/"
]
}
}
}
]
}
```
------
# Comportamentos do IAM para AWS Clean Rooms ML
## Trabalhos entre contas
O Clean Rooms ML permite que determinados recursos criados por um Conta da AWS sejam acessados com segurança em sua conta por outro. Conta da AWS Quando um cliente em A chama Conta da AWS `StartAudienceGenerationJob` um `ConfiguredAudienceModel` recurso de propriedade de Conta da AWS B, o Clean Rooms ML cria dois ARNs para o trabalho. Um ARN em Conta da AWS A e outro em B. Conta da AWS Eles ARNs são idênticos, exceto por seus Conta da AWS.
O Clean Rooms ML cria duas ARNs para o trabalho para garantir que ambas as contas possam aplicar suas próprias políticas de IAM aos trabalhos. Por exemplo, ambas as contas podem usar o controle de acesso baseado em tags e aplicar políticas de sua AWS organização. O trabalho processa dados de ambas as contas, para que elas possam excluir o trabalho e os dados associados. Nenhuma conta pode impedir que a outra exclua o trabalho.
Há apenas uma execução de trabalho e ambas as contas podem ver o trabalho quando chamam `ListAudienceGenerationJobs`. Ambas as contas podem ligar para `Get``Delete`, e `Export` APIs trabalhar usando o ARN com seu próprio Conta da AWS ID.
Nenhum deles Conta da AWS pode acessar o trabalho usando um ARN com o outro Conta da AWS ID.
O nome do trabalho deve ser exclusivo em uma Conta da AWS. O nome em Conta da AWS B é*\$1accountA-\$1name*. O nome escolhido por Conta da AWS A é prefixado com Conta da AWS A quando o trabalho é visualizado em B. Conta da AWS
Para que uma conta cruzada `StartAudienceGenerationJob` seja bem-sucedida, Conta da AWS B deve permitir essa ação no novo trabalho em Conta da AWS B e `ConfiguredAudienceModel` no Conta da AWS B usando uma política de recursos semelhante ao exemplo a seguir:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Clean-Rooms-CAMA-ID",
"Effect": "Allow",
"Principal": {
"AWS": [
"111122223333"
]
},
"Action": [
"cleanrooms-ml:StartAudienceGenerationJob"
],
"Resource": [
"arn:aws:cleanrooms-ml:us-east-1:444455556666:configured-audience-model/id",
"arn:aws:cleanrooms-ml:us-east-1:444455556666:audience-generation-job/*"
],
"Condition":{"StringEquals":{"cleanrooms-ml:CollaborationId":"UUID"}}
}
]
}
```
------
**nota**
Essa política AWS Clean Rooms de recursos de ML faz referência a duas diferentes Conta da AWS IDs para oferecer suporte à geração de público entre contas:
**111122223333** - Essa é a conta que contém o principal (usuário, função ou serviço) autorizado a iniciar trabalhos de geração de público. Essa conta inicia o fluxo de trabalho de processamento de ML.
**444455556666** - Essa é a conta que possui os recursos de AWS Clean Rooms ML (o modelo de público configurado e os trabalhos de geração de público). Essa conta hospeda os modelos de ML e gerencia a execução do trabalho.
**Notas adicionais de configuração:**
**ID da declaração (Sid)**: `CAMA-ID` substitua pelo identificador real do AWS Clean Rooms Audience Model Application (CAMA) para tornar a declaração de política facilmente identificável.
**Recurso IDs**: *id* substitua pela ID real do seu modelo de público *UUID* configurado e pela sua ID de colaboração específica.
**Condição**: A `cleanrooms-ml:CollaborationId` condição garante que os trabalhos de geração de público só possam ser iniciados dentro do contexto da AWS Clean Rooms colaboração especificada, fornecendo um limite de segurança adicional.
Essa configuração entre contas permite cenários em que uma organização gerencia os modelos e a infraestrutura de ML, permitindo que parceiros autorizados iniciem processos de geração de público dentro dos limites de seu contrato de colaboração.
Se você usa a [API de ML do AWS Clean Rooms](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/Welcome.html) para criar um modelo semelhante configurado com `manageResourcePolicies` definido como verdadeiro, AWS Clean Rooms cria essa política para você.
Além disso, a política de identidade do chamador em A precisa Conta da AWS de `StartAudienceGenerationJob` permissão ativada`arn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/*`. Portanto, há três recursos do IAM para ação`StartAudienceGenerationJob`: o Conta da AWS trabalho A, o trabalho Conta da AWS Conta da AWS B e o `ConfiguredAudienceModel` B.
**Atenção**
A Conta da AWS pessoa que iniciou o trabalho recebe um evento AWS CloudTrail de registro de auditoria sobre o trabalho. A Conta da AWS proprietária de `ConfiguredAudienceModel` não recebe um evento de logs de auditoria do AWS CloudTrail .
## Marcação de trabalhos
Quando você define o parâmetro `childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE` de `CreateConfiguredAudienceModel`, todos os trabalhos de geração de segmentos de semelhanças em sua conta que são criados com base nesse modelo de semelhanças configurado têm como padrão as mesmas tags do modelo de semelhanças configurado. O modelo de semelhanças configurado é o pai e o trabalho de geração do segmento de semelhanças é o filho.
Se você estiver criando um trabalho em sua própria conta, as tags de solicitação do trabalho substituirão as tags pais. Os trabalhos criados por outras contas nunca criam tags em sua conta. Se você definir `childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE` e outra conta criar um trabalho, haverá duas cópias do trabalho. A cópia na sua conta tem as tags do recurso pai e a cópia na conta do remetente do trabalho tem as tags da solicitação.
## Validar colaboradores
Ao conceder permissões a outros membros de uma AWS Clean Rooms colaboração, a política de recursos deve incluir a chave `cleanrooms-ml:CollaborationId` de condição. Isso faz com que o `collaborationId` parâmetro seja incluído na [StartAudienceGenerationJob](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_StartAudienceGenerationJob.html)solicitação. Quando o parâmetro `collaborationId` é incluído na solicitação, o Clean Rooms ML confirma que a colaboração existe, o remetente do trabalho é um membro ativo da colaboração e o proprietário do modelo de semelhanças configurado é um membro ativo da colaboração.
Quando AWS Clean Rooms gerencia sua política de recursos de modelo semelhante configurada (o `manageResourcePolicies` parâmetro está sendo `TRUE` [CreateConfiguredAudienceModelAssociation solicitado](https://docs.aws.amazon.com/clean-rooms/latest/apireference/API_CreateConfiguredAudienceModelAssociation.html)), essa chave de condição será definida na política de recursos. Portanto, você deve especificar a `collaborationId` entrada [StartAudienceGenerationJob](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_StartAudienceGenerationJob.html).
## Acesso entre contas
Só `StartAudienceGenerationJob` pode ser chamado em várias contas. Todos os outros Clean Rooms ML só APIs podem ser usados com recursos em sua própria conta. Isso garante que seus dados de treinamento, configuração de modelo de semelhanças e outras informações permaneçam privadas.
O Clean Rooms ML nunca revela o Amazon S3 ou AWS Glue localizações em todas as contas. O local dos dados de treinamento, o local de saída do modelo de semelhanças configurado e o local de seed do trabalho de geração de segmentos de semelhanças nunca são visíveis em todas as contas. A menos que o registro em log de consultas esteja habilitado na colaboração, não é possível visualizar nas contas se os dados iniciais provêm de uma consulta SQL, bem como a consulta em si. Se você usar `Get` em um trabalho de geração de público enviado por outra conta, o serviço não mostrará o local de seed.
# Comportamentos do IAM para modelos personalizados de ML de salas limpas
## Trabalhos entre contas
O Clean Rooms ML permite que determinados recursos associados a uma colaboração criada por um Conta da AWS sejam acessados com segurança em sua conta por outro. Conta da AWS Um cliente em A com a capacidade de Conta da AWS um membro executar consultas pode chamar `CreateTrainedModel` ou `StartTrainedModelInferenceJob` usar um `ConfiguredModelAlgorithmAssociation` recurso de propriedade de outro membro da colaboração, desde que `ConfiguredModelAlgorithmAssociation` seja permitido pela regra de análise personalizada criada com`CreateConfiguredTableAnalysisRule`. `CreateMLInputChannel`
Além disso, qualquer membro ativo de uma colaboração pode excluir dados associados a um modelo treinado ou canal de entrada de ML por meio do `DeleteTrainedModelOutput` `DeleteMLInputChannelData` APIs e.
## Acesso entre contas
O Clean Rooms ML permite que os usuários recuperem metadados sobre recursos criados por outras contas por meio do e. `GetCollaboration` `ListCollaboration` APIs O Clean Rooms ML não revela chaves ARNs, tags, variáveis de ambiente ou hiperparâmetros do KMS (para a `TrainedModel` ação) para outras contas.
## Acesso à associação e colaboração
Ao acessar recursos de associação e colaboração no contexto dos modelos personalizados do Clean Rooms ML, a política de identidade do usuário precisa de permissões para as ações `cleanrooms:PassMembership``cleanrooms:PassCollaboration`, ou ambas. Todos os APIs que aceitam `membershipId` precisam da `cleanrooms:PassMembership` permissão, e todos os APIs que aceitam `collaborationId` precisam da `cleanrooms:PassCollaboration` permissão. Um exemplo de política de identidade para uma função que pode ser chamada `createTrainedModel` no contexto de uma ID de associação que pode ser chamada `GetCollaborationTrainedModel` no contexto de uma ID de colaboração é fornecida.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCleanroomsMLActions",
"Effect": "Allow",
"Action": [
"cleanrooms:PassCollaboration",
"cleanrooms:PassMembership"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowMembershipAccess",
"Effect": "Allow",
"Action": [
"cleanrooms:GetMembership"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/memberId"
]
},
{
"Sid": "AllowCollaborationAccess",
"Effect": "Allow",
"Action": [
"cleanrooms:GetCollaboration"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:collaboration/collaborationId"
]
}
]
}
```
------
# Validação de conformidade para AWS Clean Rooms
Para saber se um AWS service (Serviço da AWS) está dentro do escopo de programas de conformidade específicos, consulte [Serviços da AWS Escopo por Programa de Conformidade Serviços da AWS](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade em que você está interessado. Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .
Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Sua responsabilidade de conformidade ao usar Serviços da AWS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentos aplicáveis. Para obter mais informações sobre sua responsabilidade de conformidade ao usar Serviços da AWS, consulte a [Documentação AWS de segurança](https://docs.aws.amazon.com/security/).
# Resiliência em AWS Clean Rooms
A infraestrutura AWS global é construída em torno de AWS regiões e zonas de disponibilidade. As regiões fornecem várias zonas de disponibilidade separadas e isoladas fisicamente, que são conectadas com baixa latência, alta throughput e redes altamente redundantes. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que automaticamente executam o failover entre as zonas sem interrupção. As zonas de disponibilidade são altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Para obter mais informações sobre AWS regiões e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Segurança da infraestrutura em AWS Clean Rooms
Como serviço gerenciado, AWS Clean Rooms é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.
Você usa chamadas de API AWS publicadas para acessar AWS Clean Rooms pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
## Segurança de rede
Ao AWS Clean Rooms ler seu bucket do S3 durante a execução da consulta, o tráfego entre AWS Clean Rooms e o Amazon S3 é roteado com segurança pela rede privada. AWS O tráfego em voo é assinado usando o protocolo Amazon Signature versão 4 (SIGv4) e criptografado usando HTTPS. Esse tráfego é autorizado com base no perfil de serviço do IAM que você configurou para sua tabela configurada.
Você pode se conectar programaticamente AWS Clean Rooms por meio de um endpoint. Para obter uma lista de pontos de extremidade de serviço, consulte [endpoints AWS Clean Rooms e cotas](https://docs.aws.amazon.com/general/latest/gr/clean-rooms.html#clean-rooms_region) no *Referência geral da AWS*.
Todos os endpoints de serviço são somente HTTPS. Você pode usar endpoints da Amazon Virtual Private Cloud (VPC) caso queira se conectar a partir da AWS Clean Rooms sua VPC e não queira ter conectividade com a Internet. Para obter mais informações, consulte [Acesse os AWS serviços AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) no *AWS PrivateLink Guia*.
Você pode atribuir políticas do IAM aos seus diretores do IAM, que usam [as chaves de SourceVpce contexto aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce) para restringir seu principal do IAM a fim de poder fazer chamadas apenas AWS Clean Rooms por meio de um endpoint VPC e não pela Internet.
# Access AWS Clean Rooms ou AWS Clean Rooms ML usando um endpoint de interface ()AWS PrivateLink
Você pode usar AWS PrivateLink para criar uma conexão privada entre sua nuvem privada virtual (VPC) AWS Clean Rooms e/ou AWS Clean Rooms ML. Você pode acessar AWS Clean Rooms nosso AWS Clean Rooms ML como se estivesse em sua VPC, sem o uso de um gateway de internet, dispositivo NAT, conexão VPN ou conexão. Direct Connect As instâncias na sua VPC não precisam de endereços IP públicos para acessar o AWS Clean Rooms.
Estabeleça essa conectividade privada criando um *endpoint de interface*, habilitado pelo AWS PrivateLink. Criaremos um endpoint de interface de rede em cada sub-rede que você habilitar para o endpoint de interface. Estas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado ao AWS Clean Rooms.
Para saber mais, consulte [Acessar os Serviços da AWS pelo AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) no *Guia do AWS PrivateLink *.
## Considerações para AWS Clean Rooms
*Antes de configurar um endpoint de interface para AWS Clean Rooms, consulte [as Considerações](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) no AWS PrivateLink Guia.*
AWS Clean Rooms e o AWS Clean Rooms ML oferecem suporte para fazer chamadas para todas as ações de API por meio do endpoint da interface.
As políticas de VPC endpoint não são compatíveis com nem ML. AWS Clean Rooms AWS Clean Rooms Por padrão, o acesso total ao AWS Clean Rooms AWS Clean Rooms ML é permitido por meio do endpoint da interface. Como alternativa, você pode associar um grupo de segurança às interfaces de rede do endpoint para controlar o tráfego AWS Clean Rooms ou o AWS Clean Rooms ML por meio do endpoint da interface.
## Crie um endpoint de interface para AWS Clean Rooms
Você pode criar um endpoint de interface para AWS Clean Rooms ou AWS Clean Rooms ML usando o console Amazon VPC ou AWS Command Line Interface o AWS CLI(). Para obter mais informações, consulte [Criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) no *Guia do usuário do AWS PrivateLink *.
Crie um endpoint de interface para AWS Clean Rooms usar o seguinte nome de serviço.
```
com.amazonaws.region.cleanrooms
```
Crie um endpoint de interface para AWS Clean Rooms ML usando o nome do serviço a seguir.
```
com.amazonaws.region.cleanrooms-ml
```
Se você habilitar o DNS privado para o endpoint da interface, poderá fazer solicitações de API a AWS Clean Rooms usando seu nome DNS regional padrão. Por exemplo, .`cleanrooms-ml.us-east-1.amazonaws.com`