本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 洁净室机器学习自定义模型的 IAM 行为
## Cross-account 工作
Clean Rooms ML 允许另一个人在其帐户中安全地访问与一个人 AWS 账户 创建的协作关联的某些资源 AWS 账户。 AWS 账户 A 中具有成员运行查询能力的客户可以调用`CreateTrainedModel``CreateMLInputChannel`、或`StartTrainedModelInferenceJob`对协作中其他成员拥有的`ConfiguredModelAlgorithmAssociation`资源进行调用,前提`ConfiguredModelAlgorithmAssociation`是使用创建的自定义分析规则允许`CreateConfiguredTableAnalysisRule`。
此外,协作中的任何活跃成员都可以通过`DeleteTrainedModelOutput`和 `DeleteMLInputChannelData` API 删除与经过训练的模型或机器学习输入通道相关的数据。
## Cross-account 访问
Clean Rooms ML 允许用户通过`GetCollaboration`和 `ListCollaboration` API 检索有关其他账户创建的资源的元数据。Clean Rooms ML 不会向其他账户透露 KMS 密钥 ARN、标签、环境变量或超参数(用于`TrainedModel`操作)。
## 成员资格和协作访问权限
在 Clean Rooms ML 自定义模型的上下文中访问成员资格和协作资源时,用户的身份策略需要操作权限 `cleanrooms:PassMembership``cleanrooms:PassCollaboration`,或两者兼而有之。所有接受的 API 都`membershipId`需要`cleanrooms:PassMembership`权限,所有接受的 API 都`collaborationId`需要该`cleanrooms:PassCollaboration`权限。提供了一个角色的身份策略示例,该角色可以在成员身份 ID 的上下文`GetCollaborationTrainedModel`中调用,并且可以在协作 ID 的上下文中进行调用。`createTrainedModel`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCleanroomsMLActions",
"Effect": "Allow",
"Action": [
"cleanrooms:PassCollaboration",
"cleanrooms:PassMembership"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowMembershipAccess",
"Effect": "Allow",
"Action": [
"cleanrooms:GetMembership"
],
"Resource": [
"arn:aws:cleanrooms:{{us-east-1}}:{{111122223333}}:membership/{{memberId}}"
]
},
{
"Sid": "AllowCollaborationAccess",
"Effect": "Allow",
"Action": [
"cleanrooms:GetCollaboration"
],
"Resource": [
"arn:aws:cleanrooms:{{us-east-1}}:{{111122223333}}:collaboration/{{collaborationId}}"
]
}
]
}
```
------