本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 的托管策略 AWS Clean Rooms
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 托管策略:`AWSCleanRoomsReadOnlyAccess`
您可以将 `AWSCleanRoomsReadOnlyAccess` 附加到 IAM 主体。
该策略授予 `AWSCleanRoomsReadOnlyAccess` 协作中的资源和元数据的只读权限。
**权限详细信息**
该策略包含以下权限:
+ `CleanRoomsRead` - 允许主体对服务进行只读访问。
+ `ConsoleDisplayTables`— 允许委托人对在控制台上显示有关基础 AWS Glue 表的数据所需的 AWS Glue 元数据的只读访问权限。
+ `ConsoleLogSummaryQueryLogs` - 允许主体查看查询日志。
+ `ConsoleLogSummaryObtainLogs` - 允许主体检索日志结果。
有关策略详细信息的 JSON 列表,请参阅*AWS 托管策略参考指南[AWSCleanRoomsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsReadOnlyAccess.html)*中的。
## AWS 托管策略:`AWSCleanRoomsFullAccess`
您可以将 `AWSCleanRoomsFullAccess` 附加到 IAM 主体。
此策略授予管理权限,允许对 AWS Clean Rooms 协作中的资源和元数据进行完全访问(读取、写入和更新)。此策略包括执行查询的权限。
**权限详细信息**
该策略包含以下权限:
+ `CleanRoomsAccess`— 授予对所有资源执行所有操作的完全访问权限 AWS Clean Rooms。
+ `PassServiceRole` - 仅授予将服务角色传递给名称中带有“cleanrooms”的服务(`PassedToService` 条件)的访问权限。
+ `ListRolesToPickServiceRole`— 允许委托人列出其所有角色以便在使用 AWS Clean Rooms时选择服务角色。
+ `GetRoleAndListRolePoliciesToInspectServiceRole` - 允许主体在 IAM 中查看服务角色和相应的策略。
+ `ListPoliciesToInspectServiceRolePolicy` - 允许主体在 IAM 中查看服务角色和相应的策略。
+ `GetPolicyToInspectServiceRolePolicy` - 允许主体在 IAM 中查看服务角色和相应的策略。
+ `ConsoleDisplayTables`— 允许委托人对在控制台上显示有关基础 AWS Glue 表的数据所需的 AWS Glue 元数据的只读访问权限。
+ `ConsolePickQueryResultsBucketListAll` - 允许主体从查询结果写入的所有可用 S3 存储桶的列表中选择一个 Amazon S3 存储桶。
+ `SetQueryResultsBucket` - 允许主体选择查询结果写入的 S3 存储桶。
+ `ConsoleDisplayQueryResults` - 允许主体向客户显示从 S3 存储桶读取的查询结果。
+ `WriteQueryResults` - 允许主体将查询结果写入客户拥有的 S3 存储桶。
+ `EstablishLogDeliveries`— 允许委托人将查询日志传送到客户的 Amazon Lo CloudWatch gs 日志组。
+ `SetupLogGroupsDescribe`— 允许委托人使用 Amazon Logs CloudWatch 日志组的创建流程。
+ `SetupLogGroupsCreate`— 允许委托人创建 Amazon CloudWatch 日志组。
+ `SetupLogGroupsResourcePolicy`— 允许委托人在 Amazon Logs CloudWatch 日志组上设置资源策略。
+ `ConsoleLogSummaryQueryLogs` - 允许主体查看查询日志。
+ `ConsoleLogSummaryObtainLogs` - 允许主体检索日志结果。
有关策略详细信息的 JSON 列表,请参阅*AWS 托管策略参考指南[AWSCleanRoomsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsFullAccess.html)*中的。
## AWS 托管策略:`AWSCleanRoomsFullAccessNoQuerying`
您可以将 `AWSCleanRoomsFullAccessNoQuerying` 附加到 IAM principals。
此策略授予管理权限,允许对 AWS Clean Rooms 协作中的资源和元数据进行完全访问(读取、写入和更新)。此策略不包括执行查询的权限。
**权限详细信息**
该策略包含以下权限:
+ `CleanRoomsAccess`— 授予对所有资源的所有操作的完全访问权限 AWS Clean Rooms,协作中查询除外。
+ `CleanRoomsNoQuerying` - 明确拒绝 `StartProtectedQuery` 和 `UpdateProtectedQuery`,阻止查询。
+ `PassServiceRole` - 仅授予将服务角色传递给名称中带有“cleanrooms”的服务(`PassedToService` 条件)的访问权限。
+ `ListRolesToPickServiceRole`— 允许委托人列出其所有角色以便在使用 AWS Clean Rooms时选择服务角色。
+ `GetRoleAndListRolePoliciesToInspectServiceRole` - 允许主体在 IAM 中查看服务角色和相应的策略。
+ `ListPoliciesToInspectServiceRolePolicy` - 允许主体在 IAM 中查看服务角色和相应的策略。
+ `GetPolicyToInspectServiceRolePolicy` - 允许主体在 IAM 中查看服务角色和相应的策略。
+ `ConsoleDisplayTables`— 允许委托人对在控制台上显示有关基础 AWS Glue 表的数据所需的 AWS Glue 元数据的只读访问权限。
+ `EstablishLogDeliveries`— 允许委托人将查询日志传送到客户的 Amazon Lo CloudWatch gs 日志组。
+ `SetupLogGroupsDescribe`— 允许委托人使用 Amazon Logs CloudWatch 日志组的创建流程。
+ `SetupLogGroupsCreate`— 允许委托人创建 Amazon CloudWatch 日志组。
+ `SetupLogGroupsResourcePolicy`— 允许委托人在 Amazon Logs CloudWatch 日志组上设置资源策略。
+ `ConsoleLogSummaryQueryLogs` - 允许主体查看查询日志。
+ `ConsoleLogSummaryObtainLogs` - 允许主体检索日志结果。
+ `cleanrooms` - 管理 AWS Clean Rooms 服务中的协作、分析模板、配置表、成员身份和关联资源。执行各种操作,例如创建、更新、删除、列出和检索有关这些资源的信息。
+ `iam`— 将名称包含 “`cleanrooms`” 的服务角色传递给 AWS Clean Rooms 服务。列出角色、策略,并检查服务角色和与 AWS Clean Rooms 服务相关的策略。
+ `glue`— 从中检索有关数据库、表、分区和架构的信息。 AWS Glue这是 AWS Clean Rooms 服务显示底层数据源并与之交互所必需的。
+ `logs`— 管理日志传送、日志组和 CloudWatch 日志资源策略。查询和检索与 AWS Clean Rooms 服务相关的日志。对于在服务中进行监控、审计和故障排除,必须具备这些权限。
该策略还明确拒绝 `cleanrooms:StartProtectedQuery` 和 `cleanrooms:UpdateProtectedQuery` 操作,以防用户直接执行或更新受保护的查询,这些操作应当通过 AWS Clean Rooms 受控机制完成。
有关策略详细信息的 JSON 列表,请参阅*AWS 托管策略参考指南[AWSCleanRoomsFullAccessNoQuerying](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsFullAccessNoQuerying.html)*中的。
## AWS 托管策略:`AWSCleanRoomsMLReadOnlyAccess`
您可以将 `AWSCleanRoomsMLReadOnlyAccess` 附加到 IAM 主体。
该策略授予 `AWSCleanRoomsMLReadOnlyAccess` 协作中的资源和元数据的只读权限。
该策略包含以下权限:
+ `CleanRoomsConsoleNavigation`— 授予查看 AWS Clean Rooms 控制台屏幕的权限。
+ `CleanRoomsMLRead` - 允许 Clean Rooms ML 对服务进行只读访问。
+ `PassCleanRoomsResources`— 授予传递指定 AWS Clean Rooms 资源的访问权限。
[有关策略详细信息的 JSON 列表,请参阅AWSClean《*AWS 托管策略参考指南》MLReadOnlyAccess中的 Rooms*。](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsMLReadOnlyAccess.html)
## AWS 托管策略:`AWSCleanRoomsMLFullAccess`
您可以将 `AWSCleanRoomsMLFullAcces` 附加到 IAM 主体。该策略授予管理权限,以允许对 Clean Rooms ML 所需的资源和元数据进行完全访问(读取、写入和更新)。
**权限详细信息**
该策略包含以下权限:
+ `CleanRoomsMLFullAccess` - 授予所有 Clean Rooms ML 操作的访问权限。
+ `PassServiceRole` - 仅授予将服务角色传递给名称中带有“cleanrooms-ml”的服务(`PassedToService` 条件)的访问权限。
+ `CleanRoomsConsoleNavigation`— 授予查看 AWS Clean Rooms 控制台屏幕的权限。
+ `CollaborationMembershipCheck`— 当您在协作中启动受众生成(相似区段)工作时,Clean Rooms ML 服务会调用`ListMembers`以检查协作是否有效,来电者是否为活跃成员,配置的受众模型所有者是否为活跃成员。始终需要该权限;仅控制台用户需要控制台导航 SID。
+ `PassCleanRoomsResources`— 授予传递指定 AWS Clean Rooms 资源的访问权限。
+ `AssociateModels` - 允许主体将 Clean Rooms ML 模型与您的协作相关联。
+ `TagAssociations` - 允许主体将标签添加到相似模型和协作之间的关联中。
+ `ListRolesToPickServiceRole`— 允许委托人列出其所有角色以便在使用 AWS Clean Rooms时选择服务角色。
+ `GetRoleAndListRolePoliciesToInspectServiceRole` - 允许主体在 IAM 中查看服务角色和相应的策略。
+ `ListPoliciesToInspectServiceRolePolicy` - 允许主体在 IAM 中查看服务角色和相应的策略。
+ `GetPolicyToInspectServiceRolePolicy` - 允许主体在 IAM 中查看服务角色和相应的策略。
+ `ConsoleDisplayTables`— 允许委托人对在控制台上显示有关基础 AWS Glue 表的数据所需的 AWS Glue 元数据的只读访问权限。
+ `ConsolePickOutputBucket` - 允许主体为配置的受众模型输出选择 Amazon S3 存储桶。
+ `ConsolePickS3Location` - 允许主体为配置的受众模型输出选择存储桶中的位置。
+ `ConsoleDescribeECRRepositories`— 允许委托人描述 Amazon ECR 存储库和映像。
有关策略详细信息的 JSON 列表,请参阅《*AWS 托管策略参考指南*》中的[AWSClean房间MLFull访问权限](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsMLFullAccess.html)。
## AWS Clean Rooms AWS 托管策略的更新
查看 AWS Clean Rooms 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ AWS Clean Rooms 文档历史记录” 页面上的 RSS feed。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery)— 更新现有政策 | 将洁净室:UpdateConfiguredTableAllowedColumns 和洁净室:UpdateConfiguredTableReference 添加到。CleanRoomsAccess | 2025 年 7 月 29 日 |
| [AWSCleanRoomsMLReadOnlyAccess](#ml-read-only) - 对现有策略的更新 | 已将 PassCleanRoomsResources 添加到 AWSCleanRoomsMLReadOnlyAccess。已将 PassCleanRoomsResources 和 ConsoleDescribeECRRepositories 添加到 AWSCleanRoomsMLFullAccess。 | 2025 年 1 月 10 日 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery) - 对现有策略的更新 | 已将 cleanrooms:BatchGetSchemaAnalysisRule 添加到 CleanRoomsAccess。 | 2024 年 5 月 13 日 |
| [AWSCleanRoomsFullAccess](#security-iam-awsmanpol-fullaccess) - 对现有策略的更新 | 在此策略中将 AWSCleanRoomsFullAccess 中的语句 ID 从 ConsolePickQueryResultsBucket 更新为 SetQueryResultsBucket,以更好地表示权限,因为无论使用控制台还是不使用控制台,都需要这些权限来设置查询结果存储桶。 | 2024 年 3 月 21 日 |
| [AWSCleanRoomsMLReadOnlyAccess](#ml-read-only) - 新策略 [AWSCleanRoomsMLFullAccess](#ml-full-access) - 新策略 | 添加AWSCleanRoomsMLReadOnlyAccess并AWSCleanRoomsMLFullAccess支持 AWS Clean Rooms ML。 | 2023 年 11 月 29 日 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery) - 对现有策略的更新 | 向 CleanRoomsAccess 添加了 cleanrooms:CreateAnalysisTemplate、cleanrooms:GetAnalysisTemplate、cleanrooms:UpdateAnalysisTemplate、 cleanrooms:DeleteAnalysisTemplate、cleanrooms:ListAnalysisTemplates、cleanrooms:GetCollaborationAnalysisTemplate、cleanrooms:BatchGetCollaborationAnalysisTemplate 和 cleanrooms:ListCollaborationAnalysisTemplates,以启用新的分析模板特征。 | 2023 年 7 月 31 日 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery) - 对现有策略的更新 | 向 CleanRoomsAccess 添加了 cleanrooms:ListTagsForResource、cleanrooms:UntagResource 和 cleanrooms:TagResource,以启用资源标记。 | 2023 年 3 月 21 日 |
| AWS Clean Rooms 已开始跟踪更改 | AWS Clean Rooms 开始跟踪其 AWS 托管策略的更改。 | 2023 年 1 月 12 日 |