本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Clean Rooms ML 自訂模型的 IAM 行為
## 跨帳戶任務
Clean Rooms ML 允許與某個 建立的協同合作相關聯的特定資源, AWS 帳戶 由另一個 在其帳戶中安全地存取 AWS 帳戶。具有成員執行查詢能力的 AWS 帳戶 A 中的用戶端可以在協同合作中另一個成員擁有`ConfiguredModelAlgorithmAssociation`的資源`StartTrainedModelInferenceJob`上呼叫 `CreateTrainedModel``CreateMLInputChannel`、 或 ,前提是使用 建立的自訂分析規則`ConfiguredModelAlgorithmAssociation`允許 `CreateConfiguredTableAnalysisRule`。
此外,協同合作的任何作用中成員都可以透過 `DeleteTrainedModelOutput`和 `DeleteMLInputChannelData` APIs 刪除與訓練模型或 ML 輸入通道相關聯的資料。
## 跨帳戶存取權
Clean Rooms ML 允許使用者擷取其他帳戶透過 `GetCollaboration`和 `ListCollaboration` APIs中繼資料。Clean Rooms ML 不會向其他帳戶顯示 KMS 金鑰 ARNs、標籤、環境變數或超參數 (適用於 `TrainedModel`動作)。
## 成員資格和協同合作存取權
在 Clean Rooms ML 自訂模型的內容中存取成員資格和協同合作資源時,使用者的身分政策需要動作 `cleanrooms:PassMembership`、 `cleanrooms:PassCollaboration`或兩者的許可。接受的所有 APIs`membershipId`都需要 `cleanrooms:PassMembership`許可,接受的所有 APIs`collaborationId`都需要 `cleanrooms:PassCollaboration`許可。提供可在成員資格 ID 內容`createTrainedModel`中呼叫之角色的身分政策範例,可在協作 ID 內容`GetCollaborationTrainedModel`中呼叫。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCleanroomsMLActions",
"Effect": "Allow",
"Action": [
"cleanrooms:PassCollaboration",
"cleanrooms:PassMembership"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowMembershipAccess",
"Effect": "Allow",
"Action": [
"cleanrooms:GetMembership"
],
"Resource": [
"arn:aws:cleanrooms:{{us-east-1}}:{{111122223333}}:membership/{{memberId}}"
]
},
{
"Sid": "AllowCollaborationAccess",
"Effect": "Allow",
"Action": [
"cleanrooms:GetCollaboration"
],
"Resource": [
"arn:aws:cleanrooms:{{us-east-1}}:{{111122223333}}:collaboration/{{collaborationId}}"
]
}
]
}
```
------