本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 AWS Clean Rooms ML 的服務角色
執行外觀建模所需的角色與使用自訂模型所需的角色不同。下列各節說明執行每個任務所需的角色。
**Topics**
+ [設定類似模型的服務角色](#aws-model-roles)
+ [設定自訂建模的服務角色](#custom-model-roles)
## 設定類似模型的服務角色
**Topics**
+ [建立服務角色以讀取訓練資料](#ml-create-role-training)
+ [建立服務角色以撰寫外觀相似的客群](#ml-create-role-write-segment)
+ [建立服務角色以讀取種子資料](#ml-create-role-read-seed)
### 建立服務角色以讀取訓練資料
AWS Clean Rooms 使用服務角色來讀取訓練資料。如果您有必要的 IAM 許可,您可以使用 主控台建立此角色。如果您沒有`CreateRole`許可,請要求您的管理員建立服務角色。
**建立服務角色以訓練資料集**
1. 使用您的管理員帳戶登入 IAM 主控台 ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)://)。
1. 在 **Access management** (存取管理) 下,請選擇 **Policies** (政策)。
1. 選擇 **Create policy** (建立政策)。
1. 在**政策編輯器**中,選取 **JSON** 索引標籤,然後複製並貼上下列政策。
**注意**
下列範例政策支援讀取 AWS Glue 中繼資料及其對應 Amazon S3 資料所需的許可。不過,您可能需要根據設定 S3 資料的方式修改此政策。此政策不包含用於解密資料的 KMS 金鑰。
您的 AWS Glue 資源和基礎 Amazon S3 資源必須與 AWS Clean Rooms 協同合作 AWS 區域 位於相同的 中。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartitions",
"glue:GetPartition",
"glue:BatchGetPartition",
"glue:GetUserDefinedFunctions"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:database/databases",
"arn:aws:glue:us-east-1:111122223333:table/databases/tables",
"arn:aws:glue:us-east-1:111122223333:catalog",
"arn:aws:glue:us-east-1:111122223333:database/default"
]
},
{
"Effect": "Allow",
"Action": [
"glue:CreateDatabase"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:database/default"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::bucket"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"111122223333"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucketFolders/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"111122223333"
]
}
}
}
]
}
```
------
如果您需要使用 KMS 金鑰來解密資料,請將此 AWS KMS 陳述式新增至先前的範本:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
],
"Resource": [
"arn:aws:kms:region:accountId:key/keyId"
],
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
}
}
}
]
}
```
1. 將每個*預留位置*取代為您自己的資訊:
+ *region* – 的名稱 AWS 區域。例如 **us-east-1**。
+ *accountId* – S3 儲存貯體所在的 AWS 帳戶 ID。
+ *資料庫/資料庫*、*table/databases/tables*、*目錄*和*資料庫/預設* – AWS Clean Rooms 需要存取的訓練資料位置。
+ 儲存*貯*體 – S3 儲存貯體的 **Amazon Resource Name (ARN)**。您可以在 **Amazon S3 中儲存貯體的屬性索引標籤中找到 Amazon Resource Name (ARN)**。 **** Amazon S3
+ *bucketFolders* – AWS Clean Rooms 需要存取的 S3 儲存貯體中特定資料夾的名稱。
1. 選擇**下一步**。
1. 針對**檢閱和建立**,輸入**政策名稱**和**描述**,然後檢閱**摘要**。
1. 選擇**建立政策**。
您已為 建立政策 AWS Clean Rooms。
1. 在 **Access management** (存取管理) 下,請選擇 **Roles** (角色)。
使用 **角色**,您可以建立短期登入資料,為提高安全性而建議這麼做。您也可以選擇**使用者**來建立長期登入資料。
1. 選擇建**立角色**。
1. 在**建立角色**精靈中,針對**信任的實體類型**,選擇**自訂信任政策**。
1. 將下列自訂信任政策複製並貼到 JSON 編輯器。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEqualsIfExists": {
"aws:SourceAccount": ["111122223333"]
},
"ArnLikeIfExists": {
"aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:training-dataset/*"
}
}
}
]
}
```
------
一律`SourceAccount`是您的 AWS 帳戶。`SourceArn` 可以限制為特定訓練資料集,但僅限於建立該資料集之後。由於您尚不知道訓練資料集 ARN,在此指定萬用字元。
*accountId* 是 的 ID AWS 帳戶 ,其中包含訓練資料。
1. 選擇**下一步**,然後在**新增許可**下,輸入您剛建立的政策名稱。(您可能需要重新載入頁面。)
1. 選取您建立的政策名稱旁的核取方塊,然後選擇**下一步**。
1. 針對**名稱、檢閱和建立**,輸入**角色名稱**和**描述**。
**注意**
**角色名稱**必須符合授予成員`passRole`許可中的模式,該成員可以查詢和接收結果和成員角色。
1. 檢閱**選取信任的實體**,並視需要編輯。
1. 檢閱**新增許可中的許可**,並視需要編輯。
1. 檢閱**標籤**,並視需要新增標籤。
1. 選擇建**立角色**。
您已為 建立 服務角色 AWS Clean Rooms。
### 建立服務角色以撰寫外觀相似的客群
AWS Clean Rooms 使用服務角色將類似區段寫入儲存貯體。如果您有必要的 IAM 許可,您可以使用 主控台建立此角色。如果您沒有`CreateRole`許可,請要求您的管理員建立服務角色。
**建立服務角色以撰寫類似樣子的客群**
1. 使用您的管理員帳戶登入 IAM 主控台 ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)://)。
1. 在 **Access management** (存取管理) 下,請選擇 **Policies** (政策)。
1. 選擇 **Create policy** (建立政策)。
1. 在**政策編輯器**中,選取 **JSON** 索引標籤,然後複製並貼上下列政策。
**注意**
下列範例政策支援讀取 AWS Glue 中繼資料及其對應 Amazon S3 資料所需的許可。不過,您可能需要根據設定 Amazon S3 資料的方式修改此政策。此政策不包含用於解密資料的 KMS 金鑰。
您的 AWS Glue 資源和基礎 Amazon S3 資源必須與 AWS Clean Rooms 協同合作 AWS 區域 位於相同的 中。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::buckets"
],
"Condition":{
"StringEquals":{
"s3:ResourceAccount":[
"accountId"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucketFolders/*"
],
"Condition":{
"StringEquals":{
"s3:ResourceAccount":[
"accountId"
]
}
}
}
]
}
```
------
如果您需要使用 KMS 金鑰來加密資料,請將此 AWS KMS 陳述式新增至範本:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:ReEncrypt*",
],
"Resource": [
"arn:aws:kms:region:accountId:key/keyId"
],
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
}
}
}
]
}
```
1. 將每個*預留位置*取代為您自己的資訊:
+ *儲存貯*體 – S3 儲存貯體的 **Amazon Resource Name (ARN)**。您可以在 **Amazon S3 中儲存貯體的屬性索引標籤中找到 Amazon Resource Name (ARN)**。 **** Amazon S3
+ *accountId* – S3 儲存貯體所在的 AWS 帳戶 ID。
+ *bucketFolders* – AWS Clean Rooms 需要存取的 S3 儲存貯體中特定資料夾的名稱。
+ *region* – 的名稱 AWS 區域。例如 **us-east-1**。
+ *keyId* – 加密資料所需的 KMS 金鑰。
1. 選擇**下一步**。
1. 針對**檢閱和建立**,輸入**政策名稱**和**描述**,然後檢閱**摘要**。
1. 選擇**建立政策**。
您已為 建立政策 AWS Clean Rooms。
1. 在 **Access management** (存取管理) 下,請選擇 **Roles** (角色)。
透過 **角色**,您可以建立短期登入資料,為提高安全性而建議這麼做。您也可以選擇**使用者**來建立長期登入資料。
1. 選擇建**立角色**。
1. 在**建立角色**精靈中,針對**信任的實體類型**,選擇**自訂信任政策**。
1. 將下列自訂信任政策複製並貼到 JSON 編輯器。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEqualsIfExists": {
"aws:SourceAccount": ["111122223333"]
},
"ArnLikeIfExists": {
"aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:configured-audience-model/*"
}
}
}
]
}
```
------
一律`SourceAccount`是您的 AWS 帳戶。`SourceArn` 可以限制為特定訓練資料集,但僅限於建立該資料集之後。由於您尚不知道訓練資料集 ARN,在此指定萬用字元。
1. 選擇**下一步**。
1. 選取您建立的政策名稱旁的核取方塊,然後選擇**下一步**。
1. 針對**名稱、檢閱和建立**,輸入**角色名稱**和**描述**。
**注意**
**角色名稱**必須符合授予成員`passRole`許可中的模式,該成員可以查詢和接收結果和成員角色。
1. 檢閱**選取信任的實體**,並視需要編輯。
1. 檢閱**新增許可中的許可**,並視需要編輯。
1. 檢閱**標籤**,並視需要新增標籤。
1. 選擇建**立角色**。
您已為 建立 服務角色 AWS Clean Rooms。
### 建立服務角色以讀取種子資料
AWS Clean Rooms 使用服務角色讀取種子資料。如果您有必要的 IAM 許可,您可以使用 主控台建立此角色。如果您沒有`CreateRole`許可,請要求您的管理員建立服務角色。
**建立服務角色以讀取存放在 S3 儲存貯體中的種子資料。**
1. 使用您的管理員帳戶登入 IAM 主控台 ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)://)。
1. 在 **Access management** (存取管理) 下,請選擇 **Policies** (政策)。
1. 選擇 **Create policy** (建立政策)。
1. 在**政策編輯器**中,選取 **JSON** 索引標籤,然後複製並貼上下列其中一個政策。
**注意**
下列範例政策支援讀取 AWS Glue 中繼資料及其對應 Amazon S3 資料所需的許可。不過,您可能需要根據設定 Amazon S3 資料的方式修改此政策。此政策不包含用於解密資料的 KMS 金鑰。
您的 AWS Glue 資源和基礎 Amazon S3 資源必須與 AWS Clean Rooms 協同合作 AWS 區域 位於相同的 中。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::buckets"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"accountId"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::bucketFolders/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"accountId"
]
}
}
}
]
}
```
------
**注意**
下列範例政策支援讀取 SQL 查詢結果並使用它做為輸入資料所需的許可。不過,您可能需要根據查詢的結構來修改此政策。此政策不包含用於解密資料的 KMS 金鑰。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCleanRoomsStartQuery",
"Effect": "Allow",
"Action": [
"cleanrooms:GetCollaborationAnalysisTemplate",
"cleanrooms:GetSchema",
"cleanrooms:StartProtectedQuery"
],
"Resource": "*"
},
{
"Sid": "AllowCleanRoomsGetAndUpdateQuery",
"Effect": "Allow",
"Action": [
"cleanrooms:GetProtectedQuery",
"cleanrooms:UpdateProtectedQuery"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/queryRunnerMembershipId"
]
}
]
}
```
------
如果您需要使用 KMS 金鑰來解密資料,請將此 AWS KMS 陳述式新增至範本:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:region:accountId:key/keyId"
],
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucketFolders*"
}
}
}
]
}
```
1. 將每個*預留位置*取代為您自己的資訊:
+ *儲存貯*體 – S3 儲存貯體的 **Amazon Resource Name (ARN)**。您可以在 **Amazon S3 中儲存貯體的屬性索引標籤中找到 Amazon Resource Name (ARN)**。 **** Amazon S3
+ *accountId* – S3 儲存貯體所在的 AWS 帳戶 ID。
+ *bucketFolders* – AWS Clean Rooms 需要存取的 S3 儲存貯體中特定資料夾的名稱。
+ *region* – 的名稱 AWS 區域。例如 **us-east-1**。
+ *queryRunnerAccountId* – 將執行查詢的帳戶 AWS 帳戶 ID。
+ *queryRunnerMembershipId* – 可查詢之成員的成員 **ID**。您可以在協同合作**的詳細資訊**索引標籤中找到**成員 ID**。這可確保只有當此成員在此協同合作中執行分析時, AWS Clean Rooms 才會擔任該角色。
+ *keyId* – 加密資料所需的 KMS 金鑰。
1. 選擇**下一步**。
1. 針對**檢閱和建立**,輸入**政策名稱**和**描述**,然後檢閱**摘要**。
1. 選擇**建立政策**。
您已為 建立政策 AWS Clean Rooms。
1. 在 **Access management** (存取管理) 下,請選擇 **Roles** (角色)。
透過 **角色**,您可以建立短期登入資料,為提高安全性而建議這麼做。您也可以選擇**使用者**來建立長期登入資料。
1. 選擇建**立角色**。
1. 在**建立角色**精靈中,針對**信任的實體類型**,選擇**自訂信任政策**。
1. 將下列自訂信任政策複製並貼到 JSON 編輯器。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEqualsIfExists": {
"aws:SourceAccount": ["111122223333"]
},
"ArnLikeIfExists": {
"aws:SourceArn": "arn:aws:cleanrooms-ml:us-east-1:111122223333:audience-generation-job/*"
}
}
}
]
}
```
------
一律`SourceAccount`是您的 AWS 帳戶。`SourceArn` 可以限制為特定訓練資料集,但僅限於建立該資料集之後。由於您尚不知道訓練資料集 ARN,在此指定萬用字元。
1. 選擇**下一步**。
1. 選取您建立的政策名稱旁的核取方塊,然後選擇**下一步**。
1. 針對**名稱、檢閱和建立**,輸入**角色名稱**和**描述**。
**注意**
**角色名稱**必須符合授予成員`passRole`許可中的模式,該成員可以查詢和接收結果和成員角色。
1. 檢閱**選取信任的實體**,並視需要編輯。
1. 檢閱**新增許可中的許可**,並視需要編輯。
1. 檢閱**標籤**,並視需要新增標籤。
1. 選擇建**立角色**。
您已為 建立 服務角色 AWS Clean Rooms。
## 設定自訂建模的服務角色
**Topics**
+ [建立自訂 ML 建模的服務角色 - ML 組態](#ml-roles-custom-configure)
+ [建立服務角色以提供自訂 ML 模型](#ml-roles-custom-model-provider)
+ [建立服務角色以查詢資料集](#ml-roles-custom-query-dataset)
+ [建立服務角色以建立設定的資料表關聯](#ml-roles-custom-configure-table)
### 建立自訂 ML 建模的服務角色 - ML 組態
AWS Clean Rooms 使用服務角色來控制誰可以建立自訂 ML 組態。如果您有必要的 IAM 許可,您可以使用 主控台建立此角色。如果您沒有`CreateRole`許可,請要求管理員建立服務角色。
此角色可讓您使用 [PutMLConfiguration](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_PutMLConfiguration.html) 動作。
**建立服務角色以允許建立自訂 ML 組態**
1. 使用您的管理員帳戶登入 IAM 主控台 ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)://)。
1. 在 **Access management** (存取管理) 下,請選擇 **Policies** (政策)。
1. 選擇 **Create policy** (建立政策)。
1. 在**政策編輯器**中,選取 **JSON** 索引標籤,然後複製並貼上下列政策。
**注意**
下列範例政策支援存取和寫入資料至 S3 儲存貯體以及發佈 CloudWatch 指標所需的許可。不過,您可能需要根據設定 Amazon S3 資料的方式修改此政策。此政策不包含用於解密資料的 KMS 金鑰。
您的 Amazon S3 資源必須與 AWS Clean Rooms 協同合作 AWS 區域 位於相同的 中。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowS3ObjectWriteForExport",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket/*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": [
"111122223333"
]
}
}
},
{
"Sid": "AllowS3KMSEncryptForExport",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/keyId"
],
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket*"
}
}
},
{
"Sid": "AllowCloudWatchMetricsPublishingForTrainingJobs",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringLike": {
"cloudwatch:namespace": "/aws/cleanroomsml/*"
}
}
},
{
"Sid": "AllowCloudWatchLogsPublishingForTrainingOrInferenceJobs",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:/aws/cleanroomsml/*"
]
}
]
}
```
------
1. 將每個*預留位置*取代為您自己的資訊:
+ 儲存*貯*體 – S3 儲存貯體的 **Amazon Resource Name (ARN)**。您可以在 **Amazon S3 中儲存貯體的屬性索引標籤中找到 Amazon Resource Name (ARN)**。 **** Amazon S3
+ *region* – 的名稱 AWS 區域。例如 **us-east-1**。
+ *accountId* – S3 儲存貯體所在的 AWS 帳戶 ID。
+ *keyId* – 加密資料所需的 KMS 金鑰。
1. 選擇**下一步**。
1. 針對**檢閱和建立**,輸入**政策名稱**和**描述**,然後檢閱**摘要**。
1. 選擇**建立政策**。
您已為 建立政策 AWS Clean Rooms。
1. 在 **Access management** (存取管理) 下,請選擇 **Roles** (角色)。
使用 **角色**,您可以建立短期登入資料,為提高安全性而建議這麼做。您也可以選擇**使用者**來建立長期登入資料。
1. 選擇建**立角色**。
1. 在**建立角色**精靈中,針對**信任的實體類型**,選擇**自訂信任政策**。
1. 將下列自訂信任政策複製並貼到 JSON 編輯器。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:cleanrooms:us-east-1:111122223333:membership/membershipID"
}
}
}
]
}
```
------
一律`SourceAccount`是您的 AWS 帳戶。`SourceArn` 可以限制為特定訓練資料集,但僅限於建立該資料集之後。由於您尚不知道訓練資料集 ARN,在此指定萬用字元。
1. 選擇**下一步**。
1. 選取您建立的政策名稱旁的核取方塊,然後選擇**下一步**。
1. 針對**名稱、檢閱和建立**,輸入**角色名稱**和**描述**。
**注意**
**角色名稱**必須符合授予成員`passRole`許可中的模式,該成員可以查詢和接收結果和成員角色。
1. 檢閱**選取信任的實體**,並視需要編輯。
1. 檢閱**新增許可中的許可**,並視需要編輯。
1. 檢閱**標籤**,並視需要新增標籤。
1. 選擇建**立角色**。
您已為 建立 服務角色 AWS Clean Rooms。
### 建立服務角色以提供自訂 ML 模型
AWS Clean Rooms 使用服務角色來控制誰可以建立自訂 ML 模型演算法。如果您有必要的 IAM 許可,您可以使用 主控台建立此角色。如果您沒有`CreateRole`許可,請要求管理員建立服務角色。
此角色可讓您使用 [CreateConfiguredModelAlgorithm](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_CreateConfiguredModelAlgorithm.html) 動作。
**建立服務角色以允許成員提供自訂 ML 模型**
1. 使用您的管理員帳戶登入 IAM 主控台 ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)://)。
1. 在 **Access management** (存取管理) 下,請選擇 **Policies** (政策)。
1. 選擇 **Create policy** (建立政策)。
1. 在**政策編輯器**中,選取 **JSON** 索引標籤,然後複製並貼上下列政策。
**注意**
下列範例政策支援擷取包含模型演算法之 Docker 映像所需的許可。不過,您可能需要根據設定 Amazon S3 資料的方式修改此政策。此政策不包含用於解密資料的 KMS 金鑰。
您的 Amazon S3 資源必須與 AWS Clean Rooms 協同合作 AWS 區域 位於相同的 中。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowECRImageDownloadForTrainingAndInferenceJobs",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/repoName"
}
]
}
```
------
1. 將每個*預留位置*取代為您自己的資訊:
+ *region* – 的名稱 AWS 區域。例如 **us-east-1**。
+ *accountId* – S3 儲存貯體所在的 AWS 帳戶 ID。
+ *repoName* – 包含您資料的儲存庫名稱。
1. 選擇**下一步**。
1. 針對**檢閱和建立**,輸入**政策名稱**和**描述**,然後檢閱**摘要**。
1. 選擇**建立政策**。
您已為 建立政策 AWS Clean Rooms。
1. 在 **Access management** (存取管理) 下,請選擇 **Roles** (角色)。
透過 **角色**,您可以建立短期登入資料,為提高安全性而建議這麼做。您也可以選擇**使用者**來建立長期登入資料。
1. 選擇建**立角色**。
1. 在**建立角色**精靈中,針對**信任的實體類型**,選擇**自訂信任政策**。
1. 將下列自訂信任政策複製並貼到 JSON 編輯器。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
一律`SourceAccount`是您的 AWS 帳戶 `SourceArn`可以限制在特定訓練資料集內,但僅限於建立該資料集之後。由於您尚不知道訓練資料集 ARN,在此指定萬用字元。
1. 選擇**下一步**。
1. 選取您建立的政策名稱旁的核取方塊,然後選擇**下一步**。
1. 針對**名稱、檢閱和建立**,輸入**角色名稱**和**描述**。
**注意**
**角色名稱**必須符合授予`passRole`成員許可中的模式,該成員可以查詢和接收結果和成員角色。
1. 檢閱**選取信任的實體**,並視需要編輯。
1. 檢閱**新增許可中的許可**,並視需要編輯。
1. 檢閱**標籤**,並視需要新增標籤。
1. 選擇建**立角色**。
您已為 建立 服務角色 AWS Clean Rooms。
### 建立服務角色以查詢資料集
AWS Clean Rooms 使用服務角色來控制誰可以查詢將用於自訂 ML 建模的資料集。如果您有必要的 IAM 許可,您可以使用 主控台建立此角色。如果您沒有`CreateRole`許可,請要求管理員建立服務角色。
此角色可讓您使用 [CreateMLInputChannel](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_CreateMLInputChannel.html) 動作。
**建立服務角色以允許成員查詢資料集**
1. 使用您的管理員帳戶登入 IAM 主控台 ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)://)。
1. 在 **Access management** (存取管理) 下,請選擇 **Policies** (政策)。
1. 選擇 **Create policy** (建立政策)。
1. 在**政策編輯器**中,選取 **JSON** 索引標籤,然後複製並貼上下列政策。
**注意**
下列範例政策支援查詢將用於自訂 ML 建模的資料集所需的許可。不過,您可能需要根據設定 Amazon S3 資料的方式修改此政策。此政策不包含用於解密資料的 KMS 金鑰。
您的 Amazon S3 資源必須與 AWS Clean Rooms 協同合作 AWS 區域 位於相同的 中。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCleanRoomsStartQueryForMLInputChannel",
"Effect": "Allow",
"Action": "cleanrooms:StartProtectedQuery",
"Resource": "*"
},
{
"Sid": "AllowCleanroomsGetSchemaAndGetAnalysisTemplateForMLInputChannel",
"Effect": "Allow",
"Action": [
"cleanrooms:GetSchema",
"cleanrooms:GetCollaborationAnalysisTemplate"
],
"Resource": "*"
},
{
"Sid": "AllowCleanRoomsGetAndUpdateQueryForMLInputChannel",
"Effect": "Allow",
"Action": [
"cleanrooms:GetProtectedQuery",
"cleanrooms:UpdateProtectedQuery"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/queryRunnerMembershipId"
]
}
]
}
```
------
1. 將每個*預留位置*取代為您自己的資訊:
+ *region* – 的名稱 AWS 區域。例如 **us-east-1**。
+ *queryRunnerAccountId* – 將執行查詢的帳戶 AWS 帳戶 ID。
+ *queryRunnerMembershipId* – 可查詢之成員的成員 **ID**。您可以在協同合作**的詳細資訊**索引標籤中找到**成員 ID**。這可確保只有當此成員在此協同合作中執行分析時, AWS Clean Rooms 才會擔任該角色。
1. 選擇**下一步**。
1. 針對**檢閱和建立**,輸入**政策名稱**和**描述**,然後檢閱**摘要**。
1. 選擇**建立政策**。
您已為 建立政策 AWS Clean Rooms。
1. 在 **Access management** (存取管理) 下,請選擇 **Roles** (角色)。
透過 **角色**,您可以建立短期登入資料,為提高安全性而建議這麼做。您也可以選擇**使用者**來建立長期登入資料。
1. 選擇建**立角色**。
1. 在**建立角色**精靈中,針對**信任的實體類型**,選擇**自訂信任政策**。
1. 將下列自訂信任政策複製並貼到 JSON 編輯器。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
一律`SourceAccount`是您的 AWS 帳戶 `SourceArn`可以限制在特定訓練資料集內,但僅限於建立該資料集之後。由於您尚不知道訓練資料集 ARN,在此指定萬用字元。
1. 選擇**下一步**。
1. 選取您建立的政策名稱旁的核取方塊,然後選擇**下一步**。
1. 針對**名稱、檢閱和建立**,輸入**角色名稱**和**描述**。
**注意**
**角色名稱**必須符合授予成員`passRole`許可中的模式,該成員可以查詢和接收結果和成員角色。
1. 檢閱**選取信任的實體**,並視需要編輯。
1. 檢閱**新增許可中的許可**,並視需要編輯。
1. 檢閱**標籤**,並視需要新增標籤。
1. 選擇建**立角色**。
您已為 建立 服務角色 AWS Clean Rooms。
### 建立服務角色以建立設定的資料表關聯
AWS Clean Rooms 使用服務角色來控制誰可以建立設定的資料表關聯。如果您有必要的 IAM 許可,您可以使用 主控台建立此角色。如果您沒有`CreateRole`許可,請要求管理員建立服務角色。
此角色可讓您使用 CreateConfiguredTableAssociation 動作。
**建立服務角色以允許建立設定的資料表關聯**
1. 使用您的管理員帳戶登入 IAM 主控台 ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)://)。
1. 在 **Access management** (存取管理) 下,請選擇 **Policies** (政策)。
1. 選擇 **Create policy** (建立政策)。
1. 在**政策編輯器**中,選取 **JSON** 索引標籤,然後複製並貼上下列政策。
**注意**
下列範例政策支援建立設定的資料表關聯。不過,您可能需要根據設定 Amazon S3 資料的方式修改此政策。此政策不包含用於解密資料的 KMS 金鑰。
您的 Amazon S3 資源必須與 AWS Clean Rooms 協同合作 AWS 區域 位於相同的 中。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/KMS-key-ID",
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::bucket-name",
"Effect": "Allow"
},
{
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::bucket-name/*",
"Effect": "Allow"
},
{
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartitions",
"glue:GetPartition",
"glue:BatchGetPartition"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:catalog",
"arn:aws:glue:us-east-1:111122223333:database/Glue database name",
"arn:aws:glue:us-east-1:111122223333:table/Glue database name/Glue table name"
],
"Effect": "Allow"
},
{
"Action": [
"glue:GetSchema",
"glue:GetSchemaVersion"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
**取代預留位置資源 ARNs**
使用此政策時,您必須將預留位置資源識別符取代為您資源的實際 ARNs:
**AWS KMS 金鑰資源**:將 *KMS-key-ID* 取代為加密 Amazon S3 資料的實際 AWS KMS 金鑰 ID。金鑰必須位於擁有 AWS Glue 目錄資源的相同帳戶 ((111122223333) 中。
**Amazon S3 儲存貯體資源**:將 *bucket-name* 取代為包含 AWS Glue 資料表資料的 Amazon S3 儲存貯體實際名稱。請注意,Amazon S3 儲存貯體 ARNs 不包含帳戶 IDs因為儲存貯體名稱是全域唯一的。
**AWS Glue 資源**:將下列預留位置取代為您的實際資源名稱:
*Glue 資料庫名稱* - AWS Glue 資料庫的名稱
*Glue 資料表名稱* - AWS Glue 資料表的名稱
所有 AWS Glue 資源 (目錄、資料庫和資料表) 必須位於相同的 AWS 帳戶 (111122223333),以確保一致的存取許可。此帳戶應該與擁有用於資料加密之 AWS KMS 金鑰的帳戶相同,為您的 AWS Clean Rooms 資料資源建立統一的安全界限。
1. 使用您自己的資訊取代每個*預留位置*:
+ *用來加密 Amazon S3 資料的 KMS 金鑰* – 用來加密 Amazon S3 資料的 KMS 金鑰。若要解密資料,您需要提供用來加密資料的相同 KMS 金鑰。
+ * AWS Glue 資料表的 Amazon S3 儲存貯*體 – 包含您資料之 AWS Glue 資料表的 Amazon S3 儲存貯體名稱。
+ *region* – 的名稱 AWS 區域。例如 **us-east-1**。
+ *accountId* – 擁有資料的 帳戶 AWS 帳戶 ID。
+ *AWS Glue 資料庫名稱* – 包含您資料的 AWS Glue 資料庫名稱。
+ *AWS Glue 資料表名稱* – 包含您資料的 AWS Glue 資料表名稱。
1. 選擇**下一步**。
1. 針對**檢閱和建立**,輸入**政策名稱**和**描述**,然後檢閱**摘要**。
1. 選擇**建立政策**。
您已為 建立政策 AWS Clean Rooms。
1. 在 **Access management** (存取管理) 下,請選擇 **Roles** (角色)。
透過 **角色**,您可以建立短期登入資料,為提高安全性而建議這麼做。您也可以選擇**使用者**來建立長期登入資料。
1. 選擇建**立角色**。
1. 在**建立角色**精靈中,針對**信任的實體類型**,選擇**自訂信任政策**。
1. 將下列自訂信任政策複製並貼到 JSON 編輯器。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms-ml.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
一律`SourceAccount`是您的 AWS 帳戶 `SourceArn`可以限制在特定訓練資料集內,但僅限於建立該資料集之後。由於您尚不知道訓練資料集 ARN,在此指定萬用字元。
1. 選擇**下一步**。
1. 選取您建立的政策名稱旁的核取方塊,然後選擇**下一步**。
1. 針對**名稱、檢閱和建立**,輸入**角色名稱**和**描述**。
**注意**
**角色名稱**必須符合授予成員`passRole`許可中的模式,該成員可以查詢和接收結果和成員角色。
1. 檢閱**選取信任的實體**,並視需要編輯。
1. 檢閱**新增許可中的許可**,並視需要編輯。
1. 檢閱**標籤**,並視需要新增標籤。
1. 選擇建**立角色**。
您已為 建立 服務角色 AWS Clean Rooms。