本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS 的 受管政策 AWS Clean Rooms
<a name="security-iam-awsmanpol"></a>

 AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可，以便您可以開始將許可指派給使用者、群組和角色。

請記住， AWS 受管政策可能不會授予特定使用案例的最低權限許可，因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)，以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可，則更新會影響政策連接的所有主體身分 （使用者、群組和角色）。當新的 AWS 服務 啟動或新的 API 操作可用於現有服務時， AWS 最有可能更新 AWS 受管政策。

如需詳細資訊，請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

## AWS 受管政策： `AWSCleanRoomsReadOnlyAccess`
<a name="security-iam-awsmanpol-readonly"></a>

您可以`AWSCleanRoomsReadOnlyAccess`連接到您的 IAM 主體。

此政策會授予協同`AWSCleanRoomsReadOnlyAccess`合作中資源和中繼資料的唯讀許可。

**許可詳細資訊**

此政策包含以下許可：
+ `CleanRoomsRead` - 允許主體唯讀存取 服務。
+ `ConsoleDisplayTables` ：允許主體唯讀存取所需的 AWS Glue 中繼資料，以顯示主控台上基礎 AWS Glue 資料表的資料。
+ `ConsoleLogSummaryQueryLogs` – 允許主體查看查詢日誌。
+ `ConsoleLogSummaryObtainLogs` – 允許主體擷取日誌結果。

如需政策詳細資訊的 JSON 清單，請參閱《 *AWS 受管政策參考指南*》中的 [AWSCleanRoomsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsReadOnlyAccess.html)。

## AWS 受管政策： `AWSCleanRoomsFullAccess`
<a name="security-iam-awsmanpol-fullaccess"></a>

您可以將 `AWSCleanRoomsFullAccess`連接到您的 IAM 主體。

此政策會授予管理許可，以允許對 AWS Clean Rooms 協同合作中的資源和中繼資料進行完整存取 （讀取、寫入和更新）。此政策包含執行查詢的存取權。

**許可詳細資訊**

此政策包含以下許可：
+ `CleanRoomsAccess` – 授予對所有 資源的所有動作的完整存取權 AWS Clean Rooms。
+ `PassServiceRole` – 准許將服務角色傳遞給其名稱中具有 "cleanrooms" 的服務 (`PassedToService` 條件）。
+ `ListRolesToPickServiceRole` – 允許主體列出其所有角色，以便在使用 時選擇服務角色 AWS Clean Rooms。
+ `GetRoleAndListRolePoliciesToInspectServiceRole` – 允許主體在 IAM 中查看服務角色和對應的政策。
+ `ListPoliciesToInspectServiceRolePolicy` – 允許主體在 IAM 中查看服務角色和對應的政策。
+ `GetPolicyToInspectServiceRolePolicy` – 允許主體在 IAM 中查看服務角色和對應的政策。
+ `ConsoleDisplayTables` ：允許主體唯讀存取所需的 AWS Glue 中繼資料，以顯示主控台上基礎 AWS Glue 資料表的資料。
+ `ConsolePickQueryResultsBucketListAll` – 允許主體從寫入查詢結果的所有可用 S3 儲存貯體清單中選擇 Amazon S3 儲存貯體。 S3 
+ `SetQueryResultsBucket` – 允許主體選擇要寫入其查詢結果的 S3 儲存貯體。
+ `ConsoleDisplayQueryResults` – 允許主體向客戶顯示查詢結果，從 S3 儲存貯體讀取。
+ `WriteQueryResults` – 允許主體將查詢結果寫入客戶擁有的 S3 儲存貯體。
+ `EstablishLogDeliveries` – 允許主體將查詢日誌交付到客戶的 Amazon CloudWatch Logs 日誌群組。
+ `SetupLogGroupsDescribe` – 允許主體使用 Amazon CloudWatch Logs 日誌群組建立程序。
+ `SetupLogGroupsCreate` – 允許主體建立 Amazon CloudWatch Logs 日誌群組。
+ `SetupLogGroupsResourcePolicy` – 允許主體在 Amazon CloudWatch Logs 日誌群組上設定資源政策。
+ `ConsoleLogSummaryQueryLogs` – 允許主體查看查詢日誌。
+ `ConsoleLogSummaryObtainLogs` – 允許主體擷取日誌結果。

如需政策詳細資訊的 JSON 清單，請參閱《 *AWS 受管政策參考指南*》中的 [AWSCleanRoomsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsFullAccess.html)。

## AWS 受管政策： `AWSCleanRoomsFullAccessNoQuerying`
<a name="security-iam-awsmanpol-fullaccess-noquery"></a>

您可以`AWSCleanRoomsFullAccessNoQuerying`連接到您的 IAM principals。

此政策會授予管理許可，以允許對 AWS Clean Rooms 協同合作中的資源和中繼資料進行完整存取 （讀取、寫入和更新）。此政策排除執行查詢的存取權。

**許可詳細資訊**

此政策包含以下許可：
+ `CleanRoomsAccess` – 授予所有 資源的所有動作的完整存取權 AWS Clean Rooms，但協同合作中查詢除外。
+ `CleanRoomsNoQuerying` – 明確拒絕 `StartProtectedQuery`和 `UpdateProtectedQuery`以防止查詢。
+ `PassServiceRole` – 准許將服務角色傳遞給其名稱中具有 "cleanrooms" 的服務 (`PassedToService` 條件）。
+ `ListRolesToPickServiceRole` – 允許主體列出其所有角色，以便在使用 時選擇服務角色 AWS Clean Rooms。
+ `GetRoleAndListRolePoliciesToInspectServiceRole` – 允許主體在 IAM 中查看服務角色和對應的政策。
+ `ListPoliciesToInspectServiceRolePolicy` – 允許主體在 IAM 中查看服務角色和對應的政策。
+ `GetPolicyToInspectServiceRolePolicy` – 允許主體在 IAM 中查看服務角色和對應的政策。
+ `ConsoleDisplayTables` ：允許主體唯讀存取所需的 AWS Glue 中繼資料，以顯示主控台上基礎 AWS Glue 資料表的資料。
+ `EstablishLogDeliveries` – 允許主體將查詢日誌交付到客戶的 Amazon CloudWatch Logs 日誌群組。
+ `SetupLogGroupsDescribe` – 允許主體使用 Amazon CloudWatch Logs 日誌群組建立程序。
+ `SetupLogGroupsCreate` – 允許主體建立 Amazon CloudWatch Logs 日誌群組。
+ `SetupLogGroupsResourcePolicy` – 允許主體在 Amazon CloudWatch Logs 日誌群組上設定資源政策。
+ `ConsoleLogSummaryQueryLogs` – 允許主體查看查詢日誌。
+ `ConsoleLogSummaryObtainLogs` – 允許主體擷取日誌結果。
+ `cleanrooms` – 管理服務內的 AWS Clean Rooms 協同合作、分析範本、設定的資料表、成員資格和相關資源。執行各種操作，例如建立、更新、刪除、列出和擷取這些資源的相關資訊。
+ `iam` – 將名稱包含 "`cleanrooms`" 的服務角色傳遞給 AWS Clean Rooms 服務。列出角色、政策，並檢查與服務相關的 AWS Clean Rooms 服務角色和政策。
+ `glue` – 從中擷取資料庫、資料表、分割區和結構描述的相關資訊 AWS Glue。這是 AWS Clean Rooms 服務顯示基礎資料來源並與之互動的必要項目。
+ `logs` – 管理 CloudWatch Logs 的日誌交付、日誌群組和資源政策。查詢和擷取 AWS Clean Rooms 與服務相關的日誌。這些許可對於 服務內的監控、稽核和故障診斷目的而言是必要的。

此政策也會明確拒絕動作`cleanrooms:UpdateProtectedQuery`，`cleanrooms:StartProtectedQuery`並防止使用者直接執行或更新受保護的 AWS Clean Rooms 查詢，這應該透過受控制的機制完成。

如需政策詳細資訊的 JSON 清單，請參閱《 *AWS 受管政策參考指南*》中的 [AWSCleanRoomsFullAccessNoQuerying](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsFullAccessNoQuerying.html)。

## AWS 受管政策： `AWSCleanRoomsMLReadOnlyAccess`
<a name="ml-read-only"></a>

您可以`AWSCleanRoomsMLReadOnlyAccess`連接到 IAM 主體。

此政策授予協同`AWSCleanRoomsMLReadOnlyAccess`合作中資源和中繼資料的唯讀許可。

此政策包含以下許可：
+ `CleanRoomsConsoleNavigation` – 授予檢視 AWS Clean Rooms 主控台畫面的存取權。
+ `CleanRoomsMLRead` – 允許主體唯讀存取 Clean Rooms ML 服務。
+ `PassCleanRoomsResources` – 授予傳遞指定 AWS Clean Rooms 資源的存取權。

如需政策詳細資訊的 JSON 清單，請參閱《 *AWS 受管政策參考指南*》中的 [AWSCleanRoomsMLReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsMLReadOnlyAccess.html)。

## AWS 受管政策： `AWSCleanRoomsMLFullAccess`
<a name="ml-full-access"></a>

您可以將 `AWSCleanRoomsMLFullAcces`連接到您的 IAM 主體。此政策授予管理許可，允許完整存取 （讀取、寫入和更新） Clean Rooms ML 所需的資源和中繼資料。

**許可詳細資訊**

此政策包含以下許可：
+ `CleanRoomsMLFullAccess` – 授予所有 Clean Rooms ML 動作的存取權。
+ `PassServiceRole` – 准許將服務角色傳遞給其名稱中具有 "cleanrooms-ml" 的服務 (`PassedToService` 條件）。
+ `CleanRoomsConsoleNavigation` – 授予檢視 AWS Clean Rooms 主控台畫面的存取權。
+ `CollaborationMembershipCheck` – 當您在協同合作中開始產生受眾 （看起來像是客群） 任務時，Clean Rooms ML 服務會呼叫 `ListMembers` 來檢查協同合作是否有效、發起人是作用中成員，而設定的受眾模型擁有者是作用中成員。此許可一律為必要；只有主控台使用者才需要主控台導覽 SID。
+ `PassCleanRoomsResources` – 授予傳遞指定 AWS Clean Rooms 資源的存取權。
+ `AssociateModels` – 允許主體將 Clean Rooms ML 模型與您的協同合作建立關聯。
+ `TagAssociations` – 允許主體將標籤新增至類似模型與協同合作之間的關聯。
+ `ListRolesToPickServiceRole` – 允許主體列出其所有角色，以便在使用 時選擇服務角色 AWS Clean Rooms。
+ `GetRoleAndListRolePoliciesToInspectServiceRole` – 允許主體在 IAM 中查看服務角色和對應的政策。
+ `ListPoliciesToInspectServiceRolePolicy` – 允許主體在 IAM 中查看服務角色和對應的政策。
+ `GetPolicyToInspectServiceRolePolicy` – 允許主體在 IAM 中查看服務角色和對應的政策。
+ `ConsoleDisplayTables` ：允許主體唯讀存取所需的 AWS Glue 中繼資料，以顯示主控台上基礎 AWS Glue 資料表的資料。
+ `ConsolePickOutputBucket` – 允許主體為設定的受眾模型輸出選取 Amazon S3 儲存貯體。
+ `ConsolePickS3Location` – 允許主體選取儲存貯體中已設定對象模型輸出的位置。
+ `ConsoleDescribeECRRepositories` – 允許主體描述 Amazon ECR 儲存庫和映像。

如需政策詳細資訊的 JSON 清單，請參閱《 *AWS 受管政策參考指南*》中的 [AWSCleanRoomsMLFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsMLFullAccess.html)。

## AWS Clean Rooms AWS 受管政策的更新
<a name="security-iam-awsmanpol-updates"></a>

檢視自此服務開始追蹤這些變更 AWS Clean Rooms 以來， AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒，請訂閱 AWS Clean Rooms 文件歷史記錄頁面上的 RSS 摘要。


| 變更 | 描述 | Date | 
| --- | --- | --- | 
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery)– 更新現有政策 |  已將 cleanrooms：UpdateConfiguredTableAllowedColumns 和 cleanrooms：UpdateConfiguredTableReference 新增至 CleanRoomsAccess。  | 2025 年 7 月 29 日 | 
|  [AWSCleanRoomsMLReadOnlyAccess](#ml-read-only) – 更新現有政策  |  已新增 PassCleanRoomsResources 到 AWSCleanRoomsMLReadOnlyAccess。新增了 PassCleanRoomsResources 和 ConsoleDescribeECRRepositories 至 AWSCleanRoomsMLFullAccess。  | 2025 年 1 月 10 日 | 
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery) – 更新現有政策 | 已新增 cleanrooms:BatchGetSchemaAnalysisRule 到 CleanRoomsAccess。 | 2024 年 5 月 13 日 | 
| [AWSCleanRoomsFullAccess](#security-iam-awsmanpol-fullaccess) – 更新現有政策 | 已在此政策中將 SetQueryResultsBucket中的陳述式 ID 更新AWSCleanRoomsFullAccessConsolePickQueryResultsBucket為 ，以更好地代表許可，因為需要使用和不使用 主控台來設定查詢結果儲存貯體。 | 2024 年 3 月 21 日 | 
|  [AWSCleanRoomsMLReadOnlyAccess](#ml-read-only) – 新政策 [AWSCleanRoomsMLFullAccess](#ml-full-access) – 新政策  |  新增 AWSCleanRoomsMLReadOnlyAccess和 AWSCleanRoomsMLFullAccess以支援 AWS Clean Rooms ML。  | 2023 年 11 月 29 日 | 
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery) – 更新現有政策 | 新增 cleanrooms:CreateAnalysisTemplate、cleanrooms:GetAnalysisTemplate、cleanrooms:UpdateAnalysisTemplate cleanrooms:DeleteAnalysisTemplate、cleanrooms:ListAnalysisTemplates、cleanrooms:BatchGetCollaborationAnalysisTemplate、 和 cleanrooms:ListCollaborationAnalysisTemplates至 cleanrooms:GetCollaborationAnalysisTemplateCleanRoomsAccess，以啟用新的分析範本功能。 | 2023 年 7 月 31 日 | 
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery) – 更新現有政策 | 新增 cleanrooms:ListTagsForResource、 cleanrooms:UntagResource和 cleanrooms:TagResource至 CleanRoomsAccess 以啟用資源標記。 | 2023 年 3 月 21 日 | 
|  AWS Clean Rooms 開始追蹤變更  |  AWS Clean Rooms 已開始追蹤其 AWS 受管政策的變更。  | 2023 年 1 月 12 日 |