ステップ 7: SageMaker ノートブックの IAM ロールを作成する - AWS Glue

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

ステップ 7: SageMaker ノートブックの IAM ロールを作成する

開発エンドポイントで SageMaker ノートブックを使用する予定がある場合は、IAM ロールアクセス許可を与える必要があります。IAM ロールを通して AWS Identity and Access Management (IAM) を使用してアクセス許可を提供できます。

SageMaker ノートブックの IAM ロールを作成するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. 左のナビゲーションペインで、[Roles (ロール)] を選択します。

  3. [Create role (ロールの作成)] を選択します。

  4. ロールタイプについては、[AWS Service] を選択し、[SageMaker] を見つけて選択してから、[SageMaker - Execution] ユースケースを選択します。続いて、[Next: Permissions] を選択します。

  5. [Attach permissions policy] ページで、必要なアクセス許可を含むポリシー ([AmazonSageMakerFullAccess] など) を選択します。 [Next: Review] を選択します。

    SSE-KMS で暗号化された Amazon S3 のソースとターゲットにアクセスする予定がある場合は、次の例に示すように、ノートブックがデータを復号できるポリシーをアタッチしてください。詳細については、「AWS KMS で管理されたキーによるサーバー側の暗号化 (SSE-KMS) を使用したデータの保護」を参照してください。

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:*:account-id-without-hyphens:key/key-id" ] } ] }
  6. [Role name] に、ロールの名前を入力します。コンソールユーザーから SageMaker にロールを渡すには、文字列 [AWSGlueServiceSageMakerNotebookRole] のプレフィックスが付けられた名前を使用します。AWS Glue が提供するポリシーでは、IAM ロールが [AWSGlueServiceSageMakerNotebookRole] で始まると予測しています。それ以外の場合は、ポリシーを追加して、IAM ロールの iam:PassRole アクセス権限がユーザーの命名規則に一致するようにする必要があります。

    たとえば、[AWSGlueServiceSageMakerNotebookRole-Default] と入力して、[Create role] を選択します。

  7. ロールを作成した後に、AWS Glue から SageMaker ノートブックを作成するために必要な追加のアクセス許可を許可するポリシーをアタッチします。

    先ほど作成したロール ([AWSGlueServiceSageMakerNotebookRole-Default]) を開き、[Attach policies] を選択します。[AWSGlueSageMakerNotebook] という名前の作成したポリシーをロールにアタッチします。