ステップ 6: SageMakerノートブックの IAM ポリシーを作成する - AWS Glue

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

ステップ 6: SageMakerノートブックの IAM ポリシーを作成する

開発エンドポイントで SageMaker ノートブックを使用する予定の場合は、ノートブックの作成時にアクセス許可を指定する必要があります。AWS Identity and Access Management (IAM) を使用してアクセス権限を提供できます。

SageMaker ノートブックの IAM ポリシーを作成するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. 左のナビゲーションペインの [Policies (ポリシー)] を選択します。

  3. [Create Policy (ポリシーの作成)] を選択します。

  4. [Create Policy] ページで、JSON を編集するタブに移動します。次の JSON ステートメントを使用して、ポリシードキュメントを作成します。環境の bucket-nameregion-codeaccount-id を編集します。

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:ListBucket" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::bucket-name" ] }, { "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::bucket-name*" ] }, { "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:CreateLogGroup" ], "Effect": "Allow", "Resource": [ "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*", "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*:log-stream:aws-glue-*" ] }, { "Action": [ "glue:UpdateDevEndpoint", "glue:GetDevEndpoint", "glue:GetDevEndpoints" ], "Effect": "Allow", "Resource": [ "arn:aws:glue:region-code:account-id:devEndpoint/*" ] }, { "Action": [ "sagemaker:ListTags" ], "Effect": "Allow", "Resource": [ "arn:aws:sagemaker:region-code:account-id:notebook-instance/*" ] } ] }

    次に [ポリシーの確認] を選択します。

    次の表は、このポリシーによって付与されたアクセス権限を示しています。

    アクション リソース 説明

    "s3:ListBucket*"

    "arn:aws:s3:::bucket-name"

    Amazon S3 バケットを一覧表示するアクセス許可を付与します。

    "s3:GetObject"

    "arn:aws:s3:::bucket-name*"

    SageMaker ノートブックによって使用される Amazon S3 オブジェクトを取得するアクセス許可を付与します。

    "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:CreateLogGroup"

    "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*", "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*:log-stream:aws-glue-*"

    ノートブックから Amazon CloudWatch Logs にログを書き込むアクセス許可を付与します。

    命名規則: 名前が [aws-glue] で始まるロググループに書き込みます。

    "glue:UpdateDevEndpoint", "glue:GetDevEndpoint", "glue:GetDevEndpoints"

    "arn:aws:glue:region-code:account-id:devEndpoint/*"

    SageMaker ノートブックから開発エンドポイントを使用するアクセス許可を付与します。

    "sagemaker:ListTags"

    "arn:aws:sagemaker:region-code:account-id:notebook-instance/*"

    SageMaker リソースのタグを返すアクセス許可を付与します。この aws-glue-dev-endpoint タグは、ノートブックを開発エンドポイントに接続するために SageMaker ノートブック上で必要です。

  5. [Review Policy] 画面で、[Policy Name] ([AWSGlueSageMakerNotebook] など) を入力します。オプションの説明を入力し、ポリシーが適切であることを確認したら、[Create policy] を選択します。