ステップ 6: SageMaker ノートブック用に IAM ポリシーを作成する - AWS Glue

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 6: SageMaker ノートブック用に IAM ポリシーを作成する

開発エンドポイントで SageMaker ノートブックを使用する予定の場合は、ノートブックの作成時にアクセス許可を指定する必要があります。AWS Identity and Access Management (IAM) を使用してアクセス権限を提供できます。

SageMaker ノートブック用に IAM ポリシーを作成するには

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. 左のナビゲーションペインの [ポリシー] を選択します。

  3. [ポリシーの作成] を選択します。

  4. [Create Policy] ページで、JSON を編集するタブに移動します。次の JSON ステートメントを使用して、ポリシードキュメントを作成します。環境の bucket-nameregion-codeaccount-id を編集します。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::bucket-name"
            ]
        },
        {
            "Action": [
                "s3:GetObject"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::bucket-name*"
            ]
        },
        {
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents",
                "logs:CreateLogGroup"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*",
                "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*:log-stream:aws-glue-*"
            ]
        },
        {
            "Action": [
                "glue:UpdateDevEndpoint",
                "glue:GetDevEndpoint",
                "glue:GetDevEndpoints"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:glue:region-code:account-id:devEndpoint/*"
            ]
        },
        {
            "Action": [
                "sagemaker:ListTags"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:sagemaker:region-code:account-id:notebook-instance/*"
            ]
         }
    ]
}

    次に [ポリシーの確認] を選択します。

    次の表は、このポリシーによって付与されたアクセス権限を示しています。

    [アクション] [リソース] 説明

    "s3:ListBucket*"

    "arn:aws:s3:::bucket-name"

    Amazon S3 バケットを一覧表示するアクセス許可を付与します

    "s3:GetObject"

    "arn:aws:s3:::bucket-name*"

    SageMaker ノートブックによって使用される Amazon S3 オブジェクトを取得するための、アクセス許可を付与します。

    "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:CreateLogGroup"

    "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*", "arn:aws:logs:region-code:account-id:log-group:/aws/sagemaker/*:log-stream:aws-glue-*"

    ノートブックから Amazon CloudWatch Logs にログを書き込むためのアクセス許可を付与します。

    命名規則: 名前が [aws-glue] で始まるロググループに書き込みます。

    "glue:UpdateDevEndpoint", "glue:GetDevEndpoint", "glue:GetDevEndpoints"

    "arn:aws:glue:region-code:account-id:devEndpoint/*"

    SageMaker ノートブックから開発エンドポイントを使用するためのアクセス許可を付与します。

    "sagemaker:ListTags"

    "arn:aws:sagemaker:region-code:account-id:notebook-instance/*"

    SageMaker リソースのタグを返すためのアクセス許可を付与します。この aws-glue-dev-endpoint タグは、ノートブックを開発エンドポイントに接続するために SageMaker ノートブック上で必要です。

  5. [Review Policy] (ポリシーの確認) 画面で、[Policy Name] (ポリシー名)に AWSGlueSageMakerNotebook (など)を入力します。オプションの説明を入力し、ポリシーが適切であることを確認したら、[Create policy] を選択します。