SageMaker パイプラインのクロスアカウントサポート - Amazon SageMaker
クロスアカウントパイプライン共有を設定する SageMaker Pipelines リソースのアクセス許可ポリシー直接API呼び出しによる共有パイプラインエンティティへのアクセス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SageMaker パイプラインのクロスアカウントサポート

Amazon SageMaker Model Building Pipelines のクロスアカウントサポートを使用して、 AWS アカウント間でパイプラインエンティティを共有し、直接API呼び出しを通じて共有パイプラインにアクセスできます。

クロスアカウントパイプライン共有を設定する

SageMaker は AWS Resource Access Manager (AWS RAM) を使用して、パイプラインエンティティをアカウント間で安全に共有できるようにします。

リソース共有を作成する

  1. AWS RAM コンソール[リソース共有を作成] を選択します。

  2. リソース共有の詳細を指定するときは、 SageMaker パイプラインリソースタイプを選択し、共有するパイプラインを 1 つ以上選択します。パイプラインを他のアカウントと共有すると、その実行もすべて暗黙的に共有されます。

  3. アクセス許可をリソース共有に関連付けます。デフォルトの読み取り専用アクセス許可ポリシーまたは拡張パイプライン実行許可ポリシーのいずれかを選択します。詳細については、「 SageMaker Pipelines リソースのアクセス許可ポリシー」を参照してください。

    注記

    拡張パイプライン実行ポリシーを選択した場合、共有アカウントによって呼び出されるすべての開始、停止、再試行コマンドは、パイプラインを共有した AWS アカウントのリソースを使用することに注意してください。

  4. AWS アカウントを使用して、共有リソースへのアクセスを許可するアカウントIDsを指定します。

  5. リソース共有の設定を確認し、[リソース共有の作成] を選択します。リソース共有とプリンシパルの関連付けが完了するまでに数分かかることがあります。

詳細については、AWS 「 Resource Access Manager ユーザーガイド」の「リソースの共有AWS 」を参照してください。

リソース共有の招待に対する返信を受け取る

リソース共有とプリンシパルの関連付けが設定されると、指定された AWS アカウントはリソース共有に参加するための招待を受け取ります。 AWS アカウントは、共有リソースにアクセスするために招待を受け入れる必要があります。

を通じてリソース共有の招待を受け入れる方法の詳細については AWS RAM、「 Resource Access Manager ユーザーガイド AWS 」の「共有リソースの使用」を参照してください。 AWS

SageMaker Pipelines リソースのアクセス許可ポリシー

リソース共有を作成するときは、サポートされている 2 つのアクセス許可ポリシーのいずれかを選択して、 SageMaker パイプラインリソースタイプに関連付けます。どちらのポリシーも、選択したパイプラインとそのすべての実行へのアクセス許可を付与します。

デフォルトの読み取り専用のアクセス許可

AWSRAMDefaultPermissionSageMakerPipeline ポリシーは以下の読み取り専用アクションを許可します。

"sagemaker:DescribePipeline"
"sagemaker:DescribePipelineDefinitionForExecution"   
"sagemaker:DescribePipelineExecution"
"sagemaker:ListPipelineExecutions"
"sagemaker:ListPipelineExecutionSteps"
"sagemaker:ListPipelineParametersForExecution"
"sagemaker:Search"

拡張パイプライン実行アクセス許可

AWSRAMPermissionSageMakerPipelineAllowExecution ポリシーには、デフォルトのポリシーの読み取り専用アクセス許可がすべて含まれており、共有アカウントがパイプラインの実行を開始、停止、再試行することも許可されます。

注記

拡張パイプライン実行アクセス許可ポリシーを使用する場合は、 AWS リソースの使用に注意してください。このポリシーにより、共有アカウントはパイプライン実行の開始、停止、再試行が許可されます。共有パイプラインの実行に使用されるリソースはすべて所有者アカウントによって消費されます。

拡張パイプライン実行アクセス許可ポリシーでは、以下のアクションを許可します。

"sagemaker:DescribePipeline"
"sagemaker:DescribePipelineDefinitionForExecution"   
"sagemaker:DescribePipelineExecution"
"sagemaker:ListPipelineExecutions"
"sagemaker:ListPipelineExecutionSteps"
"sagemaker:ListPipelineParametersForExecution"
"sagemaker:StartPipelineExecution"
"sagemaker:StopPipelineExecution"
"sagemaker:RetryPipelineExecution"
"sagemaker:Search"

直接API呼び出しによる共有パイプラインエンティティへのアクセス

クロスアカウントパイプライン共有を設定したら、パイプライン を使用して次の SageMaker APIアクションを呼び出すことができますARN。

注記

API コマンドは、リソース共有に関連付けられたアクセス許可に含まれている場合にのみ呼び出すことができます。AWSRAMPermissionSageMakerPipelineAllowExecution ポリシーを選択すると、開始、停止、再試行コマンドは、パイプラインを共有した AWS アカウントのリソースを使用します。