翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
時系列予測を実行する権限をユーザーに付与する
Amazon SageMaker Canvas で時系列予測を実行するには、ユーザーには必要な権限が必要です。ユーザーにこれらの権限を付与するための推奨方法は、Amazon SageMaker ドメインを設定するとき、または特定のユーザープロファイルの設定を編集するときに、時系列予測オプションをオンにすることです。Amazon Forecast のポリシーと信頼関係を AWS Identity and Access Management (IAM) ロールに手動でアタッチする方法を使用することもできます。
時系列予測を独自のキーで暗号化する場合は、 AWS KMS キーを使用し、KMS のキーポリシーを変更して Amazon Forecast で使用されるロールに権限を付与する必要があります。KMS キーの設定と時系列予測のポリシーの変更の詳細については、「時系列予測の前提条件」を参照してください。
ドメイン設定方法
SageMaker ドメイン設定を通じてユーザーに時系列予測の権限を付与するオプションを提供します。ドメイン内のすべてのユーザーの権限を切り替えることができ、必要な IAM SageMaker ポリシーと信頼関係のアタッチを管理してくれます。
Amazon SageMaker ドメインを初めて設定し、ドメイン内のすべてのユーザーに対して時系列予測権限を有効にする場合は、以下の手順を使用してください。
これで、 SageMaker ユーザーはCanvasで時系列予測を実行するために必要な権限を持っているはずです。
ユーザーの設定の場合
既存のドメインの個々のユーザーに時系列予測権限を設定できます。ユーザープロファイル設定は一般的なドメイン設定よりも優先されるため、すべてのユーザーにアクセス権限を付与しなくても、特定のユーザーにアクセス権限を付与できます。権限を持っていない特定のユーザーに時系列予測権限を付与するには、次の手順に従います。
-
https://console.aws.amazon.com/sagemaker/ SageMaker
でコンソールを開きます。 -
左のナビゲーションペインで、[管理設定] を選択します。
-
[管理者設定] で [ドメイン] を選択します。
-
ドメインページで、ドメインを選択します。
-
[ユーザープロファイル] タブで、権限を編集するユーザーの名前を選択します。
-
[ユーザーの詳細] ページで、[編集] を選択します。
-
[Canvas の設定] ページを選択します。
-
[Canvas の基本アクセス許可を有効化] を有効にします。これらの権限は、時系列予測権限を有効にするために必要です。
-
[時系列予測を有効化] オプションを有効にします。
-
ドメインで指定されているロールとは別の実行ロールをユーザーに使用する場合は、[新しい実行ロールを作成して使用する] を選択するか、すでに使用可能な IAM ロールがある場合は [既存の実行ロールを使用する] を選択します。
注記
既存の IAM ロールを使用する場合は、そのロールに IAM ポリシー
AmazonSageMakerCanvasForecastAccessがアタッチされていることと、および Amazon Forecast をサービスプリンシパルとして確立する信頼関係があることを確認してください。詳細については、「IAM ロール設定の場合」セクションを参照してください。 -
[Canvas の設定] ページは次のスクリーンショットのようになります。ユーザープロファイルへの他のすべての変更を完了して、[送信] を選択し変更を保存します。
これで、ユーザーには SageMaker Canvas で時系列予測を行う権限が付与されたはずです。
前の手順で [時系列予測を有効化] オプションを無効にすることで、ユーザーの権限を削除することもできます。
IAM ロール設定の場合
ユーザーのプロファイルに指定された AWS Identity and Access Management (IAM) ロールにアクセス権限を追加することで、Amazon SageMaker Canvas で時系列予測を実行する権限をユーザーに手動で付与できます。IAM ロールには Amazon Forecast との信頼関係と、Forecast への権限を付与するアタッチされたポリシーが必要です。
次のセクションでは、信頼関係を作成し、AmazonSageMakerCanvasForecastAccess管理ポリシーを IAM ロールにアタッチする方法を示します。これにより、Canvas で時系列予測が機能するために必要な最小限のアクセス権限が付与されます。 SageMaker
注記
AmazonSageMakerCanvasForecastAccessこのポリシーは、 SageMaker 作成された Amazon S3 バケットにアクセスするアクセス権限を付与します。このバケットは、Canvas アプリケーションデータのデフォルトの保存場所です。Canvas アプリケーションデータ用のカスタム Amazon S3 ストレージロケーションを指定した場合は、ポリシーの権限をカスタム Amazon S3 バケットに更新する必要があります。Canvas のカスタム Amazon S3 ストレージロケーションの詳細については、「Amazon S3 ストレージを設定にする」を参照してください。
手動で IAM ロールを設定するには、次の手順に従います。
-
https://console.aws.amazon.com/sagemaker/ SageMaker
でコンソールを開きます。 -
左のナビゲーションペインで、[管理設定] を選択します。
-
[管理者設定] で [ドメイン] を選択します。
-
「ドメイン」ページで、ドメインを選択します。
-
[ユーザープロファイル] のリストで、時系列予測権限を付与するユーザーのプロファイルを選択します。
-
[詳細] で、ユーザーの実行ロールの名前をコピーするか書き留めておきます。IAM ロールの名前は
111122223333のようになります。
-
ユーザーの IAM ロールの名前をコピーまたは書き留めたら、[IAM コンソール]
に移動します。 -
[ロール] を選択します。
-
ロールのリストからユーザーの IAM ロールを名前で検索して選択します。
-
[許可] で、[許可の追加] を選択します。
-
[ポリシーのアタッチ] を選択します。
-
AmazonSageMakerCanvasForecastAccessマネージドポリシーを検索して選択します。[ポリシーのアタッチ] を選択して、ロールにポリシーをアタッチします。ポリシーをアタッチすると、ロールの [許可] セクションに
AmazonSageMakerCanvasForecastAccessが表示されます。 -
IAM ロールのページに戻り、[信頼関係] で [信頼ポリシーの編集] を選択します。
-
[信頼ポリシーの編集] エディタで、信頼ポリシーを更新して Forecast をサービスプリンシパルとして追加します。ポリシーは、次の例のようになります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "sagemaker.amazonaws.com", "forecast.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } -
信頼ポリシーを編集したら、[ポリシーの更新] を選択します。
これで、AmazonSageMakerCanvasForecastAccessポリシーがアタッチされた IAM ロールと Amazon Forecast との信頼関係が確立されたはずです。これにより、Canvas で時系列予測を実行する権限がユーザーに付与されます。 SageMaker 管理ポリシーについて詳しくは、「 AWS 管理ポリシーとインラインポリシー」を参照してください。
注記
この方法を使用して時系列予測を設定し、 AWS KMS 予測に暗号化を使用したい場合は、KMS キーのポリシーを構成して追加の権限を付与する必要があります。詳細については、「時系列予測の前提条件」を参照してください。
