ドメインスペースのアクセス許可と実行ロールについて

多くの SageMaker アプリケーションでは、ドメイン内で SageMaker アプリケーションを起動すると、アプリケーション用のスペースが作成されます。ユーザープロファイルがスペースを作成すると、そのスペースは、そのスペースに付与されたアクセス許可を定義する AWS Identity and Access Management （IAM) ロールを引き受けます。次のページでは、スペースタイプと、スペースのアクセス許可を定義する実行ロールについて説明します。

IAM ロールは、特定のアクセス許可を持つアカウントで作成できる IAM ID です。IAM ロールは、 で AWS ID ができることとできないことを決定するアクセス許可ポリシーを持つ ID であるという点で、IAMユーザーと似ています AWS。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。また、ロールには標準の長期認証情報 (パスワードやアクセスキーなど) も関連付けられません。代わりに、ロールを引き受けると、ロールセッション用の一時的なセキュリティ認証情報が提供されます。

注記

Amazon SageMaker Canvas または を起動してもRStudio、IAMロールを引き受けるスペースは作成されません。代わりに、ユーザープロファイルに関連付けられたロールを変更して、アプリケーションのアクセス許可を管理します。 SageMaker ユーザープロファイルのロールの取得については、「」を参照してくださいユーザー実行ロールを取得する。

SageMaker Canvas については、「」を参照してくださいAmazon SageMaker Canvas のセットアップとアクセス許可の管理 (IT 管理者向け）。

についてはRStudio、「」を参照してくださいRStudio SageMaker アプリでAmazon ンドメインを作成。

ユーザーは、共有スペースまたはプライベートスペース内で SageMaker アプリケーションにアクセスできます。

共有スペース

• アプリケーションに関連付けられたスペースは 1 つだけです。共有スペースには、ドメイン内のすべてのユーザープロファイルからアクセスできます。これにより、ドメイン内のすべてのユーザープロファイルに、アプリケーションの基盤となる同じファイルストレージシステムへのアクセスが付与されます。

• 共有スペースには、スペースのデフォルト実行ロール で定義されたアクセス許可が付与されます。共有スペースの実行ロールを変更する場合は、スペースのデフォルト実行ロールを変更する必要があります。

  スペースのデフォルト実行ロールの取得については、「」を参照してくださいスペース実行ロールを取得する。

  実行ロールの変更については、「」を参照してくださいアクセス許可を実行ロールに変更する。

• 共有スペースの詳細については、「」を参照してください共有スペースでコラボレーション。

• 共有スペースを作成するには、「」を参照してください共有スペースの作成。

プライベートスペース

• アプリケーションに関連付けられたスペースは 1 つだけです。プライベートスペースにアクセスできるのは、プライベートスペースを作成したユーザープロファイルのみです。このスペースを他のユーザーと共有することはできません。

• プライベートスペースは、作成したユーザープロファイルのユーザープロファイル実行ロールを引き受けます。プライベートスペースの実行ロールを変更する場合は、ユーザープロファイルの実行ロールを変更する必要があります。

  ユーザープロファイルの実行ロールの取得については、「」を参照してくださいユーザー実行ロールを取得する。

  実行ロールの変更については、「」を参照してくださいアクセス許可を実行ロールに変更する。

• スペースをサポートするすべてのアプリケーションは、プライベートスペースもサポートしています。

• Studio Classic のプライベートスペースは、デフォルトでユーザープロファイルごとに既に作成されています。

SageMaker 実行ロール

SageMaker 実行ロールは、 で実行を実行している ID に割り当てられた IAM Identity AWS and Access Management (IAM) ロールです SageMaker。IAM ID は AWS 、アカウントへのアクセスを提供し、ユーザーに代わって他の AWS リソース SageMaker にアクセスするアクセス許可を付与する、 で認証され AWS、アクションを実行する権限を付与される人間のユーザーまたはプログラムによるワークロードを表します。このロールでは SageMaker 、 がコンピューティングインスタンスの起動、Amazon S3 に保存されているデータやモデルアーティファクトへのアクセス、 へのログの書き込みなどのアクションを実行できます CloudWatch。 は実行時に実行ロールを SageMaker 引き受け、ロールのポリシーで定義されたアクセス許可を一時的に付与します。ロールには、アイデンティティが実行できるアクションと、アイデンティティがアクセスできるリソースを定義する必要なアクセス許可が含まれている必要があります。さまざまな ID にロールを割り当てることで、ドメイン内のアクセス許可とアクセスを管理するための柔軟できめ細かなアプローチを提供できます。ドメインの詳細については、「」を参照してくださいAmazon SageMaker ドメインの概要。例えば、 にIAMロールを割り当てることができます。

• ドメイン内のすべてのユーザープロファイルに広範なアクセス許可を付与するドメイン実行ロール。

• ドメイン内の共有スペースに広範なアクセス許可を付与するスペース実行ロール。ドメイン内のすべてのユーザープロファイルは共有スペースにアクセスでき、共有スペース内ではスペースの実行ロールを使用します。

• 特定のユーザープロファイルにきめ細かなアクセス許可を付与するユーザープロファイル実行ロール。ユーザープロファイルによって作成されたプライベートスペースは、そのユーザープロファイルの実行ロールを引き受けます。

これにより、ユーザープロファイルの最小特権アクセス許可の原則を維持しながら、 AWS IAM Identity Center ユーザーガイドの のセキュリティのベストプラクティスIAMに準拠しながら、ドメインに必要なアクセス許可を付与できます。

実行ロールに対する変更や変更は、伝達に数分かかる場合があります。詳細については、実行ロールを変更する「」またはアクセス許可を実行ロールに変更する「」を参照してください。

実行ロールを使用した柔軟なアクセス許可の例

IAM ロールを使用すると、広範かつ詳細なレベルでアクセス許可を管理および付与できます。次の例には、スペースレベルとユーザーレベルのアクセス許可の付与が含まれます。

データサイエンティストのチームのドメインをセットアップする管理者がいるとします。ドメイン内のユーザープロファイルに Amazon Simple Storage Service (Amazon S3) バケットへのフルアクセスを許可し、 SageMaker トレーニングジョブを実行し、共有スペース 内のアプリケーションを使用してモデルをデプロイできます。この例では、DataScienceTeamRole「」というIAMロールを幅広いアクセス許可で作成できます。次に、DataScienceTeamRole「」をスペースのデフォルト実行ロール として割り当て、チームに広範なアクセス許可を付与できます。ユーザープロファイルが共有スペース を作成すると、そのスペースはスペースのデフォルト実行ロール を引き継ぎます。既存のドメインに実行ロールを割り当てる方法については、「」を参照してくださいスペース実行ロールを取得する。

自分のプライベートスペースで作業する個々のユーザープロファイルに Amazon S3 バケットへのフルアクセスを許可する代わりに、ユーザープロファイルのアクセス許可を制限し、Amazon S3 バケットの変更を許可することはできません。この例では、Amazon S3 バケットへの読み取りアクセス権を付与して、データの取得、 SageMaker トレーニングジョブの実行、プライベートスペース へのモデルのデプロイを行うことができます。比較的限られたアクセス許可で、DataScientistRole「」という名前のユーザーレベルの実行ロールを作成できます。次に、DataScientistRole「」をユーザープロファイル実行ロール に割り当て、定義された範囲内で特定のデータサイエンスタスクを実行するために必要なアクセス許可を付与できます。ユーザープロファイルがプライベートスペース を作成すると、そのスペースがユーザー実行ロール を引き継ぎます。既存のユーザープロファイルに実行ロールを割り当てる方法については、「」を参照してくださいユーザー実行ロールを取得する。

SageMaker 実行ロールと追加のアクセス許可の詳細については、「」を参照してください SageMaker 実行ロールの使用方法。