Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

ドメインスペースのアクセス許可と実行ロールを理解する

PDF
RSS
フォーカスモード
ドメインスペースのアクセス許可と実行ロールを理解する - Amazon SageMaker AI
SageMaker AI 実行ロール実行ロールを使用した柔軟なアクセス許可の例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

多くの SageMaker AI アプリケーションの場合、ドメイン内で SageMaker AI アプリケーションを起動すると、アプリケーション用のスペースが作成されます。ユーザープロファイルがスペースを作成すると、そのスペースは、そのスペースに付与されたアクセス許可を定義する AWS Identity and Access Management (IAM) ロールを引き受けます。次のページでは、スペースタイプと、スペースのアクセス許可を定義する実行ロールについて説明します。

IAM ロールは、特定の許可があり、アカウントで作成できるもう 1 つの IAM アイデンティティです。IAM ロールは、 AWS アイデンティティができることとできないことを決定するアクセス許可ポリシーを持つアイデンティティであるという点で、IAM ユーザーと似ています AWS。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。また、ロールには標準の長期認証情報 (パスワードやアクセスキーなど) も関連付けられません。代わりに、ロールを引き受けると、ロールセッション用の一時的なセキュリティ認証情報が提供されます。

注記

Amazon SageMaker Canvas または RStudio を起動しても、IAM ロールを引き受けるスペースは作成されません。代わりに、ユーザープロファイルに関連付けられたロールを変更して、アプリケーションのアクセス許可を管理します。SageMaker AI ユーザープロファイルのロールを取得する方法については、「」を参照してくださいユーザーの実行ロールを取得する

SageMaker Canvas については、「Amazon SageMaker Canvas の設定と権限の管理 (IT 管理者向け)」を参照してください。

RStudio については、「RStudio アプリで Amazon SageMaker AI ドメインを作成する」を参照してください。

ユーザーは、共有スペースまたはプライベートスペース内で SageMaker AI アプリケーションにアクセスできます。

共有スペース

  • アプリケーションに関連付けられたスペースは 1 つのみです。共有スペースには、ドメイン内のすべてのユーザープロファイルからアクセスできます。これにより、ドメイン内のすべてのユーザープロファイルに、アプリケーションと同じ基盤となるファイルストレージシステムへのアクセスが付与されます。

  • 共有スペースには、スペースのデフォルトの実行ロールで定義されたアクセス許可が付与されます。共有スペースの実行ロールを変更する場合は、スペースのデフォルトの実行ロールを変更する必要があります。

    スペースのデフォルトの実行ロールを取得する方法については、「スペースの実行ロールを取得する」を参照してください。

    実行ロールを変更する方法については、「実行ロールのアクセス許可を変更する」を参照してください。

  • 共有スペースの詳細については、「共有スペースでコラボレーション」を参照してください。

  • 共有スペース作成するには、「共有スペースの作成」を参照してください。

プライベートスペース

  • アプリケーションに関連付けられたスペースは 1 つのみです。プライベートスペースにアクセスできるのは、プライベートスペースを作成したユーザープロファイルのみです。このスペースを他のユーザーと共有することはできません。

  • プライベートスペースは、スペースを作成したユーザープロファイルのユーザープロファイルの実行ロールを引き受けます。プライベートスペースの実行ロールを変更する場合は、ユーザープロファイルの実行ロールを変更する必要があります。

    ユーザープロファイルの実行ロールを取得する方法については、「ユーザーの実行ロールを取得する」を参照してください。

    実行ロールを変更する方法については、「実行ロールのアクセス許可を変更する」を参照してください。

  • スペースをサポートするすべてのアプリケーションは、プライベートスペースもサポートします。

  • Studio Classic 用のプライベートスペースは、デフォルトではユーザープロファイルごとに既に作成されています。

SageMaker AI 実行ロール

SageMaker AI 実行ロールは、SageMaker AI で実行を実行している IAM ID に割り当てられた AWS Identity and Access Management (IAM) ロールです。IAM ID は、 AWS アカウントへのアクセスを提供し、ユーザーに代わって他の AWS リソースにアクセスするためのアクセス許可を SageMaker AI に付与する、認証され AWS、アクションを実行する権限を付与できる人間のユーザーまたはプログラムによるワークロードを表します。このロールにより、SageMaker AI はコンピューティングインスタンスの起動、Amazon S3 に保存されているデータやモデルアーティファクトへのアクセス、CloudWatch へのログの書き込みなどのアクションを実行できます。SageMaker AI は実行時に実行ロールを引き受け、ロールのポリシーで定義されたアクセス許可が一時的に付与されます。ロールには、該当するアイデンティティが実行できるアクションと、アイデンティティがアクセスできるリソースを定義する、必要となるアクセス許可が付与されている必要があります。さまざまなアイデンティティにロールを割り当てることで、ドメイン内のアクセス許可とアクセスを管理するための柔軟できめ細かなアプローチを提供できます。ドメインの詳細については、「Amazon SageMaker AI ドメインの概要」を参照してください。例えば、IAM ロールを以下に割り当てることができます。

  • ドメイン内のすべてのユーザープロファイルに広範なアクセス許可を付与するドメインの実行ロール

  • ドメイン内の共有スペースに広範なアクセス許可を付与するスペースの実行ロール。ドメイン内のすべてのユーザープロファイルは共有スペースにアクセスでき、共有スペース内ではスペースの実行ロールを使用します。

  • 特定のユーザープロファイルにきめ細かなアクセス許可を付与するユーザープロファイルの実行ロール。ユーザープロファイルが作成したプライベートスペースは、作成したユーザープロファイルの実行ロールを引き受けます。

これにより、ユーザープロファイルへの最小特権アクセス許可の原則を維持しながら、「AWS IAM Identity Center ユーザーガイド」の「IAM でのセキュリティのベストプラクティス」に準拠して、ドメインに必要なアクセス許可を付与できます。

実行ロールへの変更の伝播には数分かかる場合があります。詳細については、それぞれ「実行ロールを変更する」または「実行ロールのアクセス許可を変更する」を参照してください。

実行ロールを使用した柔軟なアクセス許可の例

IAM ロールを使用すると、広範かつきめ細かいレベルでアクセス許可を管理して付与できます。次の例では、スペースレベルとユーザーレベルのアクセス許可が付与されます。

データサイエンティストチームのドメインを設定する管理者の場合、ドメイン内のユーザープロファイルに Amazon Simple Storage Service (Amazon S3) バケットへのフルアクセスを許可して、SageMaker トレーニングジョブを実行し、共有スペース 内のアプリケーションを使用してモデルをデプロイできるように設定できます。この例では、広範なアクセス許可が付与されている「DataScienceTeamRole」という名前の IAM ロールを作成できます。その後、「DataScienceTeamRole」をスペースのデフォルト実行ロールとして割り当て、チームに幅広いアクセス許可を付与できます。ユーザープロファイルが共有スペースを作成すると、そのスペースはスペースのデフォルトの実行ロールを引き受けます。既存のドメインに実行ロールを割り当てる方法については、「スペースの実行ロールを取得する」を参照してください。

独自のプライベートスペースで作業する個別のユーザープロファイルに Amazon S3 バケットへのフルアクセスを許可する代わりに、ユーザープロファイルのアクセス許可を制限して、Amazon S3 バケットの変更を許可しないようにすることができます。この例では、Amazon S3 バケットへの読み取りアクセス権を付与して、データの取得、SageMaker トレーニングジョブの実行、プライベートスペースへのモデルのデプロイを実行できるようにすることができます。比較的限られたアクセス許可で、「DataScientistRole」というユーザーレベルの実行ロールを作成できます。その後「DataScientistRole」をユーザープロファイルの実行ロールに割り当て、定義された範囲内で特定のデータサイエンスタスクを実行するために必要なアクセス許可を付与できます。ユーザープロファイルが共有スペースを作成すると、そのスペースはユーザーの実行ロールを引き受けます。既存のユーザープロファイルに実行ロールを割り当てる方法については、「ユーザーの実行ロールを取得する」を参照してください。

SageMaker AI 実行ロールとそのロールへの追加のアクセス許可の詳細については、「」を参照してくださいSageMaker AI 実行ロールの使用方法

このページの内容

Related resources

Amazon SageMaker AI API リファレンス
AWS CLI の コマンド Amazon SageMaker AI
SDK とツール 

Related resources

Amazon SageMaker AI API リファレンス
AWS CLI の コマンド Amazon SageMaker AI
SDK とツール 
プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.