ロールマネージャーのよくある質問

Amazon SageMaker Role Manager に関するよくある質問への回答については、以下のよくある質問項目を参照してください。

Q: Amazon SageMaker Role Manager にアクセスするにはどうすればよいですか？

A: Amazon SageMaker コンソールの複数の場所から Amazon SageMaker Role Manager にアクセスできます。ロール マネージャーにアクセスし、それを使用してロールを作成する方法については、「ロールマネージャ (コンソール) を使用する」を参照してください。

Q: ペルソナとはどういうものですか?

A: ペルソナは、一般的な機械学習 (ML) の責任に基づいて事前に設定されたアクセス許可のグループです。例えば、データサイエンスペルソナは SageMaker 環境における一般的な機械学習の開発と実験のアクセス許可を提案し、MLOps ペルソナはオペレーションに関連する ML アクティビティのアクセス許可を提案します。

Q: ML アクティビティとはどういうものですか?

A: ML アクティビティは、特定の IAM アクセス許可を必要とする による SageMaker機械学習に関連する一般的な AWS タスクです。各ペルソナは、Amazon Role Manager でロールを作成するときに、関連する ML SageMaker アクティビティを提案します。ML アクティビティには、Amazon S3 フルアクセスや実験の検索と視覚化などのタスクがあります。詳細については、「ML アクティビティリファレンス」を参照してください。

Q: 作成したロールはロールマネージャー AWS Identity and Access Management (IAM) ロールですか？

A: はい。Amazon Role Manager を使用して作成された SageMaker ロールは、カスタマイズされたアクセスポリシーを持つ IAM ロールです。作成されたロールは IAM コンソールの [ロール] セクションで確認できます。

Q: Amazon Role Manager を使用して作成した SageMaker ロールを表示するにはどうすればよいですか？

A: 作成されたロールは IAM コンソールの [ロール] セクションで確認できます。デフォルトでは、IAM コンソールで検索しやすくなるように、すべてのロール名にプレフィックス "sagemaker-" が追加されます。例えば、ロールの作成時にロールに test-123 と名前を付けたら、そのロールは IAM コンソールで sagemaker-test-123 と表示されます。

Q: Amazon SageMaker Role Manager で作成されたロールは、作成後に変更できますか？

A: はい。Amazon SageMaker Role Manager によって作成されたロールとポリシーは、IAM コンソール から変更できます。詳細については、「AWS Identity and Access Management ユーザーガイド」の「ロールの修正」を参照してください。

Q: Amazon SageMaker Role Manager を使用して作成したロールに自分のポリシーをアタッチできますか？

A: はい。Amazon Role Manager を使用して作成したロールには、アカウントから AWS またはカスタマー管理の IAM SageMaker ポリシーをアタッチできます。

Q: Amazon SageMaker Role Manager で作成するロールに追加できるポリシーの数はいくつですか？

A: IAM ロールまたはユーザーにマネージドポリシーをアタッチできる上限は 20 です。マネージドポリシーの最大文字数制限は、6,144 文字です。詳細については、「IAM オブジェクトクォータと IAM ク AWS Security Token Service ォータ名の要件」および「文字制限」を参照してください。

Q: ML アクティビティに条件を追加できますか?

A: サブネット、セキュリティグループ、KMS キーなど、Amazon SageMaker Role Manager Step 1. ロール情報を入力するの で指定した条件は、 で選択されたすべての ML アクティビティに自動的に渡されますステップ 2. ML アクティビティを設定する。必要に応じて、ML アクティビティに条件を追加することもできます。例えば、トレーニングジョブの管理アクティビティに InstanceTypes または IntercontainerTrafficEncryption の条件を追加することもできます。

Q: タグ付けを使用して任意の AWS リソースへのアクセスを管理できますか？

A: Amazon Role Manager ステップ 3: ポリシーとタグを追加するの で SageMaker ロールにタグを追加できます。タグを使用して AWS リソースを適切に管理するには、ロールと関連するポリシーの両方に同じタグを追加する必要があります。例えば、ロールと Amazon S3 バケットにタグを追加できます。その後、ロールはタグを SageMaker セッションに渡すため、そのロールを持つユーザーのみがその S3 バケットにアクセスできます。IAM コンソールからポリシーにタグを追加できます。詳細については、「AWS Identity and Access Management ユーザーガイド」で「IAM ロールのタグ付け」を参照してください。

Q: Amazon SageMaker Role Manager を使用して にアクセスするためのロールを作成できますか AWS Management Console？

Q. いいえ、できません。ただし、ロールマネージャでサービスロールを作成したら、IAM コンソールに移動して、IAM コンソールでロールを編集し、ユーザーアクセスロールを追加できます。

Q: ユーザーフェデレーションロールと SageMaker 実行ロールの違いは何ですか？

A: ユーザーフェデレーションロールは、 AWS Management Consoleへのアクセスなどの AWS リソースにアクセスする際にユーザーが直接引き受けます。 SageMaker 実行ロールは、ユーザーまたはオートメーションツールに代わって関数を実行するために SageMaker サービスによって引き受けられます。例えば、ユーザーが Studio Classic インスタンスを開くと、Studio Classic はユーザープロファイルに関連付けられた実行ロールを引き受け、ユーザーに代わって リソースにアクセスします AWS 。ユーザープロファイルで実行ロールが指定されていない場合、実行ロールは Amazon SageMaker ドメインレベルで指定されます。

Q: 署名付き URL を介して Studio Classic にアクセスするカスタムウェブアプリケーションを使用している場合、どのロールが使用されますか？

A: カスタムウェブアプリケーションを使用して Studio Classic にアクセスする場合、ハイブリッドユーザーフェデレーションロールと SageMaker 実行ロールがあります。このロールには、ユーザーが実行できることと、Studio Classic が関連するユーザーに代わって実行できることの両方に対して最小特権のアクセス許可があることを確認してください。

Q: Studio Classic ドメインの AWS IAM Identity Center 認証で Amazon SageMaker Role Manager を使用できますか？

A: AWS IAM Identity Center Studio Classic クラウドアプリケーションは、Studio Classic 実行ロールを使用して、フェデレーティッドユーザーに許可を付与します。この実行ロールは、Studio Classic IAM Identity Center ユーザープロファイルレベルまたはデフォルトのドメインレベルで指定できます。ユーザー ID とグループは IAM Identity Center に同期し、Studio Classic ユーザープロファイルはCreateUser、プロファイル を使用して IAM Identity Center ユーザー割り当てで作成する必要があります。詳細については、「IAM Identity Center で Studio Classic を起動する」を参照してください。