ロールマネージャ (コンソール) を使用する - Amazon SageMaker
前提条件Step 1. ロール情報を入力するステップ 2. ML アクティビティを設定するステップ 3: ポリシーとタグを追加するレビューロール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ロールマネージャ (コンソール) を使用する

Amazon SageMaker Role Manager は、Amazon SageMaker コンソールの左側のナビゲーションにある次の場所から使用できます。

  • 開始方法 — ユーザーのアクセス許可ポリシーをすばやく追加できます。

  • ドメイン – Amazon SageMaker ドメイン内のユーザーのアクセス許可ポリシーを追加します。

  • ノートブック — ノートブックを作成して実行するユーザーに最小限のアクセス許可を追加します。

  • トレーニング — トレーニングジョブを作成して管理するユーザーに最小限のアクセス許可を追加します。

  • 推論 — 推論用のモデルをデプロイして管理するユーザーに最小限のアクセス許可を追加します。

SageMaker コンソールのさまざまな場所からロールを作成するプロセスを開始する手順は次のとおりです。

SageMaker を初めて使用する場合は、開始方法セクションからロールを作成することをお勧めします。

Amazon SageMaker Role Manager を使用してロールを作成するには、次の手順を実行します。

  1. Amazon SageMaker コンソールを開きます。

  2. 左側のナビゲーションペインで、[管理設定]‭ を選択します。

  3. [管理者設定][Role Manager] を選択します。

  4. [ロールを作成] を選択します。

Amazon SageMaker ドメインの作成プロセスを開始するときに、Amazon SageMaker Role Manager を使用してロールを作成できます。

Amazon SageMaker Role Manager を使用してロールを作成するには、次の手順を実行します。

  1. Amazon SageMaker コンソールを開きます。

  2. 左のナビゲーションペインで、[管理設定‭] を選択します。

  3. 管理者設定 で、ドメイン を選択します。

  4. [ドメインの作成] をクリックします。

  5. [ロール作成ウィザードを使用してロールを作成] を選択します。

ノートブックの作成プロセスを開始するときに、Amazon SageMaker Role Manager を使用してロールを作成できます。

Amazon SageMaker Role Manager を使用してロールを作成するには、次の手順を実行します。

  1. Amazon SageMaker コンソールを開きます。

  2. 左側のナビゲーションで、[ノートブック] を選択します。

  3. [ノートブックインスタンス] を選択します。

  4. [Create notebook instance] (ノートブックインスタンスの作成) を選択します。

  5. [ロール作成ウィザードを使用してロールを作成] を選択します。

トレーニングジョブの作成プロセスを開始するときに、Amazon SageMaker Role Manager を使用してロールを作成できます。

Amazon SageMaker Role Manager を使用してロールを作成するには、次の手順を実行します。

  1. Amazon SageMaker コンソールを開きます。

  2. 左側のナビゲーションで、[トレーニング] を選択します。

  3. [トレーニングジョブ] を選択します。

  4. [トレーニングジョブの作成] を選択します。

  5. [ロール作成ウィザードを使用してロールを作成] を選択します。

推論用にモデルをデプロイするプロセスを開始するときに、Amazon SageMaker Role Manager を使用してロールを作成できます。

Amazon SageMaker Role Manager を使用してロールを作成するには、次の手順を実行します。

  1. Amazon SageMaker コンソールを開きます。

  2. 左側のナビゲーションで、[推論] を選択します。

  3. [モデル] を選択します。

  4. [モデルの作成] を選択します。

  5. [ロール作成ウィザードを使用してロールを作成] を選択します。

前述の手順のいずれかが完了したら、以下のセクションの情報を参考にしてロールを作成します。

前提条件

Amazon SageMaker Role Manager を使用するには、IAM ロールを作成するアクセス許可が必要です。このアクセス許可を利用できるのは、通常、ML 管理者と ML 実務者向けの最小特権のアクセス許可を持つロールです。

ロール を切り替える AWS Management Console ことで、 で IAM ロールを一時的に引き受けることができます。ロールを使用する方法の詳細については、「IAM ユーザーガイド」の「IAM ロールの使用」を参照してください。

Step 1. ロール情報を入力する

新しい SageMaker ロールの一意のサフィックスとして使用する名前を指定します。デフォルトでは、IAM コンソールで検索しやすくなるように、すべてのロール名にプレフィックス "sagemaker-" が追加されます。例えば、ロールの作成時にロールに test-123 と名前を付けると、そのロールは IAM コンソールで sagemaker-test-123 と表示されます。オプションでロールの説明を付け加えて、詳細を追加することができます。

次に、使用可能なペルソナから 1 つ選択すると、データサイエンティスト、データエンジニア、機械学習オペレーション (MLOps) エンジニアなどのペルソナに推奨されるアクセス許可が表示されます。使用可能なペルソナと推奨されるアクセス許可については、「ペルソナリファレンス」を参照してください。推奨されるアクセス許可なしでロールを作成するには、[カスタムロールの設定] を選択します。

注記

コンピューティングリソースがトレーニングや推論などのタスクを実行できるように、まずロールマネージャーを使用して SageMaker コンピューティング SageMaker ロールを作成することをお勧めします。 SageMaker コンピューティングロールペルソナを使用して、ロールマネージャーでこのロールを作成します。 SageMaker コンピューティングロールを作成したら、将来の使用のためにその ARN を書き留めます。

ネットワークと暗号化の条件

VPC のカスタマイズを有効にして、新しいロールに関連付けられた IAM ポリシーで VPC 設定、サブネット、セキュリティグループを使用することをおすすめします。VPC のカスタマイズを有効にすると、VPC リソースとやり取りする ML アクティビティの IAM ポリシーの範囲が最小特権のアクセスに絞り込まれます。VPC のカスタマイズはデフォルトでは有効になっていません。推奨ネットワークアーキテクチャの詳細については、「AWS テクニカルガイド」の「Networking architecture」を参照してください。

KMS キーを使用して、機密性の高いデータを含む規制対象のワークロードのデータを暗号化、復号化、再暗号化することもできます。 AWS KMS カスタマイズを有効にすると、カスタム暗号化キーをサポートする ML アクティビティの IAM ポリシーの範囲が最小特権アクセスに絞り込まれます。詳細については、「AWS テクニカルガイド」の「Encryption with AWS KMS」を参照してください。

ステップ 2. ML アクティビティを設定する

各 Amazon SageMaker Role Manager の ML アクティビティには、関連する AWS リソースへのアクセスを提供するための IAM アクセス許可が提案されています。一部の ML アクティビティでは、設定を完了するためにサービスロール ARN を追加する必要があります。定義済みの ML アクティビティとそのアクセス許可については、「ML アクティビティリファレンス」を参照してください。サービスロールの追加については、「サービスロール」を参照してください。

選択したペルソナに基づいて、特定の ML アクティビティが既に選択されています。推奨される ML アクティビティをすべて選択解除するか、追加のアクティビティを選択して独自のロールを作成できます。カスタムロール設定ペルソナを選択した場合、このステップでは ML アクティビティは事前に選択されません。

のロールには、追加の IAM ポリシー AWS またはカスタマー管理の IAM ポリシーを追加できますステップ 3: ポリシーとタグを追加する

サービスロール

一部の AWS サービスでは、ユーザーに代わってアクションを実行するためにサービスロールが必要です。選択した ML アクティビティでサービスロールを渡す必要がある場合は、そのサービスロールの ARN を指定する必要があります。

新しいサービスロールを作成するか、 SageMaker コンピューティングロールペルソナで作成されたサービスロールなどの既存のサービスロールを使用できます。IAM コンソールの [ロール] セクションでロール名を選択すると、既存のロールの ARN を確認できます。サービスロールの詳細については、「 AWS サービス用のロールの作成」を参照してください。

ステップ 3: ポリシーとタグを追加する

既存の IAM ポリシー AWS またはカスタマー管理の IAM ポリシーを新しいロールに追加できます。既存の SageMaker ポリシーの詳細については、AWS 「Amazon の マネージドポリシー SageMaker」を参照してください。IAM コンソール[ロール] セクションで既存のポリシーを確認することもできます。

必要に応じて、タグベースのポリシー条件を使用してメタデータ情報を割り当て、 AWS リソースを分類および管理します。各タグはキーと値のペアで表されます。詳細については、「タグを使用した AWS リソースへのアクセスの制御」を参照してください。

レビューロール

時間をとって、新しいロールに関連するすべての情報を確認します。戻って情報を編集するには、[戻る] を選択します。ロールを作成する準備ができたら、[作成] を選択します。これにより、選択した ML アクティビティのアクセス許可を持つロールが生成されます。新しいロールは IAM コンソール[ロール] セクションで確認できます。