SageMaker 地理空間リー - アマゾン SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SageMaker 地理空間リー

マネージドサービスとして、Amazon は SageMaker 地理空間機能は、お客様に代わって操作を実行します。AWSによって管理されるハードウェア SageMaker。ユーザーが許可する操作のみを実行できます。

ユーザーは、IAM ロール (実行ロールと呼ばれる) を使用してこれらの権限を付与できます。

ローカルで使用可能な実行ロールを作成して使用するには、以下の手順を使用します。

実行ロールを作成する

に追加 SageMaker 地理空間機能には、ユーザーロールと実行ロールを設定する必要があります。ユーザーロールはAWSユーザーが内部で実行できることとできないことを決定する権限ポリシーを含む IDAWS。実行ロールは、サービスのアクセス権限の IAM ロールです。AWSリソース。実行ロールは権限と信頼ポリシーで構成されます。信頼ポリシーは、役割を引き受ける権限を持つプリンシパルを指定します。

以下の手順を実行して、IAM 管理ポリシー AmazonSageMakerGeospatialFullAccess をアタッチした実行ロールを作成します。ユースケースでより詳細な権限が必要な場合は、このガイドの他のセクションを使用して、ビジネスニーズに合った実行ロールを作成してください。

重要

以下の手順で使用されている IAM 管理ポリシー AmazonSageMakerGeospatialFullAccess では、名前に SageMakerSagemakersagemakeraws-glue を持つ特定の Amazon S3 アクションをバケットまたはオブジェクトで実行するアクセス許可のみが実行ロールに付与されます。実行ロールにポリシーを追加して、他の Amazon S3 バケットやオブジェクトへのアクセス権を付与する方法については、「への追加の Amazon S3 アクセスを付与します SageMaker 実行ロール」を参照してください。

新規ロールを作成するには
  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. [Roles] (ロール) 、[Create role] (ロールの作成) の順に選択します。

  3. を選択します。SageMaker

  4. [Next: Permissions] (次へ: アクセス許可) を選択します。

  5. IAM 管理ポリシー AmazonSageMakerGeospatialFullAccess は、このロールに自動的にアタッチされます。このポリシーに含まれるアクセス許可を表示するには、ポリシー名の横にある横向きの矢印を選択します。[Next: Tags] (次へ: タグ) を選択します。

  6. (オプション) タグを追加し、[Next: Review] (次へ: 確認) を選択します。

  7. [Role name] (ロール名) のテキストフィールドでロールに名前を付け、[Create role] (ロールの作成) を選択します。

  8. 役割IAM コンソールのセクションで、作成したロールを選択します。必要に応じて、テキストボックスを使用し、手順 7 で入力したロール名を使ってロールを検索します。

  9. ロールの概要ページにある ARN を書き留めておきます。

ロールを渡す

サービス間でロールを渡すなどのアクションは、サービス内で実行するように設計されています。 SageMaker。詳細は以下のとおりですのアクション、リソース、および条件キー SageMakerIAM ユーザーガイド

ロールを渡します (iam:PassRole次の API 呼び出しを行うとき:StartEarthObservationJob,StartVectorEnrichmentJobExportEarthObservationJobExportVectorEnrichmentJob

以下の信頼ポリシーを IAM ロールにアタッチします。 SageMaker ロールを引き受ける主権限。すべての実行ロールに対して実行ロール全体でこれが同じです。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "sagemaker-geospatial.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }

ロールに付与する必要のある権限は、呼び出す API によって異なる場合があります。以下のセクションでは、これらのアクセス許可について説明します。

注記

アクセス許可ポリシーを作成してアクセス許可を管理する代わりに、アクセス許可ポリシーを使用できます。AWS管理されたAmazonSageMakerFullAccess権限名 SageMaker で実行する可能性のあるすべてのアクションに対応できるように、このポリシーのアクセス許可範囲は広くなっています。多くのアクセス許可を付与する理由に関する情報を含むポリシーのリストについては、「AWS管理ポリシー: AmazonSageMakerFullAccess」を参照してください。カスタムポリシーを作成してアクセス許可を管理し、実行ロールで実行する必要があるアクションにのみアクセス許可を適用する場合は、以下のトピックを参照してください。

重要

問題が発生した場合は、以下を参照してください。Amazon のトラブルシューティング SageMakerID とアクセス

IAM ロールの詳細については、IAM ユーザーガイドIAM ロールを参照してください。

StartEarthObservationJobAPI: 実行ロールの権限

StartEarthObservationJob API リクエストで渡すことのできる実行ロールについては、次の最小アクセス許可ポリシーをロールにアタッチできます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:PutObject", "s3:GetObject", "s3:ListBucketMultipartUploads" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Effect": "Allow", "Action": "sagemaker-geospatial:GetEarthObservationJob", "Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*" }, { "Effect": "Allow", "Action": "sagemaker-geospatial:GetRasterDataCollection", "Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*" } ] }

入力 Amazon S3 バケットが、サーバー側の暗号化を使用して暗号化されている場合AWS KMSマネージドキー (SSE-KMS)、を参照してください。Amazon S3 バケットキーの使用詳細については

StartVectorEnrichmentJobAPI: 実行ロールの権限

StartVectorEnrichmentJob API リクエストで渡すことのできる実行ロールについては、次の最小アクセス許可ポリシーをロールにアタッチできます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:PutObject", "s3:GetObject", "s3:ListBucketMultipartUploads" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Effect": "Allow", "Action": "sagemaker-geospatial:GetVectorEnrichmentJob", "Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*" } ] }

入力 Amazon S3 バケットが、サーバー側の暗号化を使用して暗号化されている場合AWS KMSマネージドキー (SSE-KMS)、を参照してください。Amazon S3 バケットキーの使用詳細については

ExportEarthObservationJobAPI: 実行ロールの権限

ExportEarthObservationJob API リクエストで渡すことのできる実行ロールについては、次の最小アクセス許可ポリシーをロールにアタッチできます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:PutObject", "s3:GetObject", "s3:ListBucketMultipartUploads" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Effect": "Allow", "Action": "sagemaker-geospatial:GetEarthObservationJob", "Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*" } ] }

入力 Amazon S3 バケットの、サーバー側の暗号化と暗号化の Amazon S3 バケットのAWS KMSマネージドキー (SSE-KMS)、を参照してください。Amazon S3 バケットキーの使用詳細については

ExportVectorEnrichmentJobAPI: 実行ロールの権限

ExportVectorEnrichmentJob API リクエストで渡すことのできる実行ロールについては、次の最小アクセス許可ポリシーをロールにアタッチできます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:PutObject", "s3:GetObject", "s3:ListBucketMultipartUploads" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Effect": "Allow", "Action": "sagemaker-geospatial:GetVectorEnrichmentJob", "Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*" } ] }

入力 Amazon S3 バケットの、サーバー側の暗号化と暗号化の Amazon S3 バケットのAWS KMSマネージドキー (SSE-KMS)、を参照してください。Amazon S3 バケットキーの使用詳細については