SageMaker 地理空間機能の役割 - アマゾン SageMaker
実行ロールを作成するロールを渡すStartEarthObservationJobAPI: 実行ロールアクセス許可StartVectorEnrichmentJobAPI: 実行ロールアクセス許可ExportEarthObservationJobAPI: 実行ロールアクセス許可ExportVectorEnrichmentJobAPI: 実行ロールアクセス許可

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SageMaker 地理空間機能の役割

マネージド型サービスである Amazon SageMaker の地理空間機能は、によって管理されるAWSハードウェアでユーザーに代わってオペレーションを実行します SageMaker。ユーザーが許可するオペレーションのみを実行できます。

ユーザーは、これらのアクセス許可を IAM ロールで付与できます (これを実行ロールと呼びます)。

ローカルで使用可能な実行ロールを作成して使用するには、以下の手順を使用します。

実行ロールを作成する

SageMaker 地理空間機能を操作するには、ユーザーロールと実行ロールを設定する必要があります。ユーザーロールは、ユーザーができることとできないことを決定するアクセス許可ポリシーが適用されるAWS ID ですAWS。実行ロールは、AWSリソースにアクセスする許可をサービスに付与する IAM ロールです。実行ロールは、権限と信頼ポリシーで構成されます。信頼ポリシーはどのプリンシパルがロールを引き受けるかを指定します。

以下の手順を実行して、IAM 管理ポリシー AmazonSageMakerGeospatialFullAccess をアタッチした実行ロールを作成します。詳細なアクセス許可が必要なユースケースの場合は、このガイドの他のセクションを使用して、ビジネスニーズを満たす実行ロールを作成します。

重要

以下の手順で使用されている IAM 管理ポリシー AmazonSageMakerGeospatialFullAccess では、名前に SageMakerSagemakersagemakeraws-glue を持つ特定の Amazon S3 アクションをバケットまたはオブジェクトで実行するアクセス許可のみが実行ロールに付与されます。実行ロールにポリシーを追加して、他の Amazon S3 バケットやオブジェクトへのアクセス権を付与する方法については、「 SageMaker 実行ロールにその他の Amazon S3 アクセス許可を追加する」を参照してください。

新規ロールを作成するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. [Roles] (ロール) 、[Create role] (ロールの作成) の順に選択します。

  3. 選択 SageMaker.

  4. [Next: Permissions] (次へ: アクセス許可) を選択します。

  5. IAM 管理ポリシー AmazonSageMakerGeospatialFullAccess は、このロールに自動的にアタッチされます。このポリシーに含まれるアクセス許可を表示するには、ポリシー名の横にある横向きの矢印を選択します。[Next: Tags] (次へ: タグ) を選択します。

  6. (オプション) タグを追加し、[Next: Review] (次へ: 確認) を選択します。

  7. [Role name] (ロール名) のテキストフィールドでロールに名前を付け、[Create role] (ロールの作成) を選択します。

  8. IAM コンソールの [Roles] (ロール) セクションで、先ほど作成したロールを選択します。必要に応じて、テキストボックスを使用し、手順 7 で入力したロール名を使ってロールを検索します。

  9. ロールの概要ページにある ARN を書き留めておきます。

ロールを渡す

サービス間でのロールの受け渡しなどのアクションは、 SageMaker内の一般的な機能です。のアクション、リソース、条件キーの詳細については SageMaker、 IAM ユーザーガイドをご覧ください

これらの API 呼び出しを行うときは、ロール (iam:PassRole) ExportVectorEnrichmentJobを渡します。StartEarthObservationJobStartVectorEnrichmentJobExportEarthObservationJob、、

ロールを引き受ける IAM ロールに次の信頼ポリシーをアタッチします。 SageMaker これはロールを引き受けるためのプリンシパルアクセス許可を付与する IAM ロールに次の信頼ポリシーをアタッチします。これはすべての実行ロールに対して同じです。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "sagemaker-geospatial.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

ロールに付与する必要がある権限は、呼び出すAPIによって異なる場合があります。以下のセクションでは、これらのアクセス許可について説明します。

注記

アクセス許可ポリシーを作成してアクセス許可を管理する代わりに、AWSAmazonSageMakerFullAccess管理アクセス許可ポリシーを使用できます。 SageMaker で実行する可能性のあるすべてのアクションに対応できるように、このポリシーのアクセス許可範囲は広くなっています。多くのアクセス許可を付与する理由に関する情報を含むポリシーのリストについては、「AWS管理ポリシー: AmazonSageMakerFullAccess」を参照してください。カスタムポリシーを作成してアクセス許可を管理し、実行ロールで実行する必要があるアクションにのみアクセス許可を適用する場合は、以下のトピックを参照してください。

重要

問題が発生した場合は、「」を参照してくださいAmazon SageMaker Identity and Access のトラブルシューティング

IAM ロールの詳細については、IAM ユーザーガイドIAM ロールを参照してください。

StartEarthObservationJobAPI: 実行ロールアクセス許可

StartEarthObservationJob API リクエストで渡すことのできる実行ロールについては、次の最小アクセス許可ポリシーをロールにアタッチできます。

{
            {
                "Version": "2012-10-17",
                "Statement": [
                  {
                      "Effect": "Allow",
                      "Action": [
                          "s3:AbortMultipartUpload",
                          "s3:PutObject",
                          "s3:GetObject",
                          "s3:ListBucketMultipartUploads"
                      ],
                      "Resource": [
                        "arn:aws:s3:::*SageMaker*",
                        "arn:aws:s3:::*Sagemaker*",
                        "arn:aws:s3:::*sagemaker*"
                      ]
                  },
                  {
                    "Effect": "Allow",
                    "Action": "sagemaker-geospatial:GetEarthObservationJob",
                    "Resource":  "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
                  }
                ]
              }
    
}

入力した Amazon S3 バケットが、AWS KMSマネージドキーによるサーバー側の暗号化 (SSE-KMS) 機能を使用して暗号化されている場合、詳細については、「Amazon S3 バケットキーの使用」を参照してください。

StartVectorEnrichmentJobAPI: 実行ロールアクセス許可

StartVectorEnrichmentJob API リクエストで渡すことのできる実行ロールについては、次の最小アクセス許可ポリシーをロールにアタッチできます。

{
            {
                "Version": "2012-10-17",
                "Statement": [
                  {
                      "Effect": "Allow",
                      "Action": [
                          "s3:AbortMultipartUpload",
                          "s3:PutObject",
                          "s3:GetObject",
                          "s3:ListBucketMultipartUploads"
                      ],
                      "Resource": [
                        "arn:aws:s3:::*SageMaker*",
                        "arn:aws:s3:::*Sagemaker*",
                        "arn:aws:s3:::*sagemaker*"
                      ]
                  },
                  {
                    "Effect": "Allow",
                    "Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
                    "Resource":  "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
                  }
                ]
              }
    
}

入力した Amazon S3 バケットが、AWS KMSマネージドキーによるサーバー側の暗号化 (SSE-KMS) 機能を使用して暗号化されている場合、詳細については、「Amazon S3 バケットキーの使用」を参照してください。

ExportEarthObservationJobAPI: 実行ロールアクセス許可

ExportEarthObservationJob API リクエストで渡すことのできる実行ロールについては、次の最小アクセス許可ポリシーをロールにアタッチできます。

{
            {
                "Version": "2012-10-17",
                "Statement": [
                  {
                      "Effect": "Allow",
                      "Action": [
                          "s3:AbortMultipartUpload",
                          "s3:PutObject",
                          "s3:GetObject",
                          "s3:ListBucketMultipartUploads"
                      ],
                      "Resource": [
                        "arn:aws:s3:::*SageMaker*",
                        "arn:aws:s3:::*Sagemaker*",
                        "arn:aws:s3:::*sagemaker*"
                      ]
                  },
                  {
                    "Effect": "Allow",
                    "Action": "sagemaker-geospatial:GetEarthObservationJob",
                    "Resource":  "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
                  }
                ]
              }
    
}

入力した Amazon S3 バケットが、AWS KMSマネージドキーによるサーバー側の暗号化 (SSE-KMS) 機能を使用して暗号化されている場合、詳細については、「Amazon S3 バケットキーの使用」を参照してください。

ExportVectorEnrichmentJobAPI: 実行ロールアクセス許可

ExportVectorEnrichmentJob API リクエストで渡すことのできる実行ロールについては、次の最小アクセス許可ポリシーをロールにアタッチできます。

{
            {
                "Version": "2012-10-17",
                "Statement": [
                  {
                      "Effect": "Allow",
                      "Action": [
                          "s3:AbortMultipartUpload",
                          "s3:PutObject",
                          "s3:GetObject",
                          "s3:ListBucketMultipartUploads"
                      ],
                      "Resource": [
                        "arn:aws:s3:::*SageMaker*",
                        "arn:aws:s3:::*Sagemaker*",
                        "arn:aws:s3:::*sagemaker*"
                      ]
                  },
                  {
                    "Effect": "Allow",
                    "Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
                    "Resource":  "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
                  }
                ]
              }
    
}

入力した Amazon S3 バケットが、AWS KMSマネージドキーによるサーバー側の暗号化 (SSE-KMS) 機能を使用して暗号化されている場合、詳細については、「Amazon S3 バケットキーの使用」を参照してください。