Studio のポリシーとアクセス許可を設定する

最初のノートブックの実行をスケジュールする前に、適切なポリシーとアクセス許可をインストールする必要があります。以下は、次のアクセス許可を設定する手順を説明しています。

ジョブ実行ロールの信頼関係
ジョブ実行ロールにアタッチされた追加の IAM アクセス許可
（オプション) カスタム KMS キーを使用するための AWS KMS アクセス許可ポリシー

重要

AWS アカウントがサービスコントロールポリシー (SCP) が設定されている組織に属している場合、有効なアクセス許可は、SCPs で許可されているものと IAM ロールとユーザーポリシーで許可されているものの論理的な共通部分です。例えば、組織の SCP で、us-east-1 と us-west-1 のリソースのみにアクセスできると指定されており、ポリシーでは us-west-1 と us-west-2 のリソースのみにアクセスが許可されている場合、最終的には us-west-1 のリソースにのみアクセスできます。ロールポリシーとユーザーポリシーで許可されているアクセス許可をすべて行使したい場合は、組織の SCP が独自の IAM ユーザーおよびロールポリシーと同じアクセス許可セットを付与する必要があります。許可されるリクエストを確認する方法の詳細については、「Determining whether a request is allowed or denied within an account」を参照してください。

信頼関係

信頼関係を変更するには、次の手順を実行します。

[IAM コンソール] を開きます。
左側のパネルの [ロール] を選択します。
ノートブックジョブのジョブ実行ロールを検索し、ロール名を選択します。
[信頼関係] タブを選択します。
[Edit trust policy] (信頼ポリシーを編集) を選択します。

以下のポリシーをコピーして、貼り付けます。

[[ポリシーの更新] を選択します。

追加の IAM アクセス許可

以下の状況では、追加の IAM アクセス許可を含める必要がある場合がある

Studio の実行ロールとノートブックジョブのロールは異なる
S3 VPC エンドポイント経由で Amazon S3 リソースにアクセスする必要がある
カスタム KMS キーを使用して、入出力の Amazon S3 バケットを暗号化する必要がある

以下の説明では、それぞれのケースに必要なポリシーについて取り上げます。

Studio の実行ロールとノートブックジョブのロールが異なる場合に必要なアクセス許可

次の JSON スニペットは、Studio 実行ロールをノートブックジョブロールとして使用しない場合に Studio 実行ロールとノートブックジョブロールに追加する必要があるポリシーの例です。権限をさらに制限する必要がある場合は、このポリシーを確認して変更してください。

JSON


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"iam:PassRole",
         "Resource":"arn:aws:iam::*:role/*",
         "Condition":{
            "StringLike":{
               "iam:PassedToService":[
                  "sagemaker.amazonaws.com",
                  "events.amazonaws.com"
               ]
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "events:TagResource",
            "events:DeleteRule",
            "events:PutTargets",
            "events:DescribeRule",
            "events:PutRule",
            "events:RemoveTargets",
            "events:DisableRule",
            "events:EnableRule"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/sagemaker:is-scheduling-notebook-job":"true"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:CreateBucket",
            "s3:PutBucketVersioning",
            "s3:PutEncryptionConfiguration"
         ],
         "Resource":"arn:aws:s3:::sagemaker-automated-execution-*"
      },
      {
            "Sid": "S3DriverAccess",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::sagemakerheadlessexecution-*"
            ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:ListTags"
         ],
         "Resource":[
            "arn:aws:sagemaker:*:*:user-profile/*",
            "arn:aws:sagemaker:*:*:space/*",
            "arn:aws:sagemaker:*:*:training-job/*",
            "arn:aws:sagemaker:*:*:pipeline/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:AddTags"
         ],
         "Resource":[
            "arn:aws:sagemaker:*:*:training-job/*",
            "arn:aws:sagemaker:*:*:pipeline/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeRouteTables",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcEndpoints",
            "ec2:DescribeVpcs",
            "ecr:BatchCheckLayerAvailability",
            "ecr:BatchGetImage",
            "ecr:GetDownloadUrlForLayer",
            "ecr:GetAuthorizationToken",
            "s3:ListBucket",
            "s3:GetBucketLocation",
            "s3:GetEncryptionConfiguration",
            "s3:PutObject",
            "s3:DeleteObject",
            "s3:GetObject",
            "sagemaker:DescribeApp",
            "sagemaker:DescribeDomain",
            "sagemaker:DescribeUserProfile",
            "sagemaker:DescribeSpace",
            "sagemaker:DescribeStudioLifecycleConfig",
            "sagemaker:DescribeImageVersion",
            "sagemaker:DescribeAppImageConfig",
            "sagemaker:CreateTrainingJob",
            "sagemaker:DescribeTrainingJob",
            "sagemaker:StopTrainingJob",
            "sagemaker:Search",
            "sagemaker:CreatePipeline",
            "sagemaker:DescribePipeline",
            "sagemaker:DeletePipeline",
            "sagemaker:StartPipelineExecution"
         ],
         "Resource":"*"
      }
   ]
}

S3 VPC エンドポイント経由で Amazon S3 リソースにアクセスするのに必要なアクセス許可

SageMaker Studio をプライベート VPC モードで実行し、S3 VPC エンドポイントから S3 にアクセスする場合、VPC エンドポイントポリシーにアクセス許可を追加して、VPC エンドポイントからアクセス可能な S3 リソースを制御できます。以下のアクセス許可を VPC エンドポイントポリシーに追加します。アクセス許可をさらに制限する必要がある場合 (例えば、Principal フィールドの仕様を絞り込むなど)、ポリシーを変更できます。


{
    "Sid": "S3DriverAccess",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": "arn:aws:s3:::sagemakerheadlessexecution-*"
}

S3 VPC エンドポイントポリシーの設定方法の詳細については、「Edit the VPC endpoint policy」を参照してください。

カスタム KMS キーを使用するために必要なアクセス許可 (オプション)

デフォルトでは、入出力の Amazon S3 バケットはサーバー側の暗号化を使用して暗号化されますが、カスタム KMS キーを指定して、出力 Amazon S3 バケットとノートブックジョブにアタッチされたストレージボリュームのデータを暗号化できます。

カスタム KMS キーを使用する場合は、次のポリシーをアタッチし、独自の KMS キー ARN を指定します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

インストールガイド

ローカル Jupyter 環境にポリシーとアクセス許可をインストールする