翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Studio のポリシーとアクセス許可を設定する
最初のノートブックの実行をスケジュールする前に、適切なポリシーとアクセス許可をインストールする必要があります。以下は、次のアクセス許可を設定する手順を説明しています。
-
ジョブ実行ロールの信頼関係
-
ジョブ実行ロールにアタッチされた追加の IAM アクセス許可
-
(オプション) カスタム KMS キーを使用するための AWS KMS アクセス許可ポリシー
重要
AWS アカウントがサービスコントロールポリシー (SCP) が設定されている組織に属している場合、有効なアクセス許可は、SCPs で許可されているものと IAM ロールとユーザーポリシーで許可されているものの論理的な共通部分です。例えば、組織の SCP で、us-east-1
と us-west-1
のリソースのみにアクセスできると指定されており、ポリシーでは us-west-1
と us-west-2
のリソースのみにアクセスが許可されている場合、最終的には us-west-1
のリソースにのみアクセスできます。ロールポリシーとユーザーポリシーで許可されているアクセス許可をすべて行使したい場合は、組織の SCP が独自の IAM ユーザーおよびロールポリシーと同じアクセス許可セットを付与する必要があります。許可されるリクエストを確認する方法の詳細については、「Determining whether a request is allowed or denied within an account」を参照してください。
信頼関係
信頼関係を変更するには、次の手順を実行します。
-
[IAM コンソール]
を開きます。 -
左側のパネルの [ロール] を選択します。
-
ノートブックジョブのジョブ実行ロールを検索し、ロール名を選択します。
-
[信頼関係] タブを選択します。
-
[Edit trust policy] (信頼ポリシーを編集) を選択します。
-
以下のポリシーをコピーして、貼り付けます。
-
[[ポリシーの更新] を選択します。
追加の IAM アクセス許可
以下の状況では、追加の IAM アクセス許可を含める必要がある場合がある
-
Studio の実行ロールとノートブックジョブのロールは異なる
-
S3 VPC エンドポイント経由で Amazon S3 リソースにアクセスする必要がある
-
カスタム KMS キーを使用して、入出力の Amazon S3 バケットを暗号化する必要がある
以下の説明では、それぞれのケースに必要なポリシーについて取り上げます。
Studio の実行ロールとノートブックジョブのロールが異なる場合に必要なアクセス許可
次の JSON スニペットは、Studio 実行ロールをノートブックジョブロールとして使用しない場合に Studio 実行ロールとノートブックジョブロールに追加する必要があるポリシーの例です。権限をさらに制限する必要がある場合は、このポリシーを確認して変更してください。
S3 VPC エンドポイント経由で Amazon S3 リソースにアクセスするのに必要なアクセス許可
SageMaker Studio をプライベート VPC モードで実行し、S3 VPC エンドポイントから S3 にアクセスする場合、VPC エンドポイントポリシーにアクセス許可を追加して、VPC エンドポイントからアクセス可能な S3 リソースを制御できます。以下のアクセス許可を VPC エンドポイントポリシーに追加します。アクセス許可をさらに制限する必要がある場合 (例えば、Principal
フィールドの仕様を絞り込むなど)、ポリシーを変更できます。
{ "Sid": "S3DriverAccess", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::sagemakerheadlessexecution-*" }
S3 VPC エンドポイントポリシーの設定方法の詳細については、「Edit the VPC endpoint policy」を参照してください。
カスタム KMS キーを使用するために必要なアクセス許可 (オプション)
デフォルトでは、入出力の Amazon S3 バケットはサーバー側の暗号化を使用して暗号化されますが、カスタム KMS キーを指定して、出力 Amazon S3 バケットとノートブックジョブにアタッチされたストレージボリュームのデータを暗号化できます。
カスタム KMS キーを使用する場合は、次のポリシーをアタッチし、独自の KMS キー ARN を指定します。