翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon はどう SageMaker IAM と連携して動作します
IAM を使用してアクセスを管理する前に SageMakerで IAM 内のどの機能が使用できるかを理解している必要があります。 SageMaker。が管理の概要を把握するには SageMaker およびその他AWSIAM と連携するサービスについては、を参照してくださいAWSIAM と連携するサービスのIAM ユーザーガイド。
SageMaker アイデンティティベースのポリシー
IAM のアイデンティティベースポリシーでは、許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。 SageMaker 特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「IAM JSON ポリシーの要素のリファレンス」を参照してください。
アクション
管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの プリンシパル がどの リソース に対してどのような 条件 下で アクション を実行できるかということです。
JSON ポリシーの Action
要素には、ポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。ポリシーアクションの名前は通常、関連する AWS API オペレーションと同じです。一致する API オペレーションのない許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは、依存アクションと呼ばれます。
このアクションは、関連付けられたオペレーションを実行するための許可を付与するポリシーで使用されます。
でのポリシーアクション SageMaker アクションの前に次のプレフィックスを使用してください。sagemaker:
。たとえば、誰かに実行許可を与えるには SageMaker のトレーニングジョブ SageMaker CreateTrainingJob
API オペレーションには、以下を含めます。sagemaker:CreateTrainingJob
アクションをポリシーに盛り込んだ。ポリシーステートメントは、以下のアクセス許可を付与します。Action
またはNotAction
エレメント。 SageMaker は、このサービスで実行できるタスクを説明する独自のアクションセットを定義しています。
単一のステートメントに複数のアクションを指定するには、次のようにカンマで区切ります。
"Action": [ "sagemaker:action1", "sagemaker:action2" ]
ワイルドカード (*) を使用して複数のアクションを指定することができます。たとえば、Describe
という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。
"Action": "sagemaker:Describe*"
モデルを作成する SageMaker アクションについては、を参照してください。Amazon のアクション、リソース、条件キー SageMakerのサービス認証リファレンス。
リソース
SageMaker ポリシーのリソースARNの指定はサポートされていません。
条件キー
管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。
Condition
要素 (または Condition
ブロック) を使用すると、ステートメントが有効な条件を指定できます。Condition
要素はオプションです。イコールや未満などの条件演算子を使用して条件式を作成することで、ポリシーの条件とリクエスト内の値を一致させることができます。
1 つのステートメントに複数の Condition
要素を指定する場合、または 1 つの Condition
要素に複数のキーを指定する場合、AWS では AND
論理演算子を使用してそれらを評価します。単一の条件キーに複数の値を指定する場合、AWS では OR
論理演算子を使用して条件を評価します。ステートメントの許可が付与される前にすべての条件が満たされる必要があります。
条件を指定する際にプレースホルダー変数も使用できます。例えば IAM ユーザーに、IAM ユーザー名がタグ付けされている場合のみリソースにアクセスできる許可を付与することができます。詳細については、IAM ユーザーガイドの「IAM ポリシーの要素: 変数およびタグ」を参照してください。
AWS はグローバル条件キーとサービス固有の条件キーをサポートしています。すべての AWS グローバル条件キーを確認するには、「IAM ユーザーガイド」の「AWS グローバル条件コンテキストキー」を参照してください。
SageMaker は独自の条件キーを定義し、一部のグローバル条件キーの使用をサポートしています。すべてのAWSグローバル条件キーを確認するには、IAM ユーザーガイドの「AWS グローバル条件コンテキストキー」を参照してください。
SageMaker は、次の操作の、きめ細かなアクセス制御に使用できる、サービス特有の条件キーを多数サポートしています。
モデルを作成する SageMaker 条件キーについては、を参照してください。アマゾンのコンディションキー SageMaker のIAM ユーザーガイド。条件キーを使用できるアクションとリソースについては、以下を参照してください。Amazon が定義するアクション SageMaker。
使用例について SageMaker 条件キーについては、以下を参照してください。のコントロール作成 SageMaker 条件キー付きリソース。
例
の例を表示するには SageMaker ID ベースのポリシーアマゾン SageMakerアイデンティティベースのポリシーの例。
SageMaker リソースベースのポリシー
SageMaker では、リソースベースのポリシーはサポートされていません。
SageMaker タグに基づいた承認
タグを添付できます SageMaker へのリクエスト内のリソースまたはパスタグ SageMaker。タグに基づいてアクセスを管理するには、sagemaker:ResourceTag/
、key-name
aws:RequestTag/
、または key-name
aws:TagKeys
の条件キーを使用して、ポリシーの [Condition element] (条件要素) でタグ情報を提供します。 SageMaker リソースのタグ付けの詳細については、アクセスを制御 SageMaker タグを使ったリソースを参照してください。
リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースのポリシーの例を表示するには、「アクセスを制御 SageMaker タグを使ったリソース」を参照してください。
SageMaker IAM ロール
IAM ロールは AWS アカウント内のエンティティで、特定の許可を持っています。
を使用した一時的な認証情報の使用 SageMaker
一時的な認証情報を使用して、フェデレーションでサインインする、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。一時的なセキュリティ認証情報を取得するには、「」を参照してください。AWS STSなどの API オペレーションAssumeRoleまたはGetFederationToken。
SageMaker では、一時認証情報の使用をサポートしています。
サービスリンクロール
SageMaker 部分的にサポートしますサービスにリンクされた例:。サービスにリンクされたロールは、以下の許可が含まれています。 SageMaker スタジオと SageMaker トレーニングジョブを一覧表示します。
サービスロール
この機能により、ユーザーに代わってサービスがサービスロールを引き受けることが許可されます。このロールにより、サービスがユーザーに代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールは、IAM アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者が、このロールの許可を変更することができます。ただし、これを行うことにより、サービスの機能が損なわれる場合があります。
SageMaker ではサービスロールがサポートされています。
での IAM ロールを設定する SageMaker
ノートブックインスタンス、処理ジョブ、トレーニングジョブを作成します。 SageMaker許可するロールを選択する必要があります。 SageMaker アクセスするには SageMaker あなたに代わって サービスロールあるいはサービスにリンクされたロールを以前に作成している場合、 SageMaker は選択できるロールのリストを示します。必要な AWS オペレーションやリソースへのアクセスを許可するロールを選択することが重要です。詳細については、「SageMaker 役割」を参照してください。