SageMaker Assets の設定 (管理者ガイド)

重要

SageMaker Assets は Amazon SageMaker Studio でのみ利用可能です。Amazon SageMaker Studio Classic を使用している場合は、Studio に移行する必要があります。Studio と Studio Classic の詳細については、「Amazon SageMaker AI が提供する機械学習環境」を参照してください。移行の詳細については、「Amazon SageMaker Studio Classic からの移行」を参照してください。

ビジネスニーズが変化すると、ユーザーはビジネス上の問題が発生する都度、効果的に連携して解決する必要があります。問題を解決するには、ユーザーはデータとモデルを相互に共有する必要があります。

SageMaker Assets は、Amazon SageMaker Studio をデータ管理サービスである Amazon DataZone と統合します。SageMaker Assets は、ユーザーがモデルとデータを相互に共有できるようにするプラットフォームです。次の情報を使用して、SageMaker Assets と Amazon DataZone の統合を設定できます。

ビジネスラインまたは組織のために Amazon DataZone ドメインを作成します。ドメインは、Amazon DataZone のコア機能です。ユーザーのデータとモデルはすべて、ドメイン内に配置されます。

Amazon DataZone ドメイン内では、ユーザーのサブセットが特定のプロジェクトに取り組んでいます。プロジェクトは通常、特定のビジネス上の問題に対応しています。メンバーはプロジェクト内でデータセットとモデルを作成できます。デフォルトでは、プロジェクトメンバーはプロジェクト内のデータとモデルにのみアクセスできます。プロジェクトメンバーは、組織内の他のユーザーにデータやモデルへのアクセスを提供できます。

環境をプロジェクト内で作成します。SageMaker Assets の場合、環境とは、Amazon SageMaker Studio を起動するために使用される設定済みリソースのコレクションです。Amazon DataZone で使用される用語の詳細については、「用語と概念」を参照してください。

重要

選択した設定に応じて、Amazon SageMaker Studio は次のいずれかを使用します。

• Amazon DataZone が Amazon SageMaker AI 環境の一部として作成する Amazon SageMaker AI ドメイン。

• Amazon DataZone に移行する既存の Amazon SageMaker AI ドメイン

Studio には Amazon SageMaker AI ドメインからアクセスできますが、作成したプロジェクトからアクセスすることをお勧めします。Studio へのアクセス方法の詳細については、「アセットの操作 (ユーザーガイド)」を参照してください。

新しい SageMaker AI ドメインで Amazon DataZone をセットアップする

次のリストのステップと参照するドキュメントを使用して、作成した Amazon SageMaker AI ドメインで Amazon DataZone を設定します。

1. ユーザーの組織またはビジネスラインに対応する Amazon DataZone ドメインを作成します。Amazon DataZone ドメインの作成については、「Create domains」を参照してください。

2. Amazon DataZone 内で SageMaker AI ブループリントを有効にします。SageMaker AI ブループリントを有効にする方法については、「Amazon DataZone ドメインを所有する AWS アカウントで組み込みブループリントを有効にする」を参照してください。

3. ドメイン内のユーザーが解決するビジネス上の問題に対応するプロジェクトをドメイン内に作成します。プロジェクトの作成方法については、「Create a new project」を参照してください。

4. ユーザーの SageMaker AI 環境を作成するためのテンプレートとして使用できる環境プロファイルを作成します。環境プロファイルの作成方法については、「Create an environment profile」を参照してください。

5. SageMaker AI 環境を作成します。プロジェクト内では、ユーザーは SageMaker AI 環境を使用して Amazon SageMaker Studio を起動します。ユーザーは、Studio 内でアセットを作成し、SageMaker Assets を使用してアセットを共有できます。環境の作成方法の詳細については、「Create a new environment」を参照してください。

6. SageMaker AI を Amazon DataZone 内の信頼できるサービスの 1 つとして追加します。SageMaker AI をサービスの 1 つとして追加するには、「Amazon DataZone ドメインを所有する AWS アカウントの信頼されたサービスとして SageMaker AI を追加する」を参照してください。

SageMaker AI ドメインで Amazon DataZone をセットアップする

次のリストのステップとそれで参照するドキュメントを使用して、既存の Amazon SageMaker AI ドメインで Amazon DataZone をセットアップします。

1. ユーザーの組織またはビジネスラインに対応する Amazon DataZone ドメインを作成します。Amazon DataZone ドメインの作成については、「Create domains」を参照してください。

2. Amazon DataZone 内で SageMaker AI ブループリントを有効にします。カスタムブループリントを有効にする方法については、「Amazon DataZone カスタム AWS サービスブループリント」を参照してください。

3. ドメイン内のユーザーが解決するビジネス上の問題に対応するプロジェクトをドメイン内に作成します。プロジェクトの作成方法については、「Create a new project」を参照してください。

4. Amazon DataZone 内の信頼できるサービスの 1 つとして SageMaker AI を有効にします。SageMaker AI をサービスの 1 つとして有効にするには、「Amazon DataZone ドメイン を所有する AWS アカウントの信頼されたサービスとして Amazon SageMaker AI を追加する」を参照してください。

5. SageMaker AI ドメイン内に Amazon DataZone ユーザーを作成します。

6. 既存のユーザーを Amazon DataZone ドメインにオンボードします。

注記

SageMaker AI ユーザーが SSO であり、Amazon DataZone ドメインが SSO である場合、Amazon SageMaker AI ドメインから Amazon DataZone ドメインにユーザーを自動的にマッピングできます。

既存の SageMaker AI ユーザーをオンボードするには、環境で Amazon DataZone Import SageMaker AI Domain スクリプトを実行します。の名前 AWS リージョン と Amazon SageMaker AI ドメインの AWS アカウント ID を引数として渡す必要があります。スクリプトを実行する AWS CLI コマンドの例を次に示します。

python example-script AWS リージョン 111122223333                    
                

スクリプトは、次を実行します。

1. Amazon SageMaker AI ドメイン ID を尋ねます。

2. Amazon DataZone ドメイン ID を尋ねます。

3. Amazon DataZone プロジェクトをリクエストします。

4. インポートするユーザーを指定するように求められます。

5. ユーザーと Amazon SageMaker AI ドメインにタグを追加します。

6. Amazon DataZone ユーザーを SageMaker AI ユーザープロファイルにマッピングします。SageMaker AI ユーザープロファイルごとに、スクリプトは Amazon DataZone ユーザー ID の入力を求めます。独自のユースケースに合わせてスクリプトを変更できます。

7. Amazon DataZone が Amazon SageMaker AI ドメインにアクセスして移行できるように、フェデレーションロールを環境にアタッチします。

このスクリプトは、Amazon SageMaker AI ドメインの各ユーザーを経由し、Amazon DataZone ドメインで対応するユーザーを指定するように求められます。Amazon DataZone ドメインのユーザーのタグを、対応する SageMaker AI ドメインのユーザーに自動的に追加します。また、各ドメインのユーザー間のマッピングでカスタム環境ブループリントを更新します。

注記

SageMaker AI 環境は、最新バージョンの SageMaker ディストリビューションイメージを使用します。SageMaker AI ディストリビューションイメージには、機械学習用の一般的なライブラリパッケージがあります。詳細については、「SageMaker Studio のイメージサポートポリシー」を参照してください。

環境を作成したら、 AWS Glue および Amazon Redshift テーブルとデータベースを作成できます。詳細については「Query data in Athena or Amazon Redshift」を参照してください。

ユーザーのアクセス許可の表示と変更

SageMaker AI 環境を作成したら、組織のニーズに合わせてユーザーのアクセス許可を変更できます。SageMaker AI ブループリントは、すべてのユーザーのアクセス許可を指定します。すべての SageMaker AI サービスでアクションを実行できますが、アクセス許可の範囲は Amazon DataZone ドメイン内で作成されたリソースに限定されます。

重要

作成する環境では、アクセス許可が制限された IAM ロールとアクセス許可の境界を使用します。ユーザーのアクセス許可を変更するには、アクセス許可の境界を変更するか、置き換えます。例えば、ユーザーが環境内で作成された Amazon S3 バケットなどのリソースにアクセスする必要がある場合は、アクセス許可の境界を変更できます。

SageMaker AI ドメインの作成に使用される IAM ロールの ARN でアクセス許可を表示できます。

ユーザーの IAM ロールのアクセス許可を表示または編集するには、次の手順を実行します。

ユーザーのアクセス許可を表示または編集するには

1. Amazon SageMaker AI コンソールを開きます。

2. [ドメイン] を選択します。

3. Amazon DataZone ドメインと同じ名前のドメインの名前を選択します。

4. [ドメインの設定] を選択します。

5. [実行ロール] の下にある実行ロールの ARN をコピーします。

6. [IAM コンソール] を開きます。

7. [ロール] を選択します。

8. ARN を貼り付け、最後のスラッシュの後のロール名以外はすべて削除します。

9. アクセス許可を表示するには、ロールを選択します。

10. [アクセス許可] で、組織のニーズに合わせてポリシーを変更します。

11. (オプション) [アクセス許可の境界] をクリックして、[許可の境界を設定] をクリックします。

12. アクセス許可の境界として指定するポリシーを選択します。