トレーニングジョブと処理ジョブを使用して Studio JupyterLab ノートブックを Amazon S3 Access Grants に接続する - Amazon SageMaker AI
考慮事項トレーニングジョブと処理ジョブを使用して Amazon S3 Access Grants を設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

トレーニングジョブと処理ジョブを使用して Studio JupyterLab ノートブックを Amazon S3 Access Grants に接続する

次の情報を使用して、SageMaker AI トレーニングジョブと SageMaker AI 処理ジョブのデータにアクセスするための Amazon S3 Access Grants を付与します。

信頼できる ID 伝達が有効になっているユーザーが、Amazon S3 データにアクセスする必要がある SageMaker AI トレーニングジョブまたは処理ジョブを起動すると、次のようになります。

  • SageMaker AI が Amazon S3 Access Grants を呼び出して、ユーザーの ID に基づいて一時的な認証情報を取得する

  • 成功すると、これらの一時的な認証情報は Amazon S3 データにアクセスします。

  • 失敗した場合、SageMaker AI は IAM ロール認証情報の使用に戻ります。

注記

すべてのアクセス許可が Amazon S3 Access Grants を通じて付与されるようにするには、実行ロールに関連する Amazon S3 アクセス許可を削除し、対応する Amazon S3 Access Grant にアタッチする必要があります。

考慮事項

Amazon S3 Access Grants は、Amazon S3 入力の SageMaker AI トレーニングと処理の両方にパイプモードで使用することはできません。

信頼できる ID の伝播が有効になっている場合、次の機能を使用して SageMaker AI トレーニングジョブを起動することはできません。

  • リモートデバッグ

  • デバッガー

  • プロファイラー

信頼できる ID の伝播が有効になっている場合、次の機能を使用して SageMaker AI 処理ジョブを起動することはできません。

  • DatasetDefinition

トレーニングジョブと処理ジョブを使用して Amazon S3 Access Grants を設定する

Amazon S3 Access Grants を設定したら、ドメインまたはユーザー実行ロール次のアクセス許可を追加します

  • us-east-1 は AWS リージョン

  • 111122223333 は AWS アカウント ID です

  • S3-ACCESS-GRANT-ROLE は Amazon S3 Access Grant ロールです

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDataAccessAPI",
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess",
                "s3:GetAccessGrantsInstanceForPrefix"
            ],
            "Resource": [
                "arn:aws:s3:us-east-1:111122223333:access-grants/default"
            ]
        },
        {
            "Sid": "RequiredForIdentificationPropagation",
            "Effect": "Allow",
            "Action": "sts:SetContext",
            "Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
        }
    ]
}