翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AMS SSP を使用して AMS アカウントに Amazon SageMaker AI をプロビジョニングする
<a name="sagemaker"></a>

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon SageMaker AI 機能に直接アクセスします。SageMaker AI は、すべての開発者とデータサイエンティストに、機械学習モデルを迅速に構築、トレーニング、デプロイする機能を提供します。Amazon SageMaker AI は、データのラベル付けと準備、アルゴリズムの選択、モデルのトレーニング、デプロイのための調整と最適化、予測、アクションを実行するための機械学習ワークフロー全体をカバーするフルマネージドサービスです。モデルは、はるかに少ない労力と低コストで本番環境に迅速に移行できます。詳細については、[Amazon SageMaker AI](https://aws.amazon.com/sagemaker/)」を参照してください。

## AWS Managed Services での SageMaker AI に関するよくある質問
<a name="set-sagemaker-faqs"></a>

一般的な質問と回答:

**Q: AMS アカウントの SageMaker AI へのアクセスをリクエストするにはどうすればよいですか?**

Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) change type を送信してアクセスをリクエストします。この RFC は、IAM ロール `customer_sagemaker_admin_role`とサービスロール をアカウントにプロビジョニングします`AmazonSageMaker-ExecutionRole-Admin`。SageMaker AI がアカウントにプロビジョニングされたら、フェデレーションソリューションで`customer_sagemaker_admin_role`ロールをオンボードする必要があります。サービスロールに直接アクセスすることはできません。SageMaker AI サービスは、「ロール[の受け渡し」で説明されているように、さまざまなアクションを実行する際にサービスロール](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-pass-role)を使用します。

**Q: AMS アカウントでの SageMaker AI の使用にはどのような制限がありますか?**
+ AMS Amazon SageMaker AI IAM ロールでは、次のユースケースはサポートされていません。
  + SageMaker AI Studio は現在サポートされていません。
  + SageMaker AI Ground Truth は、プライベートワークフォースを管理するためのサポート対象外です。この機能では、Amazon Cognito リソースへの過度に寛容なアクセスが必要になるためです。プライベートワークフォースの管理が必要な場合は、SageMaker AI と Amazon Cognito アクセス許可を組み合わせたカスタム IAM ロールをリクエストできます。それ以外の場合は、データのラベル付けにパブリックワークフォース (Amazon Mechanical Turk がサポート) または AWS Marketplace サービスプロバイダーを使用することをお勧めします。
+ SageMaker AI サービス (aws.sagemaker.\$1region\$1.notebook、com.amazonaws.\$1region\$1.sagemaker.api & com.amazonaws.\$1region\$1.sagemaker.runtime) への API コールをサポートする VPC エンドポイントの作成は、アクセス許可を SageMaker AI 関連サービスのみに限定することはできないためサポートされていません。このユースケースをサポートするには、管理 \$1 その他 \$1 その他の RFC を送信して、関連する VPC エンドポイントを作成します。
+ SageMaker AI エンドポイントの自動スケーリングはサポートされていません。SageMaker AI には (「\$1」) リソースに対する`DeleteAlarm`アクセス許可が必要なためです。エンドポイントの自動スケーリングをサポートするには、管理 \$1 その他 \$1 その他の RFC を送信して、SageMaker AI エンドポイントの自動スケーリングを設定します。

**Q: AMS アカウントで SageMaker AI を使用する際の前提条件または依存関係は何ですか?**
+ 次のユースケースでは、使用前に特別な設定が必要です。
  + S3 バケットを使用してモデルアーティファクトとデータを保存する場合は、デプロイ \$1 高度なスタックコンポーネント \$1 S3 ストレージ \$1 RFC の作成で、必要なキーワード (SageMaker」、「Sagemaker」、「sagemaker」、または「aws-glue」) を含む という名前の S3 バケットをリクエストする必要があります。
  + Elastic File Store (EFS) を使用する場合は、EFS ストレージを同じサブネットに設定し、セキュリティグループで許可する必要があります。
  + 他のリソースが SageMaker AI サービス (ノートブック、API、ランタイムなど) に直接アクセスする必要がある場合は、次の方法で設定をリクエストする必要があります。
    + RFC を送信してエンドポイントのセキュリティグループを作成する (デプロイ \$1 高度なスタックコンポーネント \$1 セキュリティグループ \$1 作成 (自動))。
    + 管理の送信 \$1 その他 \$1 その他 \$1 RFC を作成して関連する VPC エンドポイントを設定します。

**Q: が直接`customer_sagemaker_admin_role`アクセスできるリソースでサポートされている命名規則は何ですか?** (更新および削除のアクセス許可については、以下を参照してください。リソースでサポートされている追加の命名規則が必要な場合は、AMS Cloud Architect に連絡して相談してください。)
+ リソース: `AmazonSageMaker-ExecutionRole-*`ロールを渡す
  + アクセス許可: SageMaker AI セルフプロビジョニングサービスロールは、 AWS Glue、 AWS RoboMaker、および での SageMaker AI サービスロール (`AmazonSageMaker-ExecutionRole-*`) の使用をサポートします AWS Step Functions。
+ リソース: Secrets Manager の AWS シークレット
  + アクセス許可: `AmazonSageMaker-*`プレフィックスを使用してシークレットを記述、作成、取得、更新します。
  + アクセス許可: `SageMaker`リソースタグが に設定されているときにシークレットを取得するについて説明します`true`。
+ リソース: 上のリポジトリ AWS CodeCommit
  + アクセス許可: `AmazonSageMaker-*`プレフィックスを持つリポジトリを作成/削除します。
  + アクセス許可: Git Pull/Push on repositories with following prefixes, `*sagemaker*`, `*SageMaker*`, and `*Sagemaker*`。
+ リソース: Amazon ECR (Amazon Elastic Container Registry) リポジトリ
  + アクセス許可: アクセス許可: 次のリソース命名規則が使用されている場合、リポジトリポリシーを設定、削除し、コンテナイメージをアップロードします`*sagemaker*`。
+ リソース: Amazon S3 バケット
  + アクセス許可: リソースにプレフィックス 、、 `*sagemaker*` がある場合、オブジェクトの取得、配置、削除`*SageMaker*``*Sagemaker*`、マルチパートアップロード S3 オブジェクトの中止を行います`aws-glue`。
  + アクセス許可: `SageMaker` タグが に設定されているときに S3 オブジェクトを取得します`true`。
+ リソース: Amazon CloudWatch Log Group
  + アクセス許可: ロググループまたはストリームの作成、ログイベントの入力、一覧表示、更新、 の作成、プレフィックス を使用したログ配信の削除`/aws/sagemaker/*`。
+ リソース: Amazon CloudWatch メトリクス
  + アクセス許可: 、`AWS/SageMaker`、`AWS/SageMaker/`、、`aws/SageMaker`、、および のプレフィックスを使用する場合は`aws/SageMaker/``aws/sagemaker``aws/sagemaker/`、メトリクスデータを配置します`/aws/sagemaker/.`。
+ リソース: Amazon CloudWatch Dashboard
  + アクセス許可: プレフィックス が使用されているときにダッシュボードを作成/削除します`customer_*`。
+ リソース: Amazon SNS (Simple Notification Service) トピック
  + アクセス許可: 、`*sagemaker*`、および のプレフィックスを使用する場合`*SageMaker*`にトピックをサブスクライブ/作成します`*Sagemaker*`。

**Q: `AmazonSageMakerFullAccess`と の違いは何ですか`customer_sagemaker_admin_role`?**

`customer_sagemaker_admin_role` と は、以下を除き、AmazonSageMakerFullAccess とほぼ同じアクセス許可`customer_sagemaker_admin_policy`を提供します。
+  AWS RoboMaker、Amazon Cognito、および AWS Glue リソースに接続するためのアクセス許可。
+ SageMaker AI エンドポイントの自動スケーリング。管理 \$1 高度なスタックコンポーネント \$1 Identity and Access Management (IAM) \$1 エンティティまたはポリシー (マネージドオートメーション) の変更タイプ (ct-27tuth19k52b4) を更新して、自動スケーリングのアクセス許可を一時的または永続的に昇格させる必要があります。これは、自動スケーリングには CloudWatch サービスへの許可付きアクセスが必要なためです。

**Q: 保管中のデータ暗号化に AWS KMS カスタマーマネージドキーを採用するにはどうすればよいですか?**

関連する IAM ユーザーまたはロールがキーを使用できるように、カスタマーマネージドキーでキーポリシーが正しく設定されていることを確認する必要があります。詳細については、[AWS KMS 「 キーポリシー」ドキュメント](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users)を参照してください。