時系列予測を実行する権限をユーザーに付与する - Amazon SageMaker
SageMaker ドメイン設定方法ユーザーの設定の場合IAM ロールのセットアップ方法

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

時系列予測を実行する権限をユーザーに付与する

Amazon SageMaker Canvas で時系列予測を実行するには、ユーザーに必要なアクセス許可が必要です。これらのアクセス許可をユーザーに付与する推奨方法は、Amazon SageMaker ドメインを設定するとき、またはドメインまたはユーザープロファイルの設定を編集するときに時系列予測オプションをオンにすることです。Amazon Forecast のポリシーと信頼関係を AWS Identity and Access Management (IAM) ロールにアタッチする手動方法を使用することもできます。

独自のキーを使用して時系列予測を暗号化する場合は、キーを使用して AWS KMS KMSキーのポリシーを変更し、Amazon Forecast で使用されるロールにアクセス許可を付与する必要があります。KMS キーの設定と時系列予測のポリシーの変更の詳細については、「」を参照してください時系列予測の前提条件

SageMaker ドメイン設定方法

SageMaker には、ドメイン設定を通じてユーザーに時系列予測アクセス許可を付与するオプションがあります。ドメイン内のすべてのユーザーのアクセス許可を切り替え、必要なIAMポリシーと信頼関係のアタッチ SageMaker を管理できます。

既存のドメインがあり、ドメイン内のすべてのユーザーの時系列予測アクセス許可を有効にする場合は、次の手順を実行します。

  1. で SageMaker コンソールを開きますhttps://console.aws.amazon.com/sagemaker/

  2. 左側のナビゲーションペインで [Domains] (ドメイン) を選択します。

  3. ドメインのリストから、ドメインを選択します。

  4. ドメイン設定ページで、アプリケーション設定タブを選択します。

  5. Canvas セクションで、編集 を選択します。

  6. Canvas 設定の編集ページが開きます。時系列予測設定セクションで、時系列予測を有効にするトグルをオンにします。

  7. Amazon Forecast ロール では、新しい実行ロールを作成して使用する、既存の実行ロールを使用する を選択します。

  8. 前のステップで選択した内容に基づいて、新しいIAMロールのサフィックスを入力するか、既存のIAMロールを選択します。

    注記

    既存のIAMロールを使用する場合は、IAMポリシーがAWS マネージドポリシー: AmazonSageMakerCanvasForecastAccessアタッチされており、Amazon Forecast をサービスプリンシパルとして確立する信頼関係があることを確認してください。詳細については、「IAM ロールのセットアップ方法」セクションを参照してください。

  9. [送信] を選択します。

これで、Canvas SageMaker で時系列予測を実行するために必要なアクセス許可がユーザーに付与されるようになりました。

ユーザーの設定の場合

既存のドメイン内の個々のユーザーの時系列予測アクセス許可を設定できます。ユーザープロファイル設定は一般的なドメイン設定を上書きするため、すべてのユーザーに許可を付与することなく、特定のユーザーに許可を付与できます。権限を持っていない特定のユーザーに時系列予測権限を付与するには、次の手順に従います。

  1. で SageMaker コンソールを開きますhttps://console.aws.amazon.com/sagemaker/

  2. 左側のナビゲーションペインで [Domains] (ドメイン) を選択します。

  3. ドメインのリストから、ドメインを選択します。

  4. ユーザープロファイルタブを選択します。

  5. ユーザーの詳細ページで、アプリ設定タブを選択します。

  6. Canvas セクションで、編集 を選択します。

  7. Canvas 設定ページが開きます。時系列予測設定セクションで、時系列予測を有効にするトグルをオンにします。

  8. Amazon Forecast ロール では、新しい実行ロールを作成して使用する、既存の実行ロールを使用する を選択します。

  9. 前のステップで選択した内容に基づいて、新しいIAMロールのサフィックスを入力するか、既存のIAMロールを選択します。

    注記

    既存のIAMロールを使用する場合は、IAMポリシーがAWS マネージドポリシー: AmazonSageMakerCanvasForecastAccessアタッチされており、Amazon Forecast をサービスプリンシパルとして確立する信頼関係があることを確認してください。詳細については、「IAM ロールのセットアップ方法」セクションを参照してください。

  10. [送信] を選択します。

これで、Canvas SageMaker で時系列予測を実行するアクセス許可がユーザーに付与されるようになりました。

前の手順で [時系列予測を有効化] オプションを無効にすることで、ユーザーの権限を削除することもできます。

IAM ロールのセットアップ方法

ユーザーのプロファイルに指定された AWS Identity and Access Management (IAM) ロールに追加のアクセス許可を追加することで、Amazon SageMaker Canvas で時系列予測を実行するアクセス許可をユーザーに手動で付与できます。IAM ロールには、Amazon Forecast との信頼関係と、Forecast へのアクセス許可を付与するアタッチされたポリシーが必要です。

次のセクションでは、信頼関係を作成し、 AmazonSageMakerCanvasForecastAccess マネージドポリシーをIAMロールにアタッチする方法を示します。これにより、Canvas SageMaker で時系列予測が機能するために必要な最小限のアクセス許可が付与されます。

注記

このAmazonSageMakerCanvasForecastAccessポリシーは、Canvas アプリケーションデータのデフォルトのストレージロケーションである、 SageMaker 作成された Amazon S3 バケットにアクセスするアクセス許可を付与します。Canvas アプリケーションデータ用のカスタム Amazon S3 ストレージロケーションを指定した場合は、ポリシーの権限をカスタム Amazon S3 バケットに更新する必要があります。Canvas のカスタム Amazon S3 ストレージロケーションの詳細については、「Amazon S3 ストレージを設定にする」を参照してください。

手動メソッドでIAMロールを設定するには、次の手順を使用します。

  1. で SageMaker コンソールを開きますhttps://console.aws.amazon.com/sagemaker/

  2. 左のナビゲーションペインで、[管理設定‭] を選択します。

  3. 管理設定 で、ドメイン を選択します。

  4. ドメインページで、ドメインを選択します。

  5. [ユーザープロファイル] のリストで、時系列予測権限を付与するユーザーのプロファイルを選択します。

  6. [詳細] で、ユーザーの実行ロールの名前をコピーするか書き留めておきます。IAM ロールの名前は、次のようにする必要があります。 111122223333

    SageMaker コンソールでのユーザーのプロファイルのスクリーンショット。

  7. ユーザーIAMロールの名前がわかったら、IAMコンソール に移動します。

  8. [ロール] を選択します。

  9. IAM ロールのリストからユーザーロールを名前で検索し、選択します。

  10. [許可] で、[許可の追加] を選択します。

  11. [ポリシーのアタッチ] を選択します。

  12. AmazonSageMakerCanvasForecastAccess マネージドポリシーを検索して選択します。[ポリシーのアタッチ] を選択して、ロールにポリシーをアタッチします。

    ポリシーをアタッチすると、ロールの [許可] セクションに AmazonSageMakerCanvasForecastAccess が表示されます。

  13. IAM ロールのページに戻り、信頼関係 信頼ポリシーの編集 を選択します。

  14. [信頼ポリシーの編集] エディタで、信頼ポリシーを更新して Forecast をサービスプリンシパルとして追加します。ポリシーは、次の例のようになります。

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
            "sagemaker.amazonaws.com",
            "forecast.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  15. 信頼ポリシーを編集したら、[ポリシーの更新] を選択します。

これで、ポリシーがAmazonSageMakerCanvasForecastAccessアタッチされたIAMロールと Amazon Forecast との信頼関係が確立され、Canvas SageMaker で時系列予測を実行するアクセス許可がユーザーに付与されるはずです。 AWS マネージドポリシーの詳細については、「 マネージドポリシー」と「インラインポリシー」を参照してください。

注記

この方法を使用して時系列予測を設定し、予測に暗号化を使用する場合は AWS KMS 、追加のアクセス許可を付与するようにKMSキーのポリシーを設定する必要があります。詳細については、「時系列予測の前提条件」を参照してください。