ロールマネージャー FAQs - Amazon SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ロールマネージャー FAQs

Amazon SageMaker Role Manager に関するよくある質問への回答については、以下のFAQ項目を参照してください。

A: Amazon SageMaker コンソールの複数の場所から Amazon SageMaker Role Manager にアクセスできます。ロール マネージャーにアクセスし、それを使用してロールを作成する方法については、「ロールマネージャ (コンソール) を使用する」を参照してください。

A: ペルソナは、一般的な機械学習 (ML) の責任に基づいて事前に設定されたアクセス許可のグループです。例えば、データサイエンスペルソナは SageMaker 環境における一般的な機械学習の開発と実験のアクセス許可を提案し、MLOpsペルソナはオペレーションに関連する ML アクティビティのアクセス許可を提案します。

A: ML アクティビティは、特定のIAMアクセス許可を必要とする での SageMaker機械学習に関連する一般的な AWS タスクです。各ペルソナは、Amazon SageMaker Role Manager でロールを作成するときに、関連する ML アクティビティを提案します。ML アクティビティには、Amazon S3 フルアクセスや実験の検索と視覚化などのタスクがあります。詳細については、「ML アクティビティリファレンス」を参照してください。

A: はい。Amazon Role Manager を使用して作成された SageMaker ロールは、カスタマイズされたアクセスポリシーを持つIAMロールです。作成されたロールは、IAMコンソールロール セクションで表示できます。

A: 作成されたロールは、IAMコンソールロール セクションで表示できます。デフォルトでは、IAMコンソールでの検索を容易にするために、プレフィックス"sagemaker-"がすべてのロール名に追加されます。例えば、ロールの作成test-123中にロールに名前を付けた場合、ロールは IAM コンソールsagemaker-test-123に として表示されます。

A: はい。Amazon SageMaker Role Manager によって作成されたロールとポリシーは、IAMコンソール から変更できます。詳細については、「AWS Identity and Access Management ユーザーガイド」の「ロールの修正」を参照してください。

A: はい。Amazon SageMaker Role Manager を使用して作成したロールに、アカウントから AWS または カスタマーマネージドIAMポリシーをアタッチできます。

A: 管理ポリシーをIAMロールまたはユーザーにアタッチする上限は 20 です。マネージドポリシーの最大文字数制限は、6,144 文字です。詳細については、IAM「オブジェクトクォータIAMと AWS Security Token Service クォータ名の要件」および「文字制限」を参照してください。

A: サブネット、セキュリティグループ、KMSキーなど、Amazon SageMaker Role Manager ステップ 1. ロール情報を入力するで指定した条件は、 で選択されたすべての ML アクティビティに自動的に渡されますステップ 2. ML アクティビティを設定する。必要に応じて、ML アクティビティに条件を追加することもできます。例えば、トレーニングジョブの管理アクティビティに InstanceTypes または IntercontainerTrafficEncryption の条件を追加することもできます。

A: Amazon Role Manager ステップ 3: ポリシーとタグを追加する の で SageMaker ロールにタグを追加できます。タグを使用して AWS リソースを正常に管理するには、ロールと関連付けられたポリシーの両方に同じタグを追加する必要があります。例えば、ロールと Amazon S3 バケットにタグを追加できます。次に、ロールはタグを SageMaker セッションに渡すため、そのロールを持つユーザーのみがその S3 バケットにアクセスできます。IAM コンソール を使用してポリシーにタグを追加できます。詳細については、AWS Identity and Access Management 「 ユーザーガイド」のIAM「ロールのタグ付け」を参照してください。

A: いいえ。ただし、ロールマネージャーでサービスロールを作成したら、IAMコンソールに移動してロールを編集し、IAMコンソールにヒューマンアクセスロールを追加できます。

A: ユーザーフェデレーションロールは、 AWS Management Consoleへのアクセスなどの AWS リソースにアクセスする際にユーザーが直接引き受けます。 SageMaker 実行ロールは、ユーザーまたはオートメーションツールに代わって関数を実行するために SageMaker サービスによって引き受けられます。例えば、ユーザーが Studio Classic インスタンスを開くと、Studio Classic はユーザープロファイルに関連付けられた実行ロールを引き受け、ユーザーに代わってリソースにアクセスします AWS 。ユーザープロファイルが実行ロールを指定しない場合、実行ロールは Amazon SageMaker ドメインレベルで指定されます。

A: カスタムウェブアプリケーションを使用して Studio Classic にアクセスする場合、ハイブリッドユーザーフェデレーションロールと SageMaker 実行ロールがあります。このロールには、ユーザーが実行できることと、Studio Classic が関連するユーザーに代わって実行できることの両方に対して、最小限の権限のアクセス許可があることを確認してください。

A: AWS IAM Identity Center Studio Classic Cloud Applications は Studio Classic 実行ロールを使用して、フェデレーティッドユーザーにアクセス許可を付与します。この実行ロールは、Studio Classic IAM Identity Center ユーザープロファイルレベルまたはデフォルトのドメインレベルで指定できます。ユーザー ID とグループは IAM Identity Center に同期し、Studio Classic ユーザープロファイルは を使用して IAM Identity Center ユーザー割り当てで作成する必要がありますCreateUserProfile。詳細については、「IAM Identity Center で Studio Classic を起動する」を参照してください。