AWS マネージドポリシー: AmazonSageMakerHyperPodServiceRolePolicy - Amazon SageMaker
のサービスにリンクされたロールの作成 SageMaker HyperPodのサービスにリンクされたロールの編集 SageMaker HyperPodのサービスにリンクされたロールの削除 SageMaker HyperPod SageMaker HyperPod サービスにリンクされたロールでサポートされているリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS マネージドポリシー: AmazonSageMakerHyperPodServiceRolePolicy

SageMaker HyperPod は、 という名前のサービスにリンクされたロールを作成し、そのロールに をアAmazonSageMakerHyperPodServiceRolePolicyタッチAWSServiceRoleForSageMakerHyperPodして使用します。このポリシーは、関連する に Amazon アクセス SageMaker HyperPod 許可を付与します。 AWS Amazon EKS や Amazon などの サービス CloudWatch。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 SageMaker HyperPod が簡単になります。 は、サービスにリンクされたロールのアクセス許可 SageMaker HyperPod を定義し、特に定義されている場合を除き、 のみがそのロールを引き受け SageMaker HyperPod ることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他のIAMエンティティにアタッチすることはできません。

サービスリンクロールは、まずその関連リソースを削除しなければ削除できません。これにより、 SageMaker HyperPod リソースにアクセスするためのアクセス許可を誤って削除することがないため、リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、「」を参照してください。 AWS サービスにリンクされたロール列に「はい」がある サービスIAMを使用して検索する サービス。 サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

AmazonSageMakerHyperPodServiceRolePolicy は SageMaker HyperPod 、ユーザーに代わって、指定されたリソースに対して次のアクションを実行することを許可します。

許可の詳細

このサービスにリンクされたロールポリシーには、次のアクセス許可が含まれています。

  • eks — プリンシパルが Amazon Elastic Kubernetes Service (EKS) クラスター情報を読み取ることを許可します。

  • logs — プリンシパルが Amazon CloudWatch ログストリームを に発行できるようにします/aws/sagemaker/Clusters

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EKSClusterDescribePermissions",
      "Effect": "Allow",
      "Action": "eks:DescribeCluster",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "CloudWatchLogGroupPermissions",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "CloudWatchLogStreamPermissions",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    }
  ]
}

ユーザー、グループ、ロールなどがサービスにリンクされたロールを作成、編集、削除できるようにするには、アクセス権限を設定する必要があります。詳細については、「 ユーザーガイド」の「サービスにリンクされたロールのアクセス許可IAM」を参照してください。

のサービスにリンクされたロールの作成 SageMaker HyperPod

サービスリンクロールを手動で作成する必要はありません。 SageMaker コンソールを使用してクラスターを作成する SageMaker HyperPodと、 AWS CLI、または AWS SDKs、サービスにリンクされたロール SageMaker HyperPod を作成します。

このサービスにリンクされたロールを削除しても、再度作成する必要がある場合は、同じプロセス (新しい SageMaker HyperPod クラスターの作成) を使用して、アカウントでロールを再作成できます。

のサービスにリンクされたロールの編集 SageMaker HyperPod

SageMaker HyperPod では、AWSServiceRoleForSageMakerHyperPodサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、 を使用してロールの説明を編集することはできますIAM。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

のサービスにリンクされたロールの削除 SageMaker HyperPod

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

サービスにリンクされたロールを使用して SageMaker HyperPod クラスターリソースを削除するには

SageMaker HyperPod クラスターリソースを削除するには、次のいずれかのオプションを使用します。

注記

リソースを削除しようとしたときに SageMaker HyperPod サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

を使用してサービスにリンクされたロールを手動で削除するには IAM

IAM コンソール、 AWS CLI、または AWS API AWSServiceRoleForSageMakerHyperPodサービスにリンクされたロールを削除するには、 にします。詳細については、「 ユーザーガイド」の「サービスにリンクされたロールの削除IAM」を参照してください。

SageMaker HyperPod サービスにリンクされたロールでサポートされているリージョン

SageMaker HyperPod は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細については、「 の前提条件 SageMaker HyperPod」を参照してください。