AWS マネージドポリシー: AmazonSageMakerHyperPodServiceRolePolicy - Amazon SageMaker
のサービスにリンクされたロールの作成 SageMaker HyperPodのサービスにリンクされたロールの編集 SageMaker HyperPodのサービスにリンクされたロールの削除 SageMaker HyperPod SageMaker HyperPod サービスにリンクされたロールでサポートされているリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS マネージドポリシー: AmazonSageMakerHyperPodServiceRolePolicy

SageMaker HyperPod は、 という名前のサービスにリンクされたロールを作成し、そのロールにAmazonSageMakerHyperPodServiceRolePolicyアタッチAWSServiceRoleForSageMakerHyperPodされた を使用します。このポリシーは、Amazon EKSや Amazon などの関連 AWS サービスに対するアクセス SageMaker HyperPod 許可を Amazon に付与します CloudWatch。

サービスにリンクされたロールは、必要なアクセス許可を手動で追加する必要がないため、設定 SageMaker HyperPod を容易にします。 は、サービスにリンクされたロールのアクセス許可 SageMaker HyperPod を定義し、特に定義されていない限り、 はロールのみを引き受け SageMaker HyperPod ることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他のIAMエンティティにアタッチすることはできません。

サービスリンクロールは、まずその関連リソースを削除しなければ削除できません。これにより SageMaker HyperPod 、リソースへのアクセス許可を誤って削除できないため、リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスの詳細については、AWS 「 と連携するサービスIAM」を参照してください。また、「サービスにリンクされたロール」列で「はい」があるサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

AmazonSageMakerHyperPodServiceRolePolicy は SageMaker HyperPod 、ユーザーに代わって指定されたリソースに対して次のアクションを実行できます。

許可の詳細

このサービスにリンクされたロールポリシーには、次のアクセス許可が含まれます。

  • eks – プリンシパルが Amazon Elastic Kubernetes Service (EKS) クラスター情報を読み取ることを許可します。

  • logs – プリンシパルが Amazon CloudWatch ログストリームを に発行できるようにします/aws/sagemaker/Clusters

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EKSClusterDescribePermissions",
      "Effect": "Allow",
      "Action": "eks:DescribeCluster",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "CloudWatchLogGroupPermissions",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "CloudWatchLogStreamPermissions",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    }
  ]
}

ユーザー、グループ、ロールなどがサービスにリンクされたロールを作成、編集、削除できるようにするには、アクセス権限を設定する必要があります。詳細については、「 ユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。 IAM

のサービスにリンクされたロールの作成 SageMaker HyperPod

サービスリンクロールを手動で作成する必要はありません。 SageMaker コンソール、、 AWS CLIまたは を使用してクラスターを作成する SageMaker HyperPodと AWS SDKs、 がサービスにリンクされたロール SageMaker HyperPod を作成します。

このサービスにリンクされたロールを削除しても、再度作成する必要がある場合は、同じプロセス (新しい SageMaker HyperPod クラスターの作成) を使用して、アカウントでロールを再作成できます。

のサービスにリンクされたロールの編集 SageMaker HyperPod

SageMaker HyperPod では、AWSServiceRoleForSageMakerHyperPodサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、 を使用してロールの説明を編集できますIAM。詳細については、IAM「 ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

のサービスにリンクされたロールの削除 SageMaker HyperPod

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

サービスにリンクされたロールを使用して SageMaker HyperPod クラスターリソースを削除するには

SageMaker HyperPod クラスターリソースを削除するには、次のいずれかのオプションを使用します。

注記

リソースの削除時に SageMaker HyperPod サービスが ロールを使用している場合、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

を使用してサービスにリンクされたロールを手動で削除するには IAM

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForSageMakerHyperPodサービスにリンクされたロールを削除します。詳細については、IAM「 ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

SageMaker HyperPod サービスにリンクされたロールでサポートされているリージョン

SageMaker HyperPod は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細については、「 の前提条件 SageMaker HyperPod」を参照してください。