SageMaker Assets の設定 (管理者ガイド) - Amazon SageMaker
ユーザーのアクセス許可の表示と変更

SageMaker Assets の設定 (管理者ガイド)

重要

SageMaker Assets は Amazon SageMaker Studio でのみ利用可能です。Amazon SageMaker Studio Classic を使用している場合は、Studio に移行する必要があります。Studio と Studio Classic の詳細については、「Amazon SageMaker が提供する機械学習環境」を参照してください。移行の詳細については、「Amazon SageMaker Studio Classic からの移行」を参照してください。

ビジネスニーズが変化すると、ユーザーはビジネス上の問題が発生する都度、効果的に連携して解決する必要があります。問題を解決するには、ユーザーはデータとモデルを相互に共有する必要があります。

SageMaker Assets は、Amazon SageMaker Studio をデータ管理サービスである Amazon DataZone と統合します。SageMaker Assets は、ユーザーがモデルとデータを相互に共有できるようにするプラットフォームです。次の情報を使用して、SageMaker Assets と Amazon DataZone の統合を設定できます。

ビジネスラインまたは組織のために Amazon DataZone ドメインを作成します。ドメインは、Amazon DataZone のコア機能です。ユーザーのデータとモデルはすべて、ドメイン内に配置されます。

Amazon DataZone ドメイン内では、ユーザーのサブセットが特定のプロジェクトに取り組んでいます。プロジェクトは通常、特定のビジネス上の問題に対応しています。メンバーはプロジェクト内でデータセットとモデルを作成できます。デフォルトでは、プロジェクトメンバーはプロジェクト内のデータとモデルにのみアクセスできます。プロジェクトメンバーは、組織内の他のユーザーにデータやモデルへのアクセスを提供できます。

環境をプロジェクト内で作成します。SageMaker Assets の場合、環境とは、Amazon SageMaker Studio を起動するために使用される設定済みリソースのコレクションです。Amazon DataZone で使用される用語の詳細については、「用語と概念」を参照してください。

Amazon DataZone を設定するには、次のリストの手順と参照されているドキュメントを使用します。

  1. ユーザーの組織またはビジネスラインに対応する Amazon DataZone ドメインを作成します。Amazon DataZone ドメインの作成については、「Create domains」を参照してください。

  2. Amazon DataZone 内で SageMaker ブループリントを有効にします。SageMaker ブループリントを有効にする方法については、「Enable built-in blueprints in the AWS account that owns the Amazon DataZone domain」を参照してください。

  3. ドメイン内のユーザーが解決するビジネス上の問題に対応するプロジェクトをドメイン内に作成します。プロジェクトの作成方法については、「Create a new project」を参照してください。

  4. ユーザーのために SageMaker 環境を作成するテンプレートとして使用できる環境プロファイルを作成します。環境プロファイルの作成方法については、「Create an environment profile」を参照してください。

  5. SageMaker 環境を作成します。ユーザーはプロジェクト内で SageMaker 環境を使用して Amazon SageMaker Studio を起動します。ユーザーは、Studio 内でアセットを作成し、SageMaker Assets を使用してアセットを共有できます。環境の作成方法の詳細については、「Create a new environment」を参照してください。

  6. SageMaker を Amazon DataZone 内で信頼されたサービスの 1 つとして追加します。SageMaker を サービスの 1 つとして追加するには、「Add SageMaker as a trusted service in the AWS account that owns the Amazon DataZone domain」を参照してください。

重要

Amazon SageMaker Studio は、Amazon DataZone が SageMaker 環境の一部として作成する Amazon SageMaker ドメインを使用します。Amazon SageMaker ドメインは Amazon DataZone ドメインとは別のものです。SageMaker ドメインは、Studio の実行に必要なリソースで構成されています。Amazon SageMaker ドメインから Studio にアクセスすることができるとはいえ、作成したプロジェクトからアクセスすることをお勧めします。Studio へのアクセス方法の詳細については、「アセットの操作 (ユーザーガイド)」を参照してください。

注記

SageMaker 環境では、最新バージョンの SageMaker ディストリビューションイメージを使用します。SageMaker ディストリビューションイメージには、機械学習向けの一般的なライブラリパッケージが含まれています。詳細については、「SageMaker Studio のイメージサポートポリシー」を参照してください。

環境を作成したら、AWS Glue と Amazon Redshift のテーブルとデータベースを作成できます。詳細については「Query data in Athena or Amazon Redshift」を参照してください。

ユーザーのアクセス許可の表示と変更

SageMaker 環境を作成したら、組織のニーズに合わせてユーザーのアクセス許可を変更できます。SageMaker ブループリントを使用すると、すべてのユーザーのアクセス許可を指定できます。ユーザーはすべての SageMaker サービスでアクションを実行できます。ただし、アクセス許可は Amazon DataZone ドメイン内で作成されたリソースに限定されます。

重要

作成する環境では、アクセス許可が制限された IAM ロールとアクセス許可の境界を使用します。ユーザーのアクセス許可を変更するには、アクセス許可の境界を変更するか、置き換えます。例えば、ユーザーが環境内で作成された Amazon S3 バケットなどのリソースにアクセスする必要がある場合は、アクセス許可の境界を変更できます。

SageMaker ドメインの作成に使用した IAM ロールの ARN でアクセス許可を表示できます。

ユーザーの IAM ロールのアクセス許可を表示または編集するには、次の手順を実行します。

ユーザーのアクセス許可を表示または編集するには

  1. Amazon SageMaker コンソールを開きます。

  2. [ドメイン] を選択します。

  3. Amazon DataZone ドメインと同じ名前のドメインの名前を選択します。

  4. [ドメインの設定] を選択します。

  5. [実行ロール] の下にある実行ロールの ARN をコピーします。

  6. [IAM コンソール] を開きます。

  7. [ロール] を選択します。

  8. ARN を貼り付け、最後のスラッシュの後のロール名以外はすべて削除します。

  9. アクセス許可を表示するには、ロールを選択します。

  10. [アクセス許可] で、組織のニーズに合わせてポリシーを変更します。

  11. (オプション) [アクセス許可の境界] をクリックして、[許可の境界を設定] をクリックします。

  12. アクセス許可の境界として指定するポリシーを選択します。