クロスアカウント系統の追跡 - Amazon SageMaker
クロスアカウントの系統追跡を設定する系統をクロスアカウントで追跡する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

クロスアカウント系統の追跡

Amazon は、別の AWS アカウントからの系統エンティティの追跡 SageMaker をサポートしています。他の AWS アカウントは、系統エンティティを共有でき、直接API呼び出しまたは系統クエリを通じてこれらの SageMaker 系統エンティティにアクセスできます。

SageMaker はAWS Resource Access Manager、系統リソースを安全に共有するために役立ちます。リソースは AWS RAM コンソールから共有できます。

クロスアカウントの系統追跡を設定する

Amazon の系統グループ系統追跡エンティティを通じて をグループ化および共有できます SageMaker。 は、アカウントごとに 1 つのデフォルトの系統グループのみ SageMaker をサポートします。 は、系統エンティティがアカウントで作成されるたびにデフォルトの系統グループ SageMaker を作成します。アカウントが所有するそれぞれの系統エンティティは、このデフォルトの系統グループに割り当てられます。系統エンティティを別のアカウントと共有する場合は、そのアカウントとこのデフォルトの系統グループを共有します。

注記

系統グループ内のすべての系統追跡エンティティを共有できるほか、すべて共有しないようにも設定できます。

AWS Resource Access Manager コンソールを使用して系統エンティティのリソース共有を作成します。詳細については、「 ユーザーガイド」のAWS 「リソースの共有」を参照してください。 AWS Resource Access Manager

注記

リソース共有の作成後、リソースとプリンシパルの関連付けが完了するまでに数分かかることがあります。関連付けが設定されると、リソース共有に参加するための招待が共有アカウントに届きます。共有リソースにアクセスするには、共有アカウントが招待を受理する必要があります。でリソース共有招待を受け入れる方法の詳細については AWS RAM、「Resource Access Manager ユーザーガイド」の「共有 AWS リソースの使用」を参照してください。 AWS

クロスアカウント系統追跡のリソースポリシー

Amazon SageMaker は 1 つのタイプのリソースポリシーのみをサポートしています。 SageMaker リソースポリシーでは、次のすべてのオペレーションを許可する必要があります。

"sagemaker:DescribeAction"
"sagemaker:DescribeArtifact"
"sagemaker:DescribeContext"
"sagemaker:DescribeTrialComponent"
"sagemaker:AddAssociation"
"sagemaker:DeleteAssociation"
"sagemaker:QueryLineage"
例 以下は、アカウント系統グループの SageMaker リソース共有を作成 AWS Resource Access Manager するために を使用して作成されたリソースポリシーです。
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "FullLineageAccess",
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012" #account-id
      },
      "Action": [
        "sagemaker:DescribeAction",
        "sagemaker:DescribeArtifact",
        "sagemaker:DescribeContext",
        "sagemaker:DescribeTrialComponent",
        "sagemaker:AddAssociation",
        "sagemaker:DeleteAssociation",
        "sagemaker:QueryLineage"
      ],
      "Resource": "arn:aws:sagemaker:us-west-2:111111111111:lineage-group/sagemaker-default-lineage-group" #Sample lineage group resource 
    }
  ]
}

クロスアカウントで系統エンティティを追跡する

クロスアカウント系統追跡では、同じAddAssociationAPIアクションを使用して、異なるアカウントの系統エンティティを関連付けることができます。2 つの系統エンティティを関連付けると、 は両方の系統エンティティに対してAddAssociationAPIアクションを実行するアクセス許可があるかどうか SageMaker を検証 SageMaker します。その後、 は関連付けを確立します。アクセス許可がない場合、 は関連付けを作成し SageMaker ません。クロスアカウント関連付けが確立されたら、 QueryLineageAPIアクションを通じて、もう一方の系統エンティティにアクセスできます。詳細については、「系統エンティティをクエリする」を参照してください。

系統エンティティ SageMaker を自動的に作成することに加えて、クロスアカウントアクセスがある場合、 は同じオブジェクトまたはデータを参照するアーティファクト SageMaker を接続します。1 つのアカウントのデータが、異なるアカウントによる系統追跡に使用される場合、 は各アカウントにアーティファクト SageMaker を作成してそのデータを追跡します。クロスアカウント系統では、 が新しいアーティファクト SageMaker を作成するたびに、同じデータに対して作成された他のアーティファクトも共有されている SageMaker かどうかを確認します。 SageMaker 次に、新しく作成されたアーティファクトと、 AssociationTypeを に設定して共有された各アーティファクトとの間に関連付けを確立しますSameAs。その後、 QueryLineageAPIアクションを使用して、自分のアカウントの系統エンティティを、自分と共有されているが別の AWS アカウントが所有する系統エンティティに移動できます。詳細については、「系統エンティティをクエリする」を参照してください

別のアカウントから系統リソースにアクセスする

系統を共有するためのクロスアカウントアクセスが設定されたら、次の SageMaker APIアクションを と直接呼び出しARNて、別のアカウントの共有系統エンティティを記述できます。

以下の SageMaker APIアクションを使用して、共有されている異なるアカウントが所有する系統エンティティの関連付けを管理することもできます。

SageMaker Lineage を使用してアカウント間で系統APIsをクエリする方法を示すノートブックについては、sagemaker-lineage-cross-account「-with-ram.ipynb」を参照してください。

クロスアカウントの系統エンティティのクエリの承認

Amazon は、 でQueryLineageAPIアクションを実行するアクセス許可があることを検証 SageMaker する必要がありますStartArns。これは、LineageGroup にアタッチされたリソースポリシーによって適用されます。このアクションの結果には、自分のアカウントが所有しているのか、別のアカウントによって共有されているかにかかわらず、自分がアクセス権を持つすべての系統エンティティが含まれます。詳細については、「系統エンティティをクエリする」を参照してください。