クロスアカウントの系統追跡 - Amazon SageMaker
クロスアカウントの系統追跡を設定する系統をクロスアカウントで追跡する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

クロスアカウントの系統追跡

Amazon は、別の AWS アカウントからの系統エンティティの追跡 SageMaker をサポートしています。他の AWS アカウントは、リネージエンティティを共有でき、直接API呼び出しまたはリネージクエリを通じてこれらの SageMaker リネージエンティティにアクセスできます。

SageMaker はAWS Resource Access Manager、系統リソースを安全に共有するために を使用します。リソースは AWS RAM コンソールから共有できます。

クロスアカウントの系統追跡を設定する

Amazon の系統グループ系統追跡エンティティを通じて をグループ化および共有できます SageMaker。 は、アカウントごとに 1 つのデフォルトの系統グループのみ SageMaker をサポートします。 は、アカウントに系統エンティティが作成されるたびに SageMaker デフォルトの系統グループを作成します。アカウントが所有するそれぞれの系統エンティティは、このデフォルトの系統グループに割り当てられます。系統エンティティを別のアカウントと共有する場合は、そのアカウントとこのデフォルトの系統グループを共有します。

注記

系統グループ内のすべての系統追跡エンティティを共有できるほか、すべて共有しないようにも設定できます。

AWS Resource Access Manager コンソールを使用して系統エンティティのリソース共有を作成します。詳細については、「 ユーザーガイド」の「 AWS リソースの共有AWS Resource Access Manager 」を参照してください。

注記

リソース共有の作成後、リソースとプリンシパルの関連付けが完了するまでに数分かかることがあります。関連付けが設定されると、リソース共有に参加するための招待が共有アカウントに届きます。共有リソースにアクセスするには、共有アカウントが招待を受理する必要があります。でリソース共有の招待を受け入れる方法の詳細については AWS RAM、「 Resource Access Manager ユーザーガイド AWS」の「共有リソースの使用」を参照してください。 AWS

クロスアカウント系統追跡のリソースポリシー

Amazon は、1 つのタイプのリソースポリシーのみ SageMaker をサポートしています。 SageMaker リソースポリシーでは、以下のすべてのオペレーションを許可する必要があります。

"sagemaker:DescribeAction"
"sagemaker:DescribeArtifact"
"sagemaker:DescribeContext"
"sagemaker:DescribeTrialComponent"
"sagemaker:AddAssociation"
"sagemaker:DeleteAssociation"
"sagemaker:QueryLineage"
例 以下は、アカウント系統グループの SageMaker リソース共有を作成 AWS Resource Access Manager するために を使用して作成されたリソースポリシーです。
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "FullLineageAccess",
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012" #account-id
      },
      "Action": [
        "sagemaker:DescribeAction",
        "sagemaker:DescribeArtifact",
        "sagemaker:DescribeContext",
        "sagemaker:DescribeTrialComponent",
        "sagemaker:AddAssociation",
        "sagemaker:DeleteAssociation",
        "sagemaker:QueryLineage"
      ],
      "Resource": "arn:aws:sagemaker:us-west-2:111111111111:lineage-group/sagemaker-default-lineage-group" #Sample lineage group resource 
    }
  ]
}

クロスアカウントで系統エンティティを追跡する

クロスアカウント系統追跡を使用すると、同じAddAssociationAPIアクションを使用して、異なるアカウントの系統エンティティを関連付けることができます。2 つの系統エンティティを関連付けると、両方の系統エンティティに対してAddAssociationAPIアクションを実行するアクセス許可がある場合、 が SageMaker 検証します。 SageMaker その後、 は関連付けを確立します。アクセス許可がない場合、 SageMaker は関連付けを作成しません。クロスアカウントの関連付けが確立されると、 QueryLineageAPIアクションを通じて、もう一方の系統エンティティにアクセスできます。詳細については、「系統エンティティをクエリする」を参照してください。

系統エンティティ SageMaker の自動作成に加えて、クロスアカウントアクセスがある場合、 は同じオブジェクトまたはデータを参照するアーティファクト SageMaker を接続します。あるアカウントのデータが、異なるアカウントによる系統追跡で使用されている場合、 は各アカウントにアーティファクト SageMaker を作成してそのデータを追跡します。クロスアカウント系統では、 が新しいアーティファクト SageMaker を作成するたびに、同じデータに対して作成された他のアーティファクトも共有 SageMaker されているかどうかを確認します。 SageMaker その後、 は、新しく作成されたアーティファクトと、 を AssociationTypeに設定して共有された各アーティファクトとの関連付けを確立しますSameAs。その後、 QueryLineageAPIアクションを使用して、自分のアカウント内の系統エンティティを、自分と共有されているが別の AWS アカウントによって所有されている系統エンティティにトラバースできます。詳細については、「系統エンティティをクエリする」を参照してください

別のアカウントから系統リソースにアクセスする

系統を共有するためのクロスアカウントアクセスを設定したら、次の SageMaker APIアクションを と直接呼び出しARNて、別のアカウントの共有系統エンティティを記述できます。

以下の SageMaker APIアクションを使用して、自分と共有されている異なるアカウントが所有する系統エンティティの関連付けを管理することもできます。

Lineage を使用してアカウント間で SageMaker 系統APIsをクエリする方法を示すノートブックについては、「-sagemaker-lineage-cross-accountwith-ram.ipynb」を参照してください。

クロスアカウントの系統エンティティのクエリの承認

Amazon は、 でQueryLineageAPIアクションを実行するアクセス許可があることを検証 SageMaker する必要がありますStartArns。これは、LineageGroup にアタッチされたリソースポリシーによって適用されます。このアクションの結果には、自分のアカウントが所有しているのか、別のアカウントによって共有されているかにかかわらず、自分がアクセス権を持つすべての系統エンティティが含まれます。詳細については、「系統エンティティをクエリする」を参照してください。