AMS SSP を使用して AMS アカウントに Amazon SageMaker AI をプロビジョニングする - AMS Advanced ユーザーガイド
AWS Managed Services での SageMaker AI に関するよくある質問

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AMS SSP を使用して AMS アカウントに Amazon SageMaker AI をプロビジョニングする

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで Amazon SageMaker AI 機能に直接アクセスします。SageMaker AI は、すべての開発者とデータサイエンティストに、機械学習モデルを迅速に構築、トレーニング、デプロイする機能を提供します。Amazon SageMaker AI は、データのラベル付けと準備、アルゴリズムの選択、モデルのトレーニング、デプロイのための調整と最適化、予測、アクションを実行するための機械学習ワークフロー全体をカバーするフルマネージドサービスです。モデルは、はるかに少ない労力と低コストで本番環境に迅速に移行できます。詳細については、Amazon SageMaker AI」を参照してください。

AWS Managed Services での SageMaker AI に関するよくある質問

一般的な質問と回答:

Q: AMS アカウントの SageMaker AI へのアクセスをリクエストするにはどうすればよいですか?

Management | AWS service | Self-provisioned service | Add (ct-1w8z66n899dct) change type を送信してアクセスをリクエストします。この RFC は、IAM ロール customer_sagemaker_admin_roleとサービスロール をアカウントにプロビジョニングしますAmazonSageMaker-ExecutionRole-Admin。SageMaker AI がアカウントにプロビジョニングされたら、フェデレーションソリューションでcustomer_sagemaker_admin_roleロールをオンボードする必要があります。サービスロールに直接アクセスすることはできません。SageMaker AI サービスは、ここで説明しているように、さまざまなアクションを実行する際にサービスロールを使用します。ロールの受け渡し

Q: AMS アカウントでの SageMaker AI の使用にはどのような制限がありますか?

  • 以下のユースケースは、AMS Amazon SageMaker AI IAM ロールではサポートされていません。

    • SageMaker AI Studio は現在サポートされていません。

    • プライベートワークフォースを管理する SageMaker AI Ground Truth はサポートされていません。この機能ではAmazon Cognito リソースへの過度に寛容なアクセスが必要であるためです。プライベートワークフォースの管理が必要な場合は、SageMaker AI と Amazon Cognito アクセス許可を組み合わせたカスタム IAM ロールをリクエストできます。それ以外の場合は、データのラベル付けにパブリックワークフォース (Amazon Mechanical Turk がサポート) または AWS Marketplace サービスプロバイダーを使用することをお勧めします。

  • SageMaker AI サービス (aws.sagemaker.{region}.notebook、com.amazonaws.{region}.sagemaker.api & com.amazonaws.{region}.sagemaker.runtime) への API コールをサポートする VPC エンドポイントの作成は、アクセス許可を SageMaker AI 関連サービスのみに限定することはできないためサポートされていません。このユースケースをサポートするには、管理 | その他 | その他の RFC を送信して、関連する VPC エンドポイントを作成します。

  • SageMaker AI エンドポイントの自動スケーリングはサポートされていません。SageMaker AI には任意の (「*」) リソースに対するDeleteAlarmアクセス許可が必要なためです。エンドポイントの自動スケーリングをサポートするには、管理 | その他 | その他の RFC を送信して、SageMaker AI エンドポイントの自動スケーリングを設定します。

Q: AMS アカウントで SageMaker AI を使用する際の前提条件または依存関係は何ですか?

  • 以下のユースケースでは、使用前に特別な設定が必要です。

    • S3 バケットを使用してモデルアーティファクトとデータを保存する場合は、デプロイ | 高度なスタックコンポーネント | S3 ストレージ | RFC の作成で、必要なキーワード (SageMaker」、「Sagemaker」、「sagemaker」、または「aws-glue」) を含む という名前の S3 バケットをリクエストする必要があります。

    • Elastic File Store (EFS) を使用する場合は、EFS ストレージを同じサブネットに設定し、セキュリティグループで許可する必要があります。

    • 他のリソースが SageMaker AI サービス (ノートブック、API、ランタイムなど) に直接アクセスする必要がある場合は、次の方法で設定をリクエストする必要があります。

      • RFC を送信してエンドポイントのセキュリティグループを作成する (デプロイ | 高度なスタックコンポーネント | セキュリティグループ | 作成 (自動))。

      • 管理の送信 | その他 | その他 | RFC を作成して関連する VPC エンドポイントを設定します。

Q: が直接customer_sagemaker_admin_roleアクセスできるリソースでサポートされている命名規則は何ですか? (更新および削除のアクセス許可については、以下を参照してください。リソースでサポートされている追加の命名規則が必要な場合は、AMS Cloud Architect に連絡して相談してください。)

  • リソース: AmazonSageMaker-ExecutionRole-*ロールを渡す

    • アクセス許可: SageMaker AI セルフプロビジョニングサービスロールは、 AWS Glue、 AWS RoboMaker、および での SageMaker AI サービスロール (AmazonSageMaker-ExecutionRole-*) の使用をサポートします AWS Step Functions。

  • リソース: Secrets Manager の AWS シークレット

    • アクセス許可: AmazonSageMaker-*プレフィックスを使用してシークレットを記述、作成、取得、更新します。

    • アクセス許可: SageMakerリソースタグが に設定されているときにシークレットを取得するについて説明しますtrue

  • リソース: 上のリポジトリ AWS CodeCommit

    • アクセス許可: AmazonSageMaker-*プレフィックスを持つリポジトリを作成/削除します。

    • アクセス許可: Git Pull/Push on repositories with following prefixes, *sagemaker*, *SageMaker*, and *Sagemaker*

  • リソース: Amazon ECR (Amazon Elastic Container Registry) リポジトリ

    • アクセス許可: アクセス許可: 次のリソース命名規則が使用されている場合、リポジトリポリシーを設定、削除し、コンテナイメージをアップロードします*sagemaker*

  • リソース: Amazon S3 バケット

    • アクセス許可: リソースにプレフィックス 、、 *sagemaker* がある場合、オブジェクトの取得、配置*SageMaker**Sagemaker*、削除、マルチパートアップロード S3 オブジェクトの中止を行いますaws-glue

    • アクセス許可: SageMaker タグが に設定されているときに S3 オブジェクトを取得しますtrue

  • リソース: Amazon CloudWatch Log Group

    • アクセス許可: ロググループまたはストリームの作成、ログイベントの入力、一覧表示、更新、 の作成、プレフィックス を使用したログ配信の削除/aws/sagemaker/*

  • リソース: Amazon CloudWatch メトリクス

    • アクセス許可: 、AWS/SageMakerAWS/SageMaker/、、aws/SageMaker、および のプレフィックスを使用する場合はaws/SageMaker/aws/sagemakeraws/sagemaker/、メトリクスデータを配置します/aws/sagemaker/.

  • リソース: Amazon CloudWatch Dashboard

    • アクセス許可: プレフィックス が使用されているときにダッシュボードを作成/削除しますcustomer_*

  • リソース: Amazon SNS (Simple Notification Service) トピック

    • アクセス許可: 、*sagemaker*、および のプレフィックスを使用する場合*SageMaker*のサブスクライブ/作成トピック*Sagemaker*

Q: AmazonSageMakerFullAccessと の違いは何ですかcustomer_sagemaker_admin_role

customer_sagemaker_admin_role と は、以下を除き、AmazonSageMakerFullAccess とほぼ同じアクセス許可customer_sagemaker_admin_policyを提供します。

  • AWS RoboMaker、Amazon Cognito、および AWS Glue リソースに接続するためのアクセス許可。

  • SageMaker AI エンドポイントの自動スケーリング。管理 | 高度なスタックコンポーネント | Identity and Access Management (IAM) | エンティティまたはポリシー (レビューが必要) の変更タイプ (ct-27tuth19k52b4) を更新して、自動スケーリングアクセス許可を一時的または永続的に昇格させる必要があります。これは、自動スケーリングには CloudWatch サービスへの許可付きアクセスが必要なためです。

Q: 保管中のデータ暗号化に AWS KMS カスタマーマネージドキーを採用するにはどうすればよいですか?

関連する IAM ユーザーまたはロールがキーを使用できるように、カスタマーマネージドキーでキーポリシーが正しく設定されていることを確認する必要があります。詳細については、AWS KMS 「 キーポリシー」ドキュメントを参照してください。