翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
PCS AWS の最小アクセス許可
このセクションでは、IAM ID (ユーザー、グループ、またはロール) がサービスを使用するために必要な最小限の IAM アクセス許可について説明します。
目次
API アクションを使用するための最小限のアクセス許可
| API アクション | 最小アクセス許可 | コンソールに対する追加のアクセス許可 |
|---|---|---|
|
CreateCluster |
|
|
|
ListClusters |
|
|
|
GetCluster |
|
|
|
DeleteCluster |
|
|
|
CreateComputeNodeGroup |
|
|
|
ListComputerNodeGroups |
|
|
|
GetComputeNodeGroup |
|
|
|
UpdateComputeNodeGroup |
|
|
|
DeleteComputeNodeGroup |
|
|
|
CreateQueue |
|
|
|
ListQueues |
|
|
|
GetQueue |
|
|
|
UpdateQueue |
|
|
|
DeleteQueue |
|
タグを使用するための最小限のアクセス許可
AWS PCS のリソースでタグを使用するには、次のアクセス許可が必要です。
pcs:ListTagsForResource, pcs:TagResource, pcs:UntagResource
ログをサポートする最小アクセス許可
AWS PCS は Amazon CloudWatch Logs (CloudWatch Logs) にログデータを送信します。ID に CloudWatch Logs を使用するための最小限のアクセス許可があることを確認する必要があります。詳細については、「Amazon CloudWatch Logs ユーザーガイド」の「CloudWatch Logs リソースへのアクセス許可の管理の概要」を参照してください。 Amazon CloudWatch
サービスが CloudWatch Logs にログを送信するために必要なアクセス許可については、「Amazon CloudWatch Logs ユーザーガイド」のAWS 「サービスからのログ記録の有効化」を参照してください。 Amazon CloudWatch
キャパシティブロックを使用するための最小限のアクセス許可
Amazon EC2 Capacity Blocks for ML は、短期間のワークロードをサポートするために、特定の日時範囲内で GPU ベースの高速コンピューティングインスタンスを事前に予約するための Amazon EC2 購入オプションです。詳細については、「PCS で ML に Amazon EC2 AWS キャパシティブロックを使用する」を参照してください。
コンピューティングノードグループを作成または更新するときに、キャパシティブロックを使用することを選択します。コンピューティングノードグループを作成または更新するために使用する IAM ID には、次のアクセス許可が必要です。
ec2:DescribeCapacityReservations
サービス管理者の最小アクセス許可
次の IAM ポリシーは、IAM ID (ユーザー、グループ、またはロール) が PCS AWS サービスを設定および管理するために必要な最小限のアクセス許可を指定します。
注記
サービスを設定および管理しないユーザーには、これらのアクセス許可は必要ありません。ジョブのみを実行するユーザーは、セキュアシェル (SSH) を使用してクラスターに接続します。 AWS Identity and Access Management (IAM) は SSH の認証または認可を処理しません。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PCSAccess", "Effect": "Allow", "Action": [ "pcs:*" ], "Resource": "*" }, { "Sid": "EC2Access", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DescribeImages", "ec2:GetSecurityGroupsForVpc", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ec2:DescribeLaunchTemplates", "ec2:DescribeLaunchTemplateVersions", "ec2:DescribeInstanceTypes", "ec2:DescribeInstanceTypeOfferings", "ec2:RunInstances", "ec2:CreateFleet", "ec2:CreateTags", "ec2:DescribeCapacityReservations" ], "Resource": "*" }, { "Sid": "IamInstanceProfile", "Effect": "Allow", "Action": [ "iam:GetInstanceProfile" ], "Resource": "*" }, { "Sid": "IamPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*/AWSPCS*", "arn:aws:iam::*:role/AWSPCS*", "arn:aws:iam::*:role/aws-pcs/*", "arn:aws:iam::*:role/*/aws-pcs/*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "ec2.amazonaws.com" ] } } }, { "Sid": "SLRAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleFor*", "arn:aws:iam::*:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleFor*" ], "Condition": { "StringLike": { "iam:AWSServiceName": [ "pcs.amazonaws.com", "spot.amazonaws.com" ] } } }, { "Sid": "AccessKMSKey", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey", "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "SecretManagementAccess", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:TagResource", "secretsmanager:UpdateSecret", "secretsmanager:RotateSecret" ], "Resource": "*" }, { "Sid": "ServiceLogsDelivery", "Effect": "Allow", "Action": [ "pcs:AllowVendedLogDeliveryForResource", "logs:PutDeliverySource", "logs:PutDeliveryDestination", "logs:CreateDelivery" ], "Resource": "*" } ] }
