概要前提条件と制限アーキテクチャツールベストプラクティスエピック関連リソース追加情報

SageMaker ノートブックインスタンスに、別の AWS アカウントの CodeCommit リポジトリへの一時的なアクセスを許可する

Helge Aufderheide、Amazon Web Services

概要

このパターンは、Amazon SageMaker ノートブックインスタンスとユーザーに、別の AWS アカウントにある AWS CodeCommit リポジトリへの一時的なアクセスを許可する方法を示しています。このパターンはまた、各エンティティが各リポジトリで実行できる特定のアクションに対してきめ細かいアクセス権限を付与する方法も示しています。

組織は多くの場合、開発環境をホストするアカウントとは別の AWS アカウントに CodeCommit リポジトリを保存します。このマルチアカウント設定は、リポジトリへのアクセスを制御し、リポジトリを誤って削除するリスクを軽減するのに役立ちます。クロスアカウントアクセス権の付与には、AWS Identity and Access Management (IAM) ロールを使用するのがベストプラクティスです。これにより、各 AWS アカウントの事前定義済みの IAM アイデンティティが一時的にロールを引き受け、アカウント間で制御された信頼の連鎖を構築できます。

注記

同様の手順を適用して、他の IAM アイデンティティに CodeCommit リポジトリへのクロスアカウントアクセスを許可できます。詳細については、「AWS CodeCommit ユーザーガイド」の「ロールを使用して AWS CodeCommit リポジトリへのクロスアカウントアクセスを構成する」を参照してください。

前提条件と制限

前提条件

CodeCommit リポジトリを持つアクティブな AWS アカウント (アカウント A)
SageMaker ノートブックインスタンスを持つ 2 つ目のアクティブな AWS アカウント (アカウント B)
アカウント A の IAM ロールを作成および変更するための十分な権限を持つ AWS ユーザー
アカウント B の IAM ロールを作成および変更するための十分な権限を持つ 2 人目の AWS ユーザー

アーキテクチャ

以下の図は、SageMaker ノートブックインスタンスと 1 つの AWS アカウントのユーザーに CodeCommit リポジトリへのクロスアカウントアクセスを許可するワークフローの例を示しています。

この図表は、次のワークフローを示しています:

アカウント B の AWS ユーザーロールと SageMaker ノートブックインスタンスロールは、名前付きプロファイルを前提としています。
名前付きプロファイルのアクセス権限ポリシーは、プロファイルが引き受けるアカウント A の CodeCommit アクセスロールを指定します。
アカウント A の CodeCommit アクセスロールの信頼ポリシーにより、アカウント B の名前付きプロファイルが CodeCommit アクセスロールを引き受けます。
アカウント A の CodeCommit リポジトリの IAM アクセス権限ポリシーにより、CodeCommit アクセスロールは CodeCommit リポジトリにアクセスできます。

テクノロジースタック

CodeCommit
Git
IAM
pip
SageMaker

ツール

AWS CodeCommit は、独自のソースコントロールシステムを管理しなくても、Git リポジトリを非公開で保存および管理できるバージョン管理サービスです。
「AWS Identity and Access Management (IAM)」は、AWS リソースへのアクセスを安全に管理し、誰が認証され、使用する権限があるかを制御するのに役立ちます。
Git は、ソフトウェア開発中のソースコードの変更を追跡するための分散型バージョン管理システムです。
git-remote-codecommit は、Git を拡張することにより、CodeCommit リポジトリからコードをプッシュおよびプルするための簡単な方法を提供するユーティリティです。
pip は Python のパッケージインストーラです。pip を使用して Python Package インデックスやその他のインデックスからパッケージをインストールできます。

ベストプラクティス

IAM ポリシーでアクセス許可を設定するときは、タスクの実行に必要なアクセス許可のみを付与するようにします。詳細については、IAM ドキュメントの「最小特権アクセス許可を適用する」を参照してください。

このパターンを実装する場合は、必ず以下を実行してください。

IAM プリンシパルには、各リポジトリ内で必要な特定のアクションを実行するための権限のみが含まれていることを確認してください。たとえば、承認された IAM プリンシパルは変更を特定のリポジトリブランチにプッシュしてマージすることを許可しますが、保護されたブランチへのマージのみを要求することが推奨されます。
IAM プリンシパルには、各プロジェクトのそれぞれのロールと責任に基づいて異なる IAM ロールが割り当てられていることを確認してください。たとえば、開発者はリリースマネージャーや AWS 管理者とは異なるアクセス権限を持ちます。

エピック

タスク	説明	必要なスキル
CodeCommit のアクセスロールと権限ポリシーを構成します。	注記このエピックで説明されている手動設定プロセスを自動化するには、AWS CloudFormation テンプレートを使用します。 CodeCommit リポジトリを含むアカウント (アカウント A) で、次の操作を行います。アカウント B の SageMaker ノートブックインスタンスロールが引き受けることができる IAM ロールを作成します。リポジトリへのアクセスを許可する IAM ポリシーを作成し、そのポリシーをロールにアタッチします。テスト目的でのみ、AWSCodeCommitPowerUser AWS マネージドポリシーを選択してください。このポリシーは、リソースを削除する権限を除くすべての CodeCommit 権限を付与します。ロールの信頼ポリシーを変更し、信頼できるエンティティとしてアカウント B がリストされるようにします。重要ベストプラクティスは、この設定を本稼働環境に移行する前に、最小特権アクセス許可を適用する独自の IAM ポリシーを作成することです。詳細については、このパターンの「追加情報」セクションを参照してください。	AWS 全般、AWS DevOps
アカウント B の SageMaker ノートブックインスタンスのロールに、アカウント A の CodeCommit アクセスロールを引き受ける権限を付与します。	SageMaker ノートブックインスタンスの IAM ロールを含むアカウント (アカウント B) で、次の操作を行います。 IAM ロールまたはユーザーがアカウント A の CodeCommit アクセスロールを引き受けることを許可する IAM ポリシーを作成します。 IAM ロールまたはユーザーがクロスアカウントロールを引き受けることを許可する IAM アクセス権限ポリシーの例 `{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam:::accountA_ID:role/accountArole_ID" } }` アカウント B の SageMaker ノートブックインスタンスのロールにポリシーをアタッチします。アカウント B の SageMaker ノートブックインスタンスのロールが、アカウント A の CodeCommit アクセスロールを引き受けるようにします。注記注: リポジトリの Amazon リソースネーム (ARN) を表示するには、「AWS CodeCommit ユーザーガイド」の「CodeCommit リポジトリの詳細を表示する」を参照してください。	AWS 全般、AWS DevOps

タスク説明必要なスキル

タスク	説明	必要なスキル
AWS SageMaker ノートブックインスタンスにユーザープロファイルを設定して、アカウント A のロールを引き受けます。	重要最新バージョンの AWS コマンドラインインターフェイス (AWS CLI) がインストールされていることを確認してください。 SageMaker ノートブックインスタンスを含むアカウント (アカウント B) で、次の操作を行います。 AWS マネジメントコンソールにサインインし、SageMaker コンソールを開きます。 SageMaker ノートブックインスタンスにアクセスします。Jupyter インターフェースが開きます。 [新規] を選択し、次に [ターミナル] を選択します。Jupyter 環境に新しいターミナルウィンドウが開きます。 SageMaker ノートブックインスタンスの ~/.aws/config ファイルに移動します。次に、以下のステートメントを入力してファイルにユーザープロファイルを追加します。 `------.aws/config-------------- [profile remoterepouser] role_arn = arn:aws:iam::<ID of Account A>:role/<rolename> role_session_name = remoteaccesssession region = eu-west-1 credential_source = Ec2InstanceMetadata ----------------------------------`	AWS 全般、AWS DevOps
git-remote-codecommit ユーティリティをインストールします。	「AWS CodeCommit ユーザーガイド」の「ステップ 2: git-remote-codecommit をインストールする」の指示に従ってください。	データサイエンティスト

AWS SageMaker ノートブックインスタンスにユーザープロファイルを設定して、アカウント A のロールを引き受けます。

重要

SageMaker ノートブックインスタンスを含むアカウント (アカウント B) で、次の操作を行います。

AWS マネジメントコンソールにサインインし、SageMaker コンソールを開きます。
SageMaker ノートブックインスタンスにアクセスします。Jupyter インターフェースが開きます。
[新規] を選択し、次に [ターミナル] を選択します。Jupyter 環境に新しいターミナルウィンドウが開きます。
SageMaker ノートブックインスタンスの ~/.aws/config ファイルに移動します。次に、以下のステートメントを入力してファイルにユーザープロファイルを追加します。


------.aws/config--------------
[profile remoterepouser]
role_arn = arn:aws:iam::<ID of Account A>:role/<rolename>
role_session_name = remoteaccesssession
region = eu-west-1
credential_source  = Ec2InstanceMetadata
----------------------------------

AWS 全般、AWS DevOps

git-remote-codecommit ユーティリティをインストールします。

「AWS CodeCommit ユーザーガイド」の「ステップ 2: git-remote-codecommit をインストールする」の指示に従ってください。

データサイエンティスト

タスク説明必要なスキル

タスク	説明	必要なスキル
Git コマンドまたは SageMaker を使用して CodeCommit リポジトリにアクセスする。	Git を使用するにはこれで、アカウント B で SageMaker ノートブックインスタンスのロールを引き受ける IAM プリンシパルは、Git コマンドを実行してアカウント A の CodeCommit リポジトリにアクセスできるようになりました。たとえば、ユーザーは、`git clone`、`git pull`、`git push` などのコマンドを実行できます。手順については、「AWS CodeCommit ユーザーガイド」の「AWS CodeCommit リポジトリに接続する」を参照してください。 CodeCommit で Git を使用する方法については、「AWS CodeCommit ユーザーガイド」の「AWS CodeCommit 入門」を参照してください。 SageMaker を使用するには SageMaker コンソールから Git を使用するには、Git が CodeCommit リポジトリから認証情報を取得できるよう許可する必要があります。手順については、「SageMaker ドキュメント」の「別のアカウントの CodeCommit リポジトリをノートブックインスタンスに関連付ける」を参照してください。	Git、バッシュコンソール

Git コマンドまたは SageMaker を使用して CodeCommit リポジトリにアクセスする。

Git を使用するには

これで、アカウント B で SageMaker ノートブックインスタンスのロールを引き受ける IAM プリンシパルは、Git コマンドを実行してアカウント A の CodeCommit リポジトリにアクセスできるようになりました。たとえば、ユーザーは、git clone、git pull、git push などのコマンドを実行できます。

手順については、「AWS CodeCommit ユーザーガイド」の「AWS CodeCommit リポジトリに接続する」を参照してください。

CodeCommit で Git を使用する方法については、「AWS CodeCommit ユーザーガイド」の「AWS CodeCommit 入門」を参照してください。

SageMaker を使用するには

SageMaker コンソールから Git を使用するには、Git が CodeCommit リポジトリから認証情報を取得できるよう許可する必要があります。手順については、「SageMaker ドキュメント」の「別のアカウントの CodeCommit リポジトリをノートブックインスタンスに関連付ける」を参照してください。

Git、バッシュコンソール

追加情報

CodeCommit 権限を特定のアクションに制限する

IAM プリンシパルが CodeCommit リポジトリで実行できるアクションを制限するには、CodeCommit アクセスポリシーで許可されているアクションを変更します。

CodeCommit API の操作の詳細については、「AWS CodeCommit ユーザーガイド」の「CodeCommit アクセス権限リファレンス」を参照してください。

注記

AWSCodeCommitPowerUser AWS マネージドポリシーをユースケースに合わせて編集することもできます。

CodeCommit 権限を特定のリポジトリに制限する

特定のユーザーだけが複数のコードリポジトリにアクセスできるマルチテナント環境を作成するには、次の操作を行います。

アカウント A に複数の CodeCommit アクセスロールを作成します。次に、アカウント B の特定のユーザーがロールを引き受けることができるように、各アクセスロールの信頼ポリシーを構成します。
各 CodeCommit アクセスロールのポリシーに「リソース」条件を追加して、各ロールが引き受けることができるコードリポジトリを制限します。

特定の CodeCommit リポジトリに対する IAM プリンシパルのアクセスを制限する「リソース」条件の例


"Resource" : [<REPOSITORY_ARN>,<REPOSITORY_ARN> ]

注記

同じ AWS アカウント内の複数のコードリポジトリを識別して区別しやすくするために、リポジトリ名に異なるプレフィックスを割り当てることができます。たとえば、myproject-subproject1-repo1 や myproject-subproject2-repo1 など、異なる開発者グループに対応するプレフィックスを付けた名前をコードリポジトリに付けます。その後、割り当てられたプレフィックスに基づいて、開発者グループごとに IAM ロールを作成できます。たとえば、myproject-subproject1-repoaccess という名前のロールを作成し、myproject-subproject1 というプレフィックスを含むすべてのコードリポジトリへのアクセスをそのロールに付与することができます。

特定のプレフィックスを含むコードリポジトリ ARN を参照する「リソース」条件の例


"Resource" : arn:aws:codecommit:<region>:<account-id>:myproject-subproject1-*

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS Config マネージドルールを含む AWS CloudFormation テンプレートを生成する

GitHub フローブランチ戦略を実装する