翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ドメインスペースのアクセス許可と実行ロールを理解する
<a name="execution-roles-and-spaces"></a>

多くの SageMaker AI アプリケーションでは、ドメイン内で SageMaker AI アプリケーションを起動すると、アプリケーション用のスペースが作成されます。ユーザープロファイルがスペースを作成すると、そのスペースは、そのスペースに付与されたアクセス許可を定義する AWS Identity and Access Management (IAM) ロールを引き受けます。次のページでは、スペースタイプと、スペースのアクセス許可を定義する実行ロールについて説明します。

 IAM [ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) は、特定の許可があり、アカウントで作成できるもう 1 つの IAM アイデンティティです。IAM ロールは、 AWS アイデンティティができることとできないことを決定するアクセス許可ポリシーを持つアイデンティティであるという点で、IAM ユーザーと似ています AWS。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。また、ロールには標準の長期認証情報 (パスワードやアクセスキーなど) も関連付けられません。その代わりに、ロールを引き受けると、ロールセッション用の一時的なセキュリティ認証情報が提供されます。

**注記**  
Amazon SageMaker Canvas または RStudio を起動しても、IAM ロールを引き受けるスペースは作成されません。代わりに、ユーザープロファイルに関連付けられたロールを変更して、アプリケーションのアクセス許可を管理します。SageMaker AI ユーザープロファイルのロールを取得する方法については、「[ユーザーの実行ロールを取得する](sagemaker-roles.md#sagemaker-roles-get-execution-role-user)」を参照してください。  
SageMaker Canvas については、「[Amazon SageMaker Canvas の設定と権限の管理 (IT 管理者向け)](canvas-setting-up.md)」を参照してください。  
RStudio については、「[RStudio アプリケーションで Amazon SageMaker AI ドメインを作成する](rstudio-create-cli.md#rstudio-create-cli-domain)」を参照してください。

ユーザーは、共有スペースまたはプライベートスペース内で SageMaker AI アプリケーションにアクセスできます。

**共有スペース**
+ アプリケーションに関連付けられたスペースは 1 つのみです。共有スペースには、ドメイン内のすべてのユーザープロファイルからアクセスできます。これにより、ドメイン内のすべてのユーザープロファイルに、アプリケーションと同じ基盤となるファイルストレージシステムへのアクセスが付与されます。
+ 共有スペースには、**スペースのデフォルトの実行ロール**で定義されたアクセス許可が付与されます。共有スペースの実行ロールを変更する場合は、スペースのデフォルトの実行ロールを変更する必要があります。

  スペースのデフォルトの実行ロールを取得する方法については、「[スペースの実行ロールを取得する](sagemaker-roles.md#sagemaker-roles-get-execution-role-space)」を参照してください。

  実行ロールを変更する方法については、「[実行ロールのアクセス許可を変更する](sagemaker-roles.md#sagemaker-roles-modify-to-execution-role)」を参照してください。
+ 共有スペースの詳細については、「[共有スペースでコラボレーション](domain-space.md)」を参照してください。
+ 共有スペース作成するには、「[共有スペースの作成](domain-space-create.md#domain-space-create-app)」を参照してください。

**プライベートスペース**
+ アプリケーションに関連付けられたスペースは 1 つのみです。プライベートスペースにアクセスできるのは、プライベートスペースを作成したユーザープロファイルのみです。このスペースを他のユーザーと共有することはできません。
+ プライベートスペースは、スペースを作成したユーザープロファイルの**ユーザープロファイルの実行ロール**を引き受けます。プライベートスペースの実行ロールを変更する場合は、ユーザープロファイルの実行ロールを変更する必要があります。

  ユーザープロファイルの実行ロールを取得する方法については、「[ユーザーの実行ロールを取得する](sagemaker-roles.md#sagemaker-roles-get-execution-role-user)」を参照してください。

  実行ロールを変更する方法については、「[実行ロールのアクセス許可を変更する](sagemaker-roles.md#sagemaker-roles-modify-to-execution-role)」を参照してください。
+ スペースをサポートするすべてのアプリケーションは、プライベートスペースもサポートします。
+ Studio Classic 用のプライベートスペースは、デフォルトではユーザープロファイルごとに既に作成されています。

**Topics**
+ [SageMaker AI の実行ロール](#sagemaker-execution-roles)
+ [実行ロールを使用した柔軟なアクセス許可の例](#sagemaker-execution-roles-example)

## SageMaker AI の実行ロール
<a name="sagemaker-execution-roles"></a>

SageMaker のAI 実行ロールは、SageMaker AI で実行している IAM アイデンティティに割り当てられている [AWS Identity and Access Management (IAM) ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。[IAM ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) は、 AWS アカウントへのアクセスを提供し、ユーザーに代わって他の AWS リソースにアクセスするためのアクセス許可を SageMaker AI に付与する AWS、認証されてアクションを実行する権限を付与できる人間のユーザーまたはプログラムによるワークロードを表します。SageMaker AI はこのロールを使用して、コンピューティングインスタンスの起動、Amazon S3 に保存されているデータやモデルアーティファクトへのアクセス、CloudWatch へのログの書き込みなどのアクションを実行できます。SageMaker AI はランタイムで実行ロールを引き受け、SageMaker AI にはロールのポリシーで定義されたアクセス許可が一時的に付与されます。ロールには、該当するアイデンティティが実行できるアクションと、アイデンティティがアクセスできるリソースを定義する、必要となるアクセス許可が付与されている必要があります。さまざまなアイデンティティにロールを割り当てることで、ドメイン内のアクセス許可とアクセスを管理するための柔軟できめ細かなアプローチを提供できます。ドメインの詳細については、「[Amazon SageMaker AI ドメインの概要](gs-studio-onboard.md)」を参照してください。例えば、IAM ロールを以下に割り当てることができます。
+ ドメイン内のすべてのユーザープロファイルに広範なアクセス許可を付与する**ドメインの実行ロール**
+ ドメイン内の共有スペースに広範なアクセス許可を付与する**スペースの実行ロール**。ドメイン内のすべてのユーザープロファイルは共有スペースにアクセスでき、共有スペース内ではスペースの実行ロールを使用します。
+ 特定のユーザープロファイルにきめ細かなアクセス許可を付与する**ユーザープロファイルの実行ロール**。ユーザープロファイルが作成したプライベートスペースは、作成したユーザープロファイルの実行ロールを引き受けます。

これにより、ユーザープロファイルへの最小特権アクセス許可の原則を維持しながら、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」に準拠して、ドメインに必要なアクセス許可を付与できます。

実行ロールへの変更の伝播には数分かかる場合があります。詳細については、それぞれ「[実行ロールを変更する](sagemaker-roles.md#sagemaker-roles-change-execution-role)」または「[実行ロールのアクセス許可を変更する](sagemaker-roles.md#sagemaker-roles-modify-to-execution-role)」を参照してください。

## 実行ロールを使用した柔軟なアクセス許可の例
<a name="sagemaker-execution-roles-example"></a>

[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)を使用すると、広範かつきめ細かいレベルでアクセス許可を管理して付与できます。次の例では、スペースレベルとユーザーレベルのアクセス許可が付与されます。

データサイエンティストチームのドメインを設定する管理者の場合、ドメイン内のユーザープロファイルに Amazon Simple Storage Service (Amazon S3) バケットへのフルアクセスを許可して、SageMaker トレーニングジョブを実行し、*共有スペース* 内のアプリケーションを使用してモデルをデプロイできるように設定できます。この例では、広範なアクセス許可が付与されている「DataScienceTeamRole」という名前の IAM ロールを作成できます。その後、「DataScienceTeamRole」を*スペースのデフォルト実行ロール*として割り当て、チームに幅広いアクセス許可を付与できます。ユーザープロファイルが*共有スペース*を作成すると、そのスペースは*スペースのデフォルトの実行ロール*を引き受けます。既存のドメインに実行ロールを割り当てる方法については、「[スペースの実行ロールを取得する](sagemaker-roles.md#sagemaker-roles-get-execution-role-space)」を参照してください。

独自の*プライベートスペース*で作業する個別のユーザープロファイルに Amazon S3 バケットへのフルアクセスを許可する代わりに、ユーザープロファイルのアクセス許可を制限して、Amazon S3 バケットの変更を許可しないようにすることができます。この例では、Amazon S3 バケットへの読み取りアクセス権を付与して、データの取得、SageMaker トレーニングジョブの実行、*プライベートスペース*へのモデルのデプロイを実行できるようにすることができます。比較的限られたアクセス許可で、「DataScientistRole」というユーザーレベルの実行ロールを作成できます。その後「DataScientistRole」を*ユーザープロファイルの実行ロール*に割り当て、定義された範囲内で特定のデータサイエンスタスクを実行するために必要なアクセス許可を付与できます。ユーザープロファイルが*共有スペース*を作成すると、そのスペースは*ユーザーの実行ロール*を引き受けます。既存のユーザープロファイルに実行ロールを割り当てる方法については、「[ユーザーの実行ロールを取得する](sagemaker-roles.md#sagemaker-roles-get-execution-role-user)」を参照してください。

SageMaker AI 実行ロールと実行ロールへのアクセス許可の追加の詳細については、「[SageMaker AI 実行ロールの使用方法](sagemaker-roles.md)」を参照してください。