翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ロールマネージャーのよくある質問
<a name="role-manager-faqs"></a>

Amazon SageMaker Role Manager についてのよくある質問と回答については、次のよくある質問の項目を参照してください。

## Q: Amazon SageMaker Role Manager にはアクセスするにはどうしたらよいですか?
<a name="role-manager-faqs-access"></a>

A: Amazon SageMaker AI コンソールの複数の場所から Amazon SageMaker Role Manager にアクセスできます。ロール マネージャーにアクセスし、それを使用してロールを作成する方法については、「[ロールマネージャ (コンソール) を使用する](role-manager-tutorial.md)」を参照してください。

## Q: ペルソナとはどういうものですか?
<a name="role-manager-faqs-personas"></a>

A: ペルソナは、一般的な機械学習 (ML) の責任に基づいて事前に設定されたアクセス許可のグループです。例えば、データサイエンスのペルソナは SageMaker AI 環境での一般的な機械学習の開発と実験に対するアクセス許可を推奨し、MLOps ペルソナはオペレーションに関連する ML アクティビティに対するアクセス許可を提案します。

## Q: ML アクティビティとはどういうものですか?
<a name="role-manager-faqs-ml-activities"></a>

A: ML アクティビティは、特定の IAM アクセス許可を必要とする SageMaker AI を使用した機械学習に関連する一般的な AWS タスクです。Amazon SageMaker Role Manager でロールを作成する際、各ペルソナは関連する ML アクティビティを推奨します。ML アクティビティには、Amazon S3 フルアクセスや実験の検索と視覚化などのタスクがあります。詳細については、「[ML アクティビティリファレンス](role-manager-ml-activities.md)」を参照してください。

## Q. 作成したロールはロールマネージャー AWS Identity and Access Management (IAM) ロールですか?
<a name="role-manager-faqs-iam"></a>

A: はい。Amazon SageMaker Role Manager を使用して作成されたロールは、カスタマイズされたアクセスポリシーを持つ IAM ロールです。作成されたロールは [IAM コンソール](https://console.aws.amazon.com/iamv2/)の **[ロール]** セクションで確認できます。

## Q: Amazon SageMaker Role Manager を使用して作成したロールを表示する方法を教えてください。
<a name="role-manager-faqs-view-roles"></a>

A: 作成されたロールは [IAM コンソール](https://console.aws.amazon.com/iamv2/)の **[ロール]** セクションで確認できます。デフォルトでは、IAM コンソールで検索しやすくなるように、すべてのロール名にプレフィックス `"sagemaker-"` が追加されます。例えば、ロールの作成時にロールに `test-123` と名前を付けたら、そのロールは IAM コンソールで `sagemaker-test-123` と表示されます。

## Q: Amazon SageMaker Role Manager で作成したロールは、作成後に変更できますか?
<a name="role-manager-faqs-modify-roles"></a>

A: はい。Amazon SageMaker Role Manager によって作成されたロールとポリシーは [IAM コンソール](https://console.aws.amazon.com/iamv2/)から変更できます。詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[IAM とは](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)」を参照してください。

## Q: Amazon SageMaker Role Manager を使用して作成したロールに独自のポリシーをアタッチすることはできますか?
<a name="role-manager-faqs-attach-policies"></a>

A: はい。Amazon SageMaker Role Manager を使用して作成したロールに、アカウントから AWS またはカスタマー管理の IAM ポリシーをアタッチできます。

## Q: Amazon SageMaker Role Manager で作成したロールには、ポリシーをいくつ追加できますか?
<a name="role-manager-faqs-policy-limit"></a>

A: IAM ロールまたはユーザーにマネージドポリシーをアタッチできる上限は 20 です。マネージドポリシーの最大文字数制限は、6,144 文字です。詳細については、「[IAM オブジェクトクォータ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities)」と、「[IAM と AWS Security Token Service クォータ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)」の「IAM 名前の要件」および「文字制限」を参照してください。

## Q: ML アクティビティに条件を追加できますか?
<a name="role-manager-faqs-conditions"></a>

A: サブネット、セキュリティグループ、KMS キーなど、Amazon SageMaker Role Manager の「[ステップ 1. ロール情報を入力する](role-manager-tutorial.md#role-manager-tutorial-enter-role-information)」で指定した条件は、「[ステップ 2. ML アクティビティを設定する](role-manager-tutorial.md#role-manager-tutorial-configure-ml-activities)」で選択した ML アクティビティに自動的に渡されます。必要に応じて、ML アクティビティに条件を追加することもできます。例えば、トレーニングジョブの管理アクティビティに `InstanceTypes` または `IntercontainerTrafficEncryption` の条件を追加することもできます。

## Q. タグ付けを使用して任意の AWS リソースへのアクセスを管理できますか?
<a name="role-manager-faqs-tagging"></a>

A: ****Amazon SageMaker Role Manager の「[ステップ 3: ポリシーとタグを追加する](role-manager-tutorial.md#role-manager-tutorial-add-policies-and-tags)」でロールにタグを追加できます。タグを使用して AWS リソースを正常に管理するには、ロールと関連するポリシーの両方に同じタグを追加する必要があります。例えば、ロールと Amazon S3 バケットにタグを追加できます。次に、ロールが SageMaker AI セッションにタグを渡すため、そのロールを持つユーザーだけが S3 バケットにアクセスできます。[IAM コンソール](https://console.aws.amazon.com/iamv2/)からポリシーにタグを追加できます。詳細については、「*AWS Identity and Access Management ユーザーガイド*」で「[IAM ロールのタグ付け](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags_roles.html)」を参照してください。

## Q: Amazon SageMaker Role Manager を使用して、 AWS マネジメントコンソールにアクセスするためのロールを作成できますか?
<a name="role-manager-faqs-console-access"></a>

Q. いいえ、できません。ただし、ロールマネージャでサービスロールを作成したら、IAM コンソールに移動して、IAM コンソールでロールを編集し、ユーザーアクセスロールを追加できます。

## Q: ユーザーフェデレーションロールと SageMaker AI 実行ロールの違いは何ですか。
<a name="role-manager-faqs-role-types"></a>

A: ユーザーフェデレーションロールは、 AWS マネジメントコンソールへのアクセスなどの AWS リソースにアクセスする際にユーザーが直接引き受けます。SageMaker AI 実行ロールは、ユーザーや自動化ツールに代わって機能を実行するために、SageMaker AI サービスが引き受けます。例えば、ユーザーが Studio Classic インスタンスを開くと、Studio Classic はユーザープロファイルに関連付けられた実行ロールを引き受け、ユーザーに代わって AWS リソースにアクセスします。ユーザープロファイルで実行ロールが指定されていない場合は、Amazon SageMaker AI ドメインレベルで実行ロールが指定されます。

## Q. 署名済み URL を介して Studio Classic にアクセスするカスタムウェブアプリケーションを利用している場合に使用されのはどのロールですか。
<a name="role-manager-faqs-studio-presigned-url"></a>

A: カスタムウェブアプリケーションを使用して Studio Classic にアクセスする場合、ハイブリッドユーザーフェデレーションロールと SageMaker AI 実行ロールが付与されています。このロールには、ユーザーが実行できる内容と、関連付けられたユーザーに代わって Studio Classic が実行できる内容の両方に対する最小特権のアクセス許可が付与されていることを確認してください。

## Q: Studio Classic ドメインの IAM アイデンティティセンター認証で Amazon SageMaker Role Manager AWS を使用できますか?
<a name="role-manager-faqs-iam-identity-center"></a>

A: AWS IAM アイデンティティセンター Studio Classic クラウドアプリケーションは、Studio Classic 実行ロールを使用して、フェデレーティッドユーザーにアクセス許可を付与します。この実行ロールは、Studio IAM アイデンティティセンターのユーザープロファイルレベルまたはデフォルトのドメインレベルで指定できます。ユーザー ID とグループは IAM アイデンティティセンターと同期する必要があり、Studio Classic ユーザープロファイルは [CreateUserProfile](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html) を使用して IAM アイデンティティセンターのユーザー割り当てで作成する必要があります。詳細については、「[IAM アイデンティティセンターを使用して Studio Classic を起動する](role-manager-launch-notebook.md#role-manager-launch-notebook-iam-identity-center)」を参照してください。