プロジェクトを使用するために必要な SageMaker Studio のアクセス許可の付与 - Amazon SageMaker AI
プロジェクトへのアクセス権を新しいドメインロールに付与する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

プロジェクトを使用するために必要な SageMaker Studio のアクセス許可の付与

Amazon SageMaker Studio (または Studio Classic) 管理者と、ドメインに追加した Studio (または Studio Classic) ユーザーは、SageMaker AI が提供するプロジェクトテンプレートを表示し、それらのテンプレートを使用してプロジェクトを作成できます。デフォルトでは、管理者は Service Catalog コンソールで SageMaker AI テンプレートを表示できます。ユーザーが SageMaker プロジェクトを使用するアクセス許可を持っている場合、管理者は他のユーザーが作成した内容を確認できます。管理者は、SageMaker AI プロジェクトCloudFormationテンプレートが定義するテンプレートを Service Catalog コンソールで表示することもできます。Service Catalog コンソールの使用に関する詳細については、「Service Catalog ユーザーガイド」の「What Is Service Catalog?」を参照してください。

デフォルトでドメインと同じ実行ロールを使用するように設定されているドメインの Studio (および Studio Classic) ユーザーには、SageMaker AI プロジェクトテンプレートを使用してプロジェクトを作成するアクセス許可が付与されています。

重要

ロールを手動で作成しないでください。以下の手順の説明に従って、必ず [Studio 設定] からロールを作成するようにします。

ドメインの実行ロール以外のロールを使用して SageMaker AI 提供のプロジェクト テンプレートを表示して使用するユーザーの場合、ドメインに追加する際に Studio ユーザー向けに [Amazon SageMaker AI プロジェクトテンプレートと Amazon SageMaker JumpStart を有効にする] をオンにして、個々のユーザープロファイルに [プロジェクト] アクセス許可を付与する必要があります。この手順の詳細については、「ユーザープロファイルの追加」を参照してください。

SageMaker プロジェクトは Service Catalog によってサポートされているため、SageMaker プロジェクトへのアクセスを必要とする各ロールを、Service Catalog の [Amazon SageMaker AI ソリューションと ML Ops 製品] ポートフォリオに追加する必要があります。これは、次の画像に示されるとおり、[グループ、ロール、およびユーザー] タブで実行できます。Studio のユーザープロファイルごとに異なるロールがある場合は、これらの各ロールを Service Catalog に追加する必要があります。これは、Studio Classic でのユーザープロファイルの作成時に実行することもできます。

プロジェクトへのアクセス権を新しいドメインロールに付与する

ドメインの実行ロールを変更したり、異なるロールを持つユーザープロファイルを追加したりする場合、SageMaker プロジェクトを使用するために、これらの新しいロールに Service Catalog ポートフォリオへのアクセス権を付与する必要があります。すべてのロールに必要なアクセス許可が付与されていることを確認するには、次の手順に従ってください。

新しいドメインロールにプロジェクトへのアクセスを許可するには

  1. Service Catalog コンソールを開きます。

  2. 左側のナビゲーションメニューから [ポートフォリオ] を選択します。

  3. [インポート済み] セクションを選択します。

  4. [Amazon SageMaker ソリューションと ML Ops 製品] を選択します。

  5. [リモートアクセス] タブを選択してください。

  6. [アクセス権の付与] を選択します。

  7. [アクセス権の付与] ダイアログで、[ロール] を選択します。

  8. ドメインのユーザープロファイルで使用される、以下を含むすべてのロールへのアクセスを許可します。

    • ドメインの実行ロール

    • 個々のユーザープロファイルに割り当てられたカスタム実行ロール

  9. [アクセス権を付与] をクリックして確定します。

重要

このプロセスは、ドメインの実行ロールを変更したり、新しい実行ロールでユーザープロファイルを追加したりする都度、完了する必要があります。このアクセスがない場合、ユーザーは SageMaker プロジェクトを作成したり使用することはできません。

次の手順は、Studio または Studio Classic にオンボードした後に [プロジェクト] アクセス許可を付与する方法を説明しています。Studio または Studio Classic へのオンボードの詳細については、「Amazon SageMaker AI ドメインの概要」を参照してください。

SageMaker AI ドメインにアクティブなプロジェクトテンプレートアクセス許可があることを確認するには、次の手順を実行します。

  1. SageMaker AI コンソールを開きます。

  2. 左のナビゲーションペインで、[管理設定‭] を選択します。

  3. [管理者設定] で、[ドメイン] を選択します。

  4. ドメインを検索します。

  5. [ドメイン設定] タブを選択します。

  6. [SageMaker プロジェクトと JumpStart] で、以下のオプションがオンになっていることを確認します。

    • このアカウントの Amazon SageMaker プロジェクトテンプレートと Amazon SageMaker JumpStart を有効にする

    • Studio ユーザー向けに Amazon SageMaker プロジェクトテンプレートと Amazon SageMaker JumpStart を有効にする

ロールのリストを表示するには:

  1. SageMaker AI コンソールを開きます。

  2. 左のナビゲーションペインで、[管理設定‭] を選択します。

  3. [管理者設定] で、[ドメイン] を選択します。

  4. ドメインを検索します。

  5. [ドメイン設定] タブを選択します。

  6. Studio タブの下の Apps カードに、自分のロールのリストが表示されます。

    重要

    7 月 25 日以降、プロジェクトテンプレートを使用するには追加のロールが必要です。以下は、Projects の下に表示されるのロールの全リストです。

    AmazonSageMakerServiceCatalogProductsLaunchRole AmazonSageMakerServiceCatalogProductsUseRole AmazonSageMakerServiceCatalogProductsApiGatewayRole AmazonSageMakerServiceCatalogProductsCloudformationRole AmazonSageMakerServiceCatalogProductsCodeBuildRole AmazonSageMakerServiceCatalogProductsCodePipelineRole AmazonSageMakerServiceCatalogProductsEventsRole AmazonSageMakerServiceCatalogProductsFirehoseRole AmazonSageMakerServiceCatalogProductsGlueRole AmazonSageMakerServiceCatalogProductsLambdaRole AmazonSageMakerServiceCatalogProductsExecutionRole

    これらのロールの内容については、「AWSSageMaker プロジェクトと JumpStart の管理ポリシー」を参照してください。