翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS マネージドポリシー: AmazonSageMakerHyperPodServiceRolePolicy
<a name="security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy"></a>

SageMaker HyperPod は、`AmazonSageMakerHyperPodServiceRolePolicy` がアタッチされた `AWSServiceRoleForSageMakerHyperPod` というサービスにリンクされたロールを作成して使用します。このポリシーは、Amazon EKS や Amazon CloudWatch などの関連サービスに対するアクセス許可を Amazon SageMaker HyperPod に付与します。 AWS Amazon CloudWatch

このサービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がないため、SageMaker HyperPod の設定が容易になります。SageMaker HyperPod はサービスにリンクされたロールのアクセス許可を定義し、特に定義されていない限り、SageMaker HyperPod のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これにより、リソースへの意図しないアクセスによる許可の削除が防止され、SageMaker HyperPod リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスの詳細については、[AWS 「IAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、「サービス**にリンクされたロール**」列で**「はい**」があるサービスを探します。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで **[はい]** を選択します。

`AmazonSageMakerHyperPodServiceRolePolicy` により、SageMaker HyperPod はユーザーに代わって指定されたリソースに対して次のアクションを実行できます。

**アクセス許可の詳細**

このサービスにリンクされたロールには、以下のアクセス許可が含まれます。
+ `eks` – プリンシパルが Amazon Elastic Kubernetes Service (EKS) クラスター情報を読み取ることを許可します。
+ `logs` – プリンシパルが Amazon CloudWatch ログストリームを `/aws/sagemaker/Clusters` に発行することを許可します。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EKSClusterDescribePermissions",
      "Effect": "Allow",
      "Action": "eks:DescribeCluster",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "CloudWatchLogGroupPermissions",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "CloudWatchLogStreamPermissions",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    }
  ]
}
```

------

ユーザー、グループ、またはロールにサービスリンクロールの作成、編集、または削除を許可するには、アクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

## SageMaker HyperPod 向けのサービスにリンクされたロールの作成
<a name="create-slr"></a>

サービスリンクロールを手動で作成する必要はありません。SageMaker AI コンソール、、 AWS CLIまたは AWS SDKs を使用して SageMaker HyperPod クラスターを作成すると、SageMaker HyperPod によってサービスにリンクされたロールが作成されます。

このサービスにリンクされたロールを削除した後、再度作成する必要がある場合は、同じ (新しい SageMaker HyperPod クラスターの作成) プロセスを使用すると、アカウントでロールを再作成できます。

## SageMaker HyperPod 向けのサービスにリンクされたロールの編集
<a name="edit-slr"></a>

SageMaker HyperPod では、`AWSServiceRoleForSageMakerHyperPod` サービスにリンクされたロールは編集できません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## SageMaker HyperPod のサービスにリンクされたロールの削除
<a name="delete-slr"></a>

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

**サービスにリンクされたロールを使用して SageMaker HyperPod クラスターリソースを削除するには**

SageMaker HyperPod クラスターリソースを削除するには、次のいずれかのオプションを使用します。
+ SageMaker AI コンソールを使用して [SageMaker HyperPod クラスターを削除する](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-console-ui.html#sagemaker-hyperpod-operate-slurm-console-ui-delete-cluster)
+ を使用して [SageMaker HyperPod クラスターを削除する](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-cli-command.html#sagemaker-hyperpod-operate-slurm-cli-command-delete-cluster) AWS CLI

**注記**  
リソースの削除を試行する際に SageMaker HyperPod サービスがロールを使用している場合、削除が失敗する可能性があります。その場合は、数分待ってからオペレーションを再試行してください。

**IAM を使用してサービスリンクロールを手動で削除するには**

IAM コンソール、 AWS CLI、または AWS API を使用して、`AWSServiceRoleForSageMakerHyperPod`サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

## SageMaker HyperPod のサービスにリンクされたロールでサポートされているリージョン
<a name="slr-regions"></a>

SageMaker HyperPod は、このサービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートしています。詳細については、「[Prerequisites for SageMaker HyperPod](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-prerequisites.html)」を参照してください。