SageMaker Assets の設定 (管理者ガイド) - Amazon SageMaker AI
ユーザーのアクセス許可の表示と変更

SageMaker Assets の設定 (管理者ガイド)

重要

SageMaker Assets は Amazon SageMaker Studio でのみ利用可能です。Amazon SageMaker Studio Classic を使用している場合は、Studio に移行する必要があります。Studio と Studio Classic の詳細については、「Amazon SageMaker AI が提供する機械学習環境」を参照してください。移行の詳細については、「Amazon SageMaker Studio Classic からの移行」を参照してください。

ビジネスニーズが変化すると、ユーザーはビジネス上の問題が発生する都度、効果的に連携して解決する必要があります。問題を解決するには、ユーザーはデータとモデルを相互に共有する必要があります。

SageMaker Assets は、Amazon SageMaker Studio をデータ管理サービスである Amazon DataZone と統合します。SageMaker Assets は、ユーザーがモデルとデータを相互に共有できるようにするプラットフォームです。次の情報を使用して、SageMaker Assets と Amazon DataZone の統合を設定できます。

ビジネスラインまたは組織のために Amazon DataZone ドメインを作成します。ドメインは、Amazon DataZone のコア機能です。ユーザーのデータとモデルはすべて、ドメイン内に配置されます。

Amazon DataZone ドメイン内では、ユーザーのサブセットが特定のプロジェクトに取り組んでいます。プロジェクトは通常、特定のビジネス上の問題に対応しています。メンバーはプロジェクト内でデータセットとモデルを作成できます。デフォルトでは、プロジェクトメンバーはプロジェクト内のデータとモデルにのみアクセスできます。プロジェクトメンバーは、組織内の他のユーザーにデータやモデルへのアクセスを提供できます。

環境をプロジェクト内で作成します。SageMaker Assets の場合、環境とは、Amazon SageMaker Studio を起動するために使用される設定済みリソースのコレクションです。Amazon DataZone で使用される用語の詳細については、「用語と概念」を参照してください。

重要

選択したセットアップに応じて、Amazon SageMaker Studio は次のいずれかを使用します。

  • Amazon DataZone が SageMaker AI 環境の一部として作成する Amazon SageMaker AI ドメイン。

  • Amazon DataZone に移行する既存の Amazon SageMaker AI ドメイン

Amazon SageMaker AI ドメインから Studio にアクセスすることができるとはいえ、作成したプロジェクトからアクセスすることをお勧めします。Studio へのアクセス方法の詳細については、「アセットの操作 (ユーザーガイド)」を参照してください。

次のリストの手順と参照されているドキュメントを使用して、Amazon DataZone と、それが作成する Amazon SageMaker AI ドメインを設定します。

  1. ユーザーの組織またはビジネスラインに対応する Amazon DataZone ドメインを作成します。Amazon DataZone ドメインの作成については、「Create domains」を参照してください。

  2. Amazon DataZone 内で SageMaker AI ブループリントを有効にします。SageMaker ブループリントを有効にする方法については、「Amazon DataZone ドメインを所有する AWS アカウントで組み込みブループリントを有効にする」を参照してください。

  3. ドメイン内のユーザーが解決するビジネス上の問題に対応するプロジェクトをドメイン内に作成します。プロジェクトの作成方法については、「Create a new project」を参照してください。

  4. ユーザーのために SageMaker AI 環境を作成するテンプレートとして使用できる環境プロファイルを作成します。環境プロファイルの作成方法については、「Create an environment profile」を参照してください。

  5. SageMaker AI 環境を作成します。ユーザーはプロジェクト内で SageMaker AI 環境を使用して Amazon SageMaker Studio を起動します。ユーザーは、Studio 内でアセットを作成し、SageMaker Assets を使用してアセットを共有できます。環境の作成方法の詳細については、「Create a new environment」を参照してください。

  6. SageMaker AI を Amazon DataZone 内で信頼されたサービスの 1 つとして追加します。SageMaker AI を サービスの 1 つとして追加するには、「Amazon DataZone ドメインを所有する AWS アカウントに SageMaker AI を信頼できるサービスとして追加する」を参照してください。

次のリストの手順と参照されているドキュメントを使用して、Amazon DataZone と、Amazon SageMaker AI ドメインを設定します。

  1. ユーザーの組織またはビジネスラインに対応する Amazon DataZone ドメインを作成します。Amazon DataZone ドメインの作成については、「Create domains」を参照してください。

  2. Amazon DataZone 内で SageMaker AI ブループリントを有効にします。カスタムブループリントを有効にする方法については、「Amazon DataZone カスタム AWS サービスブループリント」を参照してください。

  3. ドメイン内のユーザーが解決するビジネス上の問題に対応するプロジェクトをドメイン内に作成します。プロジェクトの作成方法については、「Create a new project」を参照してください。

  4. SageMaker AI を Amazon DataZone 内で信頼されたサービスの 1 つとして有効にします。SageMaker AI を サービスの 1 つとして有効にするには、「Amazon DataZone ドメインを所有する AWS アカウントに Amazon SageMaker AI を信頼できるサービスとして追加する」を参照してください。

  5. SageMaker AI ドメイン内に Amazon DataZone ユーザーを作成します。

  6. 既存のユーザーを Amazon DataZone ドメインにオンボードします。

注記

SageMaker AI ユーザーが SSO で、Amazon DataZone ドメインが SSO である場合、Amazon SageMaker AI ドメインから Amazon DataZone ドメインにユーザーを自動的にマッピングできます。

既存の SageMaker AI ユーザーをオンボードするには、Amazon DataZone Import SageMaker AI Domain スクリプトを環境で実行します。AWS リージョン の名前と Amazon SageMaker AI ドメインの AWS アカウント ID を引数として渡す必要があります。以下はスクリプトを実行する AWS CLI コマンドの例です。


python example-script AWS リージョン 111122223333

スクリプトは、次を実行します。

  1. Amazon SageMaker AI ドメイン ID の入力を求められます。

  2. Amazon DataZone ドメイン ID の入力を求められます。

  3. Amazon DataZone プロジェクトの入力を求められます。

  4. インポートするユーザーを指定するように求められます。

  5. ユーザーと Amazon SageMaker AI ドメインにタグを追加します。

  6. Amazon DataZone ユーザーを SageMaker AI ユーザープロファイルにマッピングします。SageMaker AI ユーザープロファイルごとに、スクリプトは Amazon DataZone ユーザー ID の入力を求めます。このテンプレートは独自のユースケースに合わせて変更できます。

  7. Amazon DataZone が Amazon SageMaker AI ドメインにアクセスして移行できるように、フェデレーションロールを環境にアタッチします。

このスクリプトは、Amazon SageMaker AI ドメインの各ユーザーを調べ、Amazon DataZone ドメインで対応するユーザーを指定するように要求します。Amazon DataZone ドメインのユーザーのタグを、対応する SageMaker AI ドメインのユーザーに自動的に追加します。また、各ドメインのユーザー間のマッピングを使用して、カスタム環境ブループリントを更新します。

注記

SageMaker AI 環境は、最新バージョンの SageMaker ディストリビューションイメージを使用します。SageMaker AI ディストリビューションイメージには、機械学習向けの一般的なライブラリパッケージが含まれています。詳細については、「SageMaker Studio のイメージサポートポリシー」を参照してください。

環境を作成したら、AWS Glue と Amazon Redshift のテーブルとデータベースを作成できます。詳細については「Query data in Athena or Amazon Redshift」を参照してください。

ユーザーのアクセス許可の表示と変更

SageMaker AI 環境を作成したら、組織のニーズに合わせてユーザーのアクセス許可を変更できます。SageMaker AI ブループリントを使用すると、すべてのユーザーのアクセス許可を指定できます。ユーザーはすべての SageMaker AI サービスでアクションを実行できます。ただし、アクセス許可は Amazon DataZone ドメイン内で作成されたリソースに限定されます。

重要

作成する環境では、アクセス許可が制限された IAM ロールとアクセス許可の境界を使用します。ユーザーのアクセス許可を変更するには、アクセス許可の境界を変更するか、置き換えます。例えば、ユーザーが環境内で作成された Amazon S3 バケットなどのリソースにアクセスする必要がある場合は、アクセス許可の境界を変更できます。

SageMaker AI ドメインの作成に使用した IAM ロールの ARN でアクセス許可を表示できます。

ユーザーの IAM ロールのアクセス許可を表示または編集するには、次の手順を実行します。

ユーザーのアクセス許可を表示または編集するには

  1. Amazon SageMaker AI コンソールを開きます。

  2. [ドメイン] を選択します。

  3. Amazon DataZone ドメインと同じ名前のドメインの名前を選択します。

  4. [ドメインの設定] を選択します。

  5. [実行ロール] の下にある実行ロールの ARN をコピーします。

  6. [IAM コンソール] を開きます。

  7. [ロール] を選択します。

  8. ARN を貼り付け、最後のスラッシュの後のロール名以外はすべて削除します。

  9. アクセス許可を表示するには、ロールを選択します。

  10. [アクセス許可] で、組織のニーズに合わせてポリシーを変更します。

  11. (オプション) [アクセス許可の境界] をクリックして、[許可の境界を設定] をクリックします。

  12. アクセス許可の境界として指定するポリシーを選択します。