翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
SageMaker トレーニングプラン向け IAM
SageMaker トレーニングプランには、次の 2 つの異なるロールに対する特定のアクセス許可が必要です。
-
プラン作成者ロール: プラン作成者ロールを割り当てられたユーザーには、トレーニングプランの提供内容を検索して、新しいトレーニングプランを作成し、トレーニングプランを一覧表示して記述するためのアクセス許可が必要です。
-
プランユーザーのロール: プランユーザーのロールを持つユーザーには、SageMaker トレーニングジョブまたは SageMaker HyperPod クラスターを作成および更新する際にトレーニングプランを使用するためのアクセス許可が必要です。
SageMaker トレーニングプランを使用する前に、アクセス方法に基づいてアクセス許可を更新します。
-
AWS マネジメントコンソール または SageMaker SDKs ユーザーの場合: コンソールユーザーまたは API ユーザー用に設定された IAM ロールのアクセス許可を更新します。
-
AWS CLI ユーザーの場合: AWS CLI プロファイルが適切な認証情報とアクセス許可で正しく設定されていることを確認します。
-
JupyterLab などの Studio アプリケーションユーザーの場合、アプリケーションが使用するスペースに関連付けられた実行ロールに対するアクセス許可を設定します。
これらのアクセス許可は、マネージドポリシーまたは個別のよりきめ細かいアクセス許可を使用して設定できます。
ロールを更新する方法については、「ロールに対するアクセス許可を更新する」を参照してください。実行ロールの検索方法と更新方法については、「実行ロールを取得する」を参照してください。
注記
管理者は、トレーニングプランを作成し、それに応じてアクセス許可を割り当てる必要があるユーザーを慎重に検討する必要があります。
マネージドポリシー
-
プラン作成者の場合:
AmazonSageMakerTrainingPlanCreateAccessは、トレーニング計画を作成および管理するためのアクセスを提供します。 -
プランユーザーの場合:
AmazonSageMakerFullAccessには、トレーニングプランを使用するためのアクセス許可が含まれます。
注記
-
AmazonSageMakerFullAccessマネージドポリシーは、主に実験目的で使いやすさを重視したポリシーとして設計されています。トレーニングプランの使用など、SageMaker AI 機能への広範なアクセスを提供しますが、次の点に注意が必要です。-
このポリシーのアクセス許可の範囲は広いため、本番環境にはお勧めしません。
-
CreateTrainingPlanは前払いを必要とする管理アクションと見なされるため、トレーニングプランを作成するためのアクセス許可は含まれません。 -
本番環境のユースケースでは、最小権限の原則に準拠したカスタムポリシーを作成し、各ロールに必要な特定のアクセス許可のみを付与することを強くお勧めします。
-
個々のアクセス許可
ユーザーが SageMaker トレーニングプランで実行する必要がある特定のアクションに基づいて、ロールの IAM ポリシーステートメントで設定する必要がある詳細なアクセス許可の詳細は、以下のとおりです。
トレーニングプランのアクセス許可のリスト
-
SearchTrainingPlanOfferings: このアクセス許可は、トレーニングプランの提供内容の検索をユーザーに許可します。{ "Sid": "SearchTrainingPlanOfferingsPermissions", "Effect": "Allow", "Action": [ "sagemaker:SearchTrainingPlanOfferings" ], "Resource": "*" } -
CreateTrainingPlan: このアクセス許可は、新しいトレーニングプラン作成をユーザーに許可します。注記
また、
CreateReservedCapacityとAddTagsのアクセス許可を含め、training-planリソースタイプとreserved-capacityリソースタイプの両方を指定する必要があります。{ "Sid": "CreateTrainingPlanPermissions", "Effect": "Allow", "Action": [ "sagemaker:CreateTrainingPlan", "sagemaker:CreateReservedCapacity", "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:training-plan/*", "arn:aws:sagemaker:*:*:reserved-capacity/*" ] } -
DescribeTrainingPlan: このアクセス許可は、既存のトレーニングプランの詳細の表示をユーザーに許可します。{ "Sid": "DescribeTrainingPlanPermissions", "Effect": "Allow", "Action": [ "sagemaker:DescribeTrainingPlan" ], "Resource": [ "arn:aws:sagemaker:::training-plan/*" ] } -
ListTrainingPlans: このアクセス許可により、ユーザーは AWS 自分のアカウント内のすべてのトレーニングプランを一覧表示できます。{ "Sid": "ListTrainingPlansPermissions", "Effect": "Allow", "Action": [ "sagemaker:ListTrainingPlans" ], "Resource": "*" }
ユーザータイプごとのアクセス許可
このセクションでは、「SageMaker トレーニングプラン向け IAM」セクションで説明されているとおり、各ロールに必要な個々のアクセス許可の詳細なを説明します。
プラン作成者には、次のアクセス許可が必要です。
-
sagemaker:SearchTrainingPlanOfferings -
sagemaker:CreateTrainingPlan -
sagemaker:CreateReservedCapacity -
sagemaker:AddTags -
sagemaker:DescribeTrainingPlan -
sagemaker:ListTrainingPlans
プランユーザーには、次のアクセス許可が必要です。
-
sagemaker:CreateTrainingJob(SageMaker トレーニングジョブ用) -
sagemaker:CreateClusterとsagemaker:UpdateCluster(SageMaker HyperPod 用) -
training-planリソースとreserved-capacityリソースへのアクセス、SageMaker トレーニングプランの IAM ポリシーを設定する際は、training-planリソースとreserved-capacityリソースへのアクセス許可を含めます。これらのリソースは、SageMaker トレーニングジョブと SageMaker HyperPod クラスターの両方で必要です。これにより、IAM ロールに対して SageMaker トレーニングプランリソースとのやり取りと、リザーブドキャパシティの管理が許可されます。-
SageMaker トレーニングジョブの場合、ポリシーに
"arn:aws:sagemaker:::training-plan/"のリソース ARN と"arn:aws:sagemaker:::reserved-capacity/"のリソース ARN が含まれていることを確認します。
-
同様に、SageMaker HyperPod 設定には、クラスター固有のリソースに加えて、これらの同じ ARN を含めます。
