翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Studioでの信頼された ID の伝播
信頼できる ID 伝達は、接続 AWS されたサービスの管理者がサービスデータへのアクセスを許可および監査するために使用できる AWS IAM アイデンティティセンター 機能です。このデータへのアクセスは、グループの関連付けなどのユーザー属性に基づいています。信頼できる ID 伝達を設定するには、接続された AWS サービスの管理者と IAM Identity Center 管理者間のコラボレーションが必要です。詳細については、「[Prerequisites and considerations](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html)」を参照してください。
Amazon SageMaker Studio と IAM アイデンティティセンターの管理者は、協力して信頼された ID の伝播用のサービスを接続できます。信頼できる ID の伝播は、以下を簡素化することで AWS 、サービス全体のエンタープライズ認証ニーズに対応します。
+ 特定のユーザーに対するアクションを追跡する監査の強化
+ 互換性のある AWS サービスとの統合によるデータサイエンスおよび機械学習ワークロードのアクセス管理
+ 規制対象業界におけるコンプライアンス要件
Studio は、監査目的での信頼できる ID の伝播と、接続された AWS サービスによるアクセスコントロールをサポートしています。Studio での信頼された ID の伝播は、Studio 自体内の認証または認可の決定を直接処理するものではありません。代わりに、アクセスコントロールに使用できる、この情報を使用する互換性のあるサービスにアイデンティティコンテキスト情報を伝播します。
Studio で信頼できる ID 伝達を使用すると、IAM Identity Center ID は接続された AWS サービスに伝達され、より詳細なアクセス許可とセキュリティガバナンスが作成されます。
**Topics**
+ [
# 信頼された ID の伝播のアーキテクチャと互換性
](trustedidentitypropagation-compatibility.md)
+ [
# Studio 向けの信頼された ID の伝播の設定
](trustedidentitypropagation-setup.md)
+ [
# CloudTrail を使用したモニタリングと監査
](trustedidentitypropagation-auditing.md)
+ [
# ユーザーバックグラウンドセッション
](trustedidentitypropagation-user-background-sessions.md)
+ [
# 信頼できる ID 伝達を有効にして他の AWS サービスに接続する方法
](trustedidentitypropagation-connect-other.md)
# 信頼された ID の伝播のアーキテクチャと互換性
信頼できる ID 伝達は、 AWS IAM アイデンティティセンター Amazon SageMaker Studio やその他の接続 AWS されたサービスと統合され、サービス間でユーザーの ID コンテキストを伝達します。次のページでは、信頼された ID の伝播アーキテクチャと SageMaker AI との互換性をまとめています。信頼できる ID の伝播の仕組みの包括的な概要については AWS、[「信頼できる ID の伝播の概要](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)」を参照してください。
信頼された ID の伝播アーキテクチャの主なコンポーネントは次のとおりです。
+ **信頼された ID の伝播**: アプリケーションとサービス間でユーザーのアイデンティティコンテキストを伝播する方法
+ **アイデンティティコンテキスト**: ユーザーに関する情報
+ **Identity-enhanced IAM ロールセッション**: Identity-enhanced ロールセッションには、呼び出す AWS サービスにユーザー識別子を渡す ID コンテキストが追加されました。
+ **接続された AWS サービス**: 信頼できる ID 伝達を通じて伝達される ID コンテキストを認識できるその他の AWS サービス
信頼できる ID 伝達により、接続された AWS サービスはユーザーの ID に基づいてアクセスを決定できます。Studio 自体では、IAM ロールはアクセスコントロールの決定を行うのではなく、アイデンティティコンテキストの伝播手段として使用されます。ID コンテキストは接続された AWS サービスに伝達され、アクセスコントロールと監査の両方の目的で使用できます。詳細については、「[信頼された ID の伝播に関する考慮事項](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html#trustedidentitypropagation-considerations)」を参照してください。
Studio で信頼された ID の伝播を有効にし、IAM アイデンティティセンターを介して認証する場合、SageMaker AI は以下を実行します。
+ IAM アイデンティティセンターからユーザーのアイデンティティコンテキストをキャプチャします。
+ ユーザーのアイデンティティコンテキストを含むアイデンティティ拡張 IAM ロールセッションを作成します。
+ ユーザーがリソースにアクセスするときに、ID 拡張 IAM ロールセッションを互換性のある AWS サービスに渡します
+ ダウンストリーム AWS サービスがユーザー ID に基づいてアクセス決定を行い、アクティビティを記録できるようにします
## 互換性のある SageMaker AI の機能
信頼された ID の伝播は、以下の Studio 機能で機能します。
+ [Amazon SageMaker Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-updated-launch.html) プライベートスペース (JupyterLab と Code Editor、Code-OSS ベース、Visual Studio Code - Open Source)
**注記**
信頼された ID の伝播を有効にして Studio を起動すると、実行ロールのアクセス許可に加えて、アイデンティティコンテキストも使用されます。ただし、インスタンスのセットアップ中の以下のプロセスでは、実行ロールのアクセス許可のみが使用され、アイデンティティコンテキストは使用しません。ライフサイクル設定、Bring-Your-Own-Image (BYOI)、ユーザーログ転送用の CloudWatch エージェント。
[リモートアクセス](https://docs.aws.amazon.com/sagemaker/latest/dg/remote-access.html)は、現時点では信頼された ID の伝播ではサポートされていません。
Studio ノートブック内でロールの継承オペレーションを使用する場合、引き受けたロールは信頼できる ID 伝達コンテキストを伝達しません。元の実行ロールのみが ID コンテキストを維持します。
+ [SageMaker のトレーニング](https://docs.aws.amazon.com/sagemaker/latest/dg/how-it-works-training.html)
+ [SageMaker の処理](https://docs.aws.amazon.com/sagemaker/latest/dg/processing-job.html)
+ [SageMaker AI リアルタイムホスティング](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints-options.html)
+ [SageMaker Pipelines](https://docs.aws.amazon.com/sagemaker/latest/dg/pipelines-overview.html)
+ [SageMaker のリアルタイム推論](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints.html)
+ [SageMaker の非同期推論](https://docs.aws.amazon.com/sagemaker/latest/dg/async-inference.html)
+ [マネージド MLflow](https://docs.aws.amazon.com/sagemaker/latest/dg/mlflow.html)
## 互換性のある AWS サービス
Amazon SageMaker Studio の信頼された ID の伝播は、信頼された ID の伝播が有効になっており、互換性のある AWS サービスと統合されます。信頼された ID の伝播を有効にする方法の例を含む、包括的なリストについては、「[ユースケース](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-integrations.html)」を参照してください。信頼された ID の伝播と互換性があるサービスは、以下のとおりです。
+ [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/workgroups-identity-center.html)
+ [EC2 での Amazon EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-idc-start.html)
+ [EMR Serverless](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-service-trusted-prop.html)
+ [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/identity-center-integration.html)
+ [Amazon Redshift Data API](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-trusted-identity-propagation.html)
+ Amazon S3 ([Amazon S3 Access Grants 経由](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html))
+ [AWS Glue 接続](https://docs.aws.amazon.com/glue/latest/dg/security-trusted-identity-propagation.html)
SageMaker AI で信頼できる ID の伝播が有効になっている場合、信頼できる ID の伝播が有効になっている他の各 AWS サービスが接続されます。接続されると、これらのサービスはユーザーのアイデンティティコンテキストを認識し、アクセスコントロールと監査に使用します。
## サポートされる AWS リージョン
Studio は、[IAM アイデンティティセンターがサポートされ](https://docs.aws.amazon.com/singlesignon/latest/userguide/regions.html)、IAM アイデンティティセンター認証を使用する Studio がサポートされている場合に、信頼できる ID の伝播をサポートします。Studio は、以下において信頼できる ID の伝播をサポートしています AWS リージョン。
+ af-south-1
+ ap-east-1
+ ap-northeast-1
+ ap-northeast-2
+ ap-northeast-3
+ ap-south-1
+ ap-southeast-1
+ ap-southeast-2
+ ap-southeast-3
+ ca-central-1
+ eu-central-1
+ eu-central-2
+ eu-north-1
+ eu-south-1
+ eu-west-1
+ eu-west-2
+ eu-west-3
+ il-central-1
+ me-south-1
+ sa-east-1
+ us–east–1
+ us-east-2
+ us-west-1
+ us-west-2
# Studio 向けの信頼された ID の伝播の設定
Amazon SageMaker Studio の信頼された ID の伝播を設定するには、Amazon SageMaker AI ドメインで IAM アイデンティティセンター認証方法が設定されている必要があります。このセクションでは、Studio ユーザー向けに信頼された ID の伝播を有効にして設定するために必要な前提条件と手順について説明します。
**Topics**
+ [
## 前提条件
](#trustedidentitypropagation-setup-prerequisites)
+ [
## Amazon SageMaker AI ドメインの信頼できる ID 伝達を有効にする
](#trustedidentitypropagation-setup-enable)
+ [
## SageMaker AI 実行ロールを設定する
](#trustedidentitypropagation-setup-permissions)
## 前提条件
SageMaker AI 向けに信頼された ID の伝播を設定する前に、以下の手順を使用して、IAM アイデンティティセンターを設定します。
**注記**
IAM アイデンティティセンターとドメインが同じリージョンに配置されていることを確認します。
+ [IAM アイデンティティセンターの信頼された ID の伝播の前提条件](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html#trustedidentitypropagation-prerequisites)
+ [IAM アイデンティティセンターの設定](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)
+ [アイデンティティセンターディレクトリにユーザーを追加する](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html)
## Amazon SageMaker AI ドメインの信頼できる ID 伝達を有効にする
**重要**
信頼された ID の伝播を有効にできるのは、 AWS IAM アイデンティティセンター の認証方法が設定されたドメインに対してのみです。
IAM アイデンティティセンターと Amazon SageMaker AI ドメインは、同じ AWS リージョンに配置されている必要があります。
新規または既存のドメインで信頼された ID の伝播を有効にする方法については、次のいずれかのオプションを参照してください。
------
#### [ New domain - console ]
**SageMaker AI コンソールを使用して新しいドメインの信頼できる ID 伝達を有効にする**
1. [Amazon SageMaker AI コンソール](https://console.aws.amazon.com/sagemaker)を開きます。
1. **[ドメイン]**に移動します。
1. [カスタムドメインを作成します](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-custom.html)。ドメインには、**AWS IAM アイデンティティセンター**認証方法が設定済みである必要があります。
1. **[信頼された ID の伝播]** セクションで、**[このドメインのすべてのユーザーに対して信頼された ID の伝播を有効にする]** をオンにします。
1. 作成プロセスを完了します。
------
#### [ Existing domain - console ]
**SageMaker AI コンソールを使用して既存のドメインの信頼できる ID 伝達を有効にする**
**注記**
信頼された ID の伝播が既存のドメインに対して有効になった後に正常に機能するには、ユーザーは既存の IAM Identity Center セッションを再起動する必要があります。これを行うには、次のいずれかを実行します。
ユーザーはログアウトし、既存の IAM Identity Center セッションに再度ログインする必要があります。
管理者は、[ワークフォースユーザーのアクティブなセッションを終了できます](https://docs.aws.amazon.com/singlesignon/latest/userguide/end-active-sessions.html)。
1. [Amazon SageMaker AI コンソール](https://console.aws.amazon.com/sagemaker)を開きます。
1. **[ドメイン]**に移動します。
1. 既存のドメインを選択します。ドメインには、**AWS IAM アイデンティティセンター**認証方法が設定済みである必要があります。
1. **[ドメインの設定]** タブで、**[認証と許可]** セクションの **[編集]** をクリックします。
1. **[このドメインのすべてのユーザーに対して信頼された ID の伝播を有効にする]** をオンにします。
1. ドメインの設定を完了します。
------
#### [ Existing domain - AWS CLI ]
を使用して既存のドメインの信頼できる ID 伝達を有効にする AWS CLI
**注記**
信頼された ID の伝播が既存のドメインに対して有効になった後に正常に機能するには、ユーザーは既存の IAM Identity Center セッションを再起動する必要があります。これを行うには、次のいずれかを実行します。
ユーザーはログアウトし、既存の IAM Identity Center セッションに再度ログインする必要があります。
管理者は、[ワークフォースユーザーのアクティブなセッションを終了できます](https://docs.aws.amazon.com/singlesignon/latest/userguide/end-active-sessions.html)。
```
aws sagemaker update-domain \
--region $REGION \
--domain-id $DOMAIN_ID \
--domain-settings "TrustedIdentityPropagationSettings={Status=ENABLED}"
```
+ `DOMAIN_ID` は、Amazon SageMaker AI のドメイン ID です。詳細については、「[ドメインを表示する](https://docs.aws.amazon.com/sagemaker/latest/dg/domain-view.html)」を参照してください。
+ `REGION` は、Amazon SageMaker AI ドメイン AWS リージョン の です。これは、 AWS コンソールページの右上にあります。
------
## SageMaker AI 実行ロールを設定する
Studio ユーザー向けに信頼された ID の伝播を有効にするには、すべての信頼された ID の伝播ロールに、次のコンテキストアクセス許可を設定する必要があります。すべてのロールの信頼ポリシーを更新し、`sts:AssumeRole` アクションと `sts:SetContext` アクションを追加します。[ロール信頼ポリシーを更新する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html)際は、以下のポリシーを使用します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
# CloudTrail を使用したモニタリングと監査
信頼できる ID 伝達を有効にすると、 AWS CloudTrail ログには IAM ロールだけでなく、アクションを実行した特定のユーザーの ID 情報が含まれます。これにより、コンプライアンスとセキュリティのための監査機能が強化されます。
CloudTrail ログでアイデンティティ情報を表示するには:
+ [CloudTrail](https://console.aws.amazon.com/cloudtrail) コンソールを開きます。
+ 左側のナビゲーションペインから、**[イベント履歴]** を選択します。
+ [SageMaker AI および関連サービス] からイベントを選択します。
+ **[イベントレコード]** で `onBehalfOf` キーを探します。これには、特定の IAM アイデンティティセンターユーザーにマッピングできる `userId` キーおよびその他のユーザー識別情報が含まれます。
詳細については、「[IAM アイデンティティセンター向けの CloudTrail ユースケース](https://docs.aws.amazon.com/singlesignon/latest/userguide/sso-cloudtrail-use-cases.html)」を参照してください。
# ユーザーバックグラウンドセッション
ユーザーバックグラウンドセッションは、ユーザーがアクティブでなくなった場合でも続行されます。これにより、ユーザーがログオフした後でも継続できる長時間実行ジョブが可能になります。これは、SageMaker AI の信頼された ID の伝播を介して有効にできます。次のページでは、ユーザーバックグラウンドセッションの設定オプションと動作について説明します。
**注記**
信頼された ID の伝播が有効になっていても、既存のアクティブなユーザーセッションは影響を受けません。デフォルトの期間は、新しいユーザーセッションまたは再起動されたセッションにのみ適用されます。
ユーザーバックグラウンドセッションは、長時間実行される SageMaker AI ワークフローまたは永続状態のジョブに適用されます。これには、実行ステータスを維持する、または継続的なモニタリングを必要とする、SageMaker AI リソースが含まれますが、これらに限定されません。例えば、SageMaker Training、Processing、Pipelines の実行ジョブなどに適用されます。
**Topics**
+ [
## デフォルトのユーザーバックグラウンドセッションを設定する
](#configure-user-background-sessions)
+ [
## デフォルトのユーザーバックグラウンドセッション期間
](#default-user-background-session-duration)
+ [
## Studio で信頼された ID の伝播を無効にすることの影響
](#user-background-session-impact-disable-trustedidentitypropagation-studio)
+ [
## IAM アイデンティティセンターコンソールでユーザーバックグラウンドセッションを無効にした場合の影響
](#user-background-session-impact-disable-trustedidentitypropagation-identity-center)
+ [
## ランタイムの考慮事項
](#user-background-session-runtime-considerations)
## デフォルトのユーザーバックグラウンドセッションを設定する
Amazon SageMaker Studio の信頼された ID の伝播を有効にすると、[IAM アイデンティティセンターのユーザーバックグラウンドセッション](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html)を介してデフォルトの期間制限を設定できます。
## デフォルトのユーザーバックグラウンドセッション期間
デフォルトでは、すべてのユーザーバックグラウンドセッションの期間制限は 7 日です。管理者は、[IAM アイデンティティセンターコンソールでこの期間を変更](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html)できます。この設定は IAM アイデンティティセンターインスタンスレベルで適用され、該当インスタンス内でサポートされているすべての IAM アイデンティティセンターアプリケーションと Studio ドメインに影響します。
信頼された ID の伝播が有効になっている場合、SageMaker AI コンソールの管理者には、以下の情報を含むバナーが表示されます。
+ ユーザーバックグラウンドセッションの期間の制限
+ 管理者がこの設定を変更できる IAM アイデンティティセンターコンソールへのリンク
+ 有効期間は、15 分から 90 日までの任意の値に設定できます。
ユーザーバックグラウンドセッションの有効期限が切れると、エラーメッセージが表示されます。この期間は、IAM アイデンティティセンターコンソールへのリンクを使用して更新できます。
## Studio で信頼された ID の伝播を無効にすることの影響
管理者が信頼された ID の伝播を有効にした後、SageMaker AI コンソールで無効にした場合:
+ ユーザーバックグラウンドセッションが有効になっている場合、既存のジョブは中断することなく引き続き実行されます。
+ ユーザーバックグラウンドセッションが無効になっている場合、長時間実行される SageMaker AI ワークフローまたは永続的な状態を持つジョブは、インタラクティブセッションを使用するように切り替わります。これには、実行ステータスを維持する、または継続的なモニタリングを必要とする、SageMaker AI リソースが含まれますが、これらに限定されません。例えば、Amazon SageMaker のトレーニングジョブや処理ジョブなどがあります。
+ ユーザーは期限切れのジョブをチェックポイントから再起動できます。
+ 新しいジョブは IAM ロール認証情報で実行され、アイデンティティコンテキストは伝播されません。
## IAM アイデンティティセンターコンソールでユーザーバックグラウンドセッションを無効にした場合の影響
IAM アイデンティティセンターインスタンスでユーザーバックグラウンドセッション**が無効**になっている場合、SageMaker AI ジョブはユーザーインタラクティブセッションを使用します。インタラクティブセッションを使用していると、以下の場合、SageMaker AI ジョブは 15 分以内に失敗します。
+ ユーザーがログアウトした場合。
+ 管理者がインタラクティブセッションを取り消した場合。
IAM アイデンティティセンターインスタンスでユーザーバックグラウンドセッション**が有効**になっている場合、SageMaker AI ジョブはユーザーバックグラウンドセッションを使用します。インタラクティブセッションを使用していると、以下の場合、SageMaker AI ジョブは 15 分以内に失敗します。
+ ユーザーバックグラウンドセッションの有効期限が切れた場合。
+ 管理者がユーザーバックグラウンドセッションを手動で取り消した場合
SageMaker トレーニングジョブの動作例は、以下のとおりです。管理者が IAM Identity Center コンソールで信頼された ID の伝播を有効にしており、[ユーザーバックグラウンドセッション](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html)を無効にした場合:
+ ユーザーがログインしたままの場合、バックグラウンドセッションが無効になっている間に作成されたトレーニングジョブは、インタラクティブセッションにフォールバックします。
+ ユーザーがログオフすると、セッションは期限切れになり、インタラクティブセッションに依存するトレーニングジョブは失敗します。
+ ユーザーは、トレーニングジョブを最後のチェックポイントから再開できます。セッション期間は、IAM アイデンティティセンターコンソールのインタラクティブセッション期間に設定されている事項によって決まります。
+ ユーザーがジョブの開始**後**にバックグラウンドセッションを無効にした場合、ジョブは既存のバックグラウンドセッションを引き続き使用します。つまり、SageMaker AI は、新しいバックグラウンドセッションを作成しません。
バックグラウンドセッションが IAM アイデンティティセンターのインスタンスレベルで有効になっているものの、[IAM アイデンティティセンター API](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html) を使用して Studio アプリケーションに対してのみ無効になっている場合も、同じ動作が適用されます。
## ランタイムの考慮事項
管理者が長時間実行されるトレーニングジョブまたは処理ジョブの `MaxRuntimeInSeconds` をユーザーのバックグラウンドセッション期間よりも短い値に設定した場合、SageMaker AI は `MaxRuntimeInSeconds` またはユーザーのバックグラウンドセッション期間のいずれか短い方の時間のみジョブを実行します。`MaxRuntimeInSeconds` の詳細については、「[CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition)」を参照してください。ランタイムの設定方法については、「[IAM アイデンティティセンターでのユーザーバックグラウンドセッション](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html)」を参照してください。
# 信頼できる ID 伝達を有効にして他の AWS サービスに接続する方法
Amazon SageMaker AI ドメインで信頼できる ID の伝播が有効になっている場合、ドメインユーザーは他の信頼できる ID の伝播が有効な AWS サービスに接続できます。信頼された ID の伝播を有効にすると、アイデンティティコンテキストが互換性のあるサービスに自動的に伝播されるため、機械学習ワークフロー全体にわたるきめ細かなアクセスコントロールが強化されます。この統合により、複雑な IAM ロールの切り替えが不要になり、 AWS サービス間で統一された ID エクスペリエンスが提供されます。以下のページでは、信頼できる ID の伝播が有効になっている場合に Amazon SageMaker Studio を他の AWS サービスに接続する方法について説明します。
**Topics**
+ [
# 信頼された ID の伝播を有効にした Amazon S3 Access Grants に Studio JupyterLab ノートブックを接続する
](trustedidentitypropagation-s3-access-grants.md)
+ [
# 信頼された ID の伝播を有効にした Amazon EMR に Studio JupyterLab ノートブックを接続する
](trustedidentitypropagation-emr-ec2.md)
+ [
# 信頼された ID の伝播を有効にして Studio JupyterLab ノートブックを EMR Serverless に接続する
](trustedidentitypropagation-emr-serverless.md)
+ [
# 信頼された ID の伝播を有効にして Studio JupyterLab ノートブックを Redshift Data API に接続する
](trustedidentitypropagation-redshift-data-apis.md)
+ [
# 信頼された ID の伝播を有効にした Lake Formation と Athena に Studio JupyterLab ノートブックを接続する
](trustedidentitypropagation-lake-formation-athena.md)
# 信頼された ID の伝播を有効にした Amazon S3 Access Grants に Studio JupyterLab ノートブックを接続する
[Amazon S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) を使用すると、Amazon S3 のロケーションに対して、アイデンティティベースのきめ細かなアクセスコントロールを柔軟に付与できます。これにより、Amazon S3 バケットへのアクセス権が企業のユーザーとグループに直接付与されます。以下のページでは、SageMaker AI の信頼された ID の伝播を有効にした Amazon S3 Access Grants の使用方法に関する情報と手順を説明します。
## 前提条件
信頼された ID の伝播を有効にして、Studio を Lake Formation と Athena に接続するには、次の前提条件を満たしていることを確認してください。
+ [Studio 向けの信頼された ID の伝播の設定](trustedidentitypropagation-setup.md)
+ 「[Amazon S3 Access Grants の開始方法](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html)」に従って、バケットの Amazon S3 Access Grants を設定します。詳細については、「[Amazon S3 Access Grants によるデータアクセスのスケーリング](https://aws.amazon.com/blogs/storage/scaling-data-access-with-amazon-s3-access-grants/)」を参照してください。
**注記**
標準の Amazon S3 API は、Amazon S3 Access Grants とは、自動的には連携しません。Amazon S3 Access Grants API を明示的に使用する必要があります。詳細については、「[Amazon S3 Access Grants でのアクセス管理](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html)」を参照してください。
**Topics**
+ [
## 前提条件
](#s3-access-grants-prerequisites)
+ [
# Studio JupyterLab ノートブックを Amazon S3 Access Grants に接続する
](s3-access-grants-setup.md)
+ [
# Studio JupyterLab ノートブックをトレーニングジョブと処理ジョブで Amazon S3 アクセス許可に接続する
](trustedidentitypropagation-s3-access-grants-jobs.md)
# Studio JupyterLab ノートブックを Amazon S3 Access Grants に接続する
次の情報を使用して、Studio JupyterLab ノートブックで Amazon S3 アクセス許可を付与します。
Amazon S3 Access Grants を設定したら、ドメインまたはユーザーの[実行ロール](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role)に以下の[アクセス許可を追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)します。
+ `us-east-1` は、 AWS リージョンです。
+ `111122223333` は、 AWS アカウント ID です。
+ `S3-ACCESS-GRANT-ROLE` は、Amazon S3 Access Grant ロールです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDataAccessAPI",
"Effect": "Allow",
"Action": [
"s3:GetDataAccess"
],
"Resource": [
"arn:aws:s3:us-east-1:111122223333:access-grants/default"
]
},
{
"Sid": "RequiredForTIP",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
}
]
}
```
------
Amazon S3 Access Grants ロールの信頼ポリシーで、`sts:SetContext` アクションと `sts:AssumeRole` アクションが許可されていることを確認します。[ロールの信頼ポリシーを更新する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html)場合のポリシーの例は、次のとおりです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"access-grants.s3.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "arn:aws:s3:us-east-1:111122223333:access-grants/default"
}
}
}
]
}
```
------
## Amazon S3 Access Grants を使用して Amazon S3 を呼び出す
以下は、Amazon S3 Access Grants を使用して、Amazon S3 を呼び出す方法を説明している Python スクリプトの例です。これは、SageMaker AI で信頼された ID の伝播の設定が正常に完了していることを前提としています。
```
import boto3
from botocore.config import Config
def get_access_grant_credentials(account_id: str, target: str,
permission: str = 'READ'):
s3control = boto3.client('s3control')
response = s3control.get_data_access(
AccountId=account_id,
Target=target,
Permission=permission
)
return response['Credentials']
def create_s3_client_from_credentials(credentials) -> boto3.client:
return boto3.client(
's3',
aws_access_key_id=credentials['AccessKeyId'],
aws_secret_access_key=credentials['SecretAccessKey'],
aws_session_token=credentials['SessionToken']
)
# Create client
credentials = get_access_grant_credentials('111122223333',
"s3://tip-enabled-bucket/tip-enabled-path/")
s3 = create_s3_client_from_credentials(credentials)
s3.list_objects(Bucket="tip-enabled-bucket", Prefix="tip-enabled-path/")
```
Amazon S3 アクセス許可が有効になっていない Amazon S3 バケットへのパスを使用すると、呼び出しは失敗します。
その他のプログラミング言語の詳細については、「[Amazon S3 Access Grants でのアクセス管理](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html)」を参照してください。
# Studio JupyterLab ノートブックをトレーニングジョブと処理ジョブで Amazon S3 アクセス許可に接続する
次の情報を使用して、Amazon SageMaker トレーニングジョブと処理ジョブのデータにアクセスするための Amazon S3 Access Grants を付与します。
信頼された ID の伝播が有効になっているユーザーが、Amazon S3 データにアクセスする必要がある SageMaker トレーニングジョブまたは処理ジョブを起動すると、以下のとおりになります。
+ SageMaker AI は、ユーザーのアイデンティティに基づいて一時的な認証情報を取得するために、Amazon S3 Access Grants を呼び出します。
+ 成功すると、これらの一時的な認証情報を使用して Amazon S3 データにアクセスします。
+ 失敗した場合、SageMaker AI は IAM ロールの認証情報を使用します。
**注記**
すべてのアクセス許可が Amazon S3 Access Grants を介して付与されるようにするには、実行ロールから関連する Amazon S3 アクセス許可を削除し、対応する [Amazon S3 Access Grants](https://docs.aws.amazon.com/singlesignon/latest/userguide/tip-tutorial-s3.html#tip-tutorial-s3-create-grant) にアタッチする必要があります。
**Topics**
+ [
## 考慮事項
](#s3-access-grants-jobs-considerations)
+ [
## ノートブックをトレーニングジョブと処理ジョブで Amazon S3 Access Grants に設定する
](#s3-access-grants-jobs-setup)
## 考慮事項
Amazon S3 Access Grants は、SageMaker Training と Processing の両方で、Amazon S3 入力用の[パイプモード](https://docs.aws.amazon.com/sagemaker/latest/dg/augmented-manifest-stream.html)では使用できません。
信頼された ID の伝播が有効になっている場合、次の機能を使用して SageMaker トレーニングジョブを起動することはできません。
+ リモートデバッグ
+ デバッガー
+ プロファイラー
信頼された ID の伝播が有効になっている場合、次の機能を使用して処理ジョブを起動することはできません。
+ DatasetDefinition
## ノートブックをトレーニングジョブと処理ジョブで Amazon S3 Access Grants に設定する
Amazon S3 Access Grants を設定したら、ドメインまたはユーザーの[実行ロール](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role)に以下の[アクセス許可を追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)します。
+ `us-east-1` は、 AWS リージョンです。
+ `111122223333` は、 AWS アカウント ID です。
+ `S3-ACCESS-GRANT-ROLE` は、Amazon S3 Access Grant ロールです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDataAccessAPI",
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": [
"arn:aws:s3:us-east-1:111122223333:access-grants/default"
]
},
{
"Sid": "RequiredForIdentificationPropagation",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
}
]
}
```
------
# 信頼された ID の伝播を有効にした Amazon EMR に Studio JupyterLab ノートブックを接続する
Amazon SageMaker Studio JupyterLab ノートブックを Amazon EMR クラスターに接続すると、Amazon EMR の分散コンピューティング能力を大規模なデータ処理および分析ワークロードに活用できます。信頼された ID の伝播を有効にすると、アイデンティティコンテキストが Amazon EMR に伝播され、きめ細かなアクセスコントロールと包括的な監査証跡が可能になります。次のページでは、Studio ノートブックを Amazon EMR クラスターに接続する方法について説明します。設定が完了すると、Studio ノートブックで `Connect to Cluster` オプションを使用できるようになります。
信頼された ID の伝播を有効にして Studio を Amazon EMR に接続するには、以下の設定が完了していることを確認してください。
+ [Studio 向けの信頼された ID の伝播の設定](trustedidentitypropagation-setup.md)
+ [Amazon EMR AWS IAM アイデンティティセンター の統合の開始方法](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-idc-start.html)
+ [Studio と Amazon EMR クラスター間の通信を有効にする](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-cluster.html)
**Amazon EMR クラスターに接続するAmazon EMR クラスターに接続する**
JupyterLab ノートブックを Amazon EMR に接続する方法のオプションの完全なリストについては、「[Amazon EMR クラスターに接続する](https://docs.aws.amazon.com/sagemaker/latest/dg/connect-emr-clusters.html)」を参照してください。
# 信頼された ID の伝播を有効にして Studio JupyterLab ノートブックを EMR Serverless に接続する
Amazon EMR Serverless は、クラスターを管理する必要なく Apache Spark および Apache Hive アプリケーションを実行するためのサーバーレスオプションを提供します。信頼された ID の伝播と統合すると、EMR Serverless はアクセスコントロールと監査のためにアイデンティティコンテキストを維持しながら、コンピューティングリソースを自動的にスケーリングします。このアプローチにより、クラスター管理の運用オーバーヘッドを排除しながら、アイデンティティベースのアクセスコントロールによるセキュリティ上の利点も維持されます。次のセクションでは、信頼された ID の伝播が有効になっている Studio を EMR Serverless に接続する方法について説明します。
信頼された ID の伝播を有効にした Studio を Amazon EMR Serverless に接続するには、次の設定が完了していることを確認してください。
+ [Studio 向けの信頼された ID の伝播の設定](trustedidentitypropagation-setup.md)
+ [EMR Serverless での信頼された ID の伝播](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-service-trusted-prop.html)
+ [Studio と EMR Serverless 間の通信を有効にする](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-serverless.html)
**EMR Serverless アプリケーションに接続する**
JupyterLab ノートブックを EMR Serverless に接続する方法のオプションの完全なリストについては、「[EMR Serverless アプリケーションに接続する](https://docs.aws.amazon.com/sagemaker/latest/dg/connect-emr-serverless-application.html)」を参照してください。
# 信頼された ID の伝播を有効にして Studio JupyterLab ノートブックを Redshift Data API に接続する
Amazon Redshift Data API を使用すると、永続的な接続を管理する必要なく、プログラムで Amazon Redshift クラスターを操作できます。信頼された ID の伝播と組み合わせることで、Redshift Data API はデータウェアハウスへの安全なアイデンティティベースのアクセスを提供し、ユーザーアクティビティの完全な監査証跡を維持しながら、SQL クエリを実行して結果を取得できます。この統合は、Redshift に保存されている構造化データへのアクセスを必要とするデータサイエンスワークフローに特に役立ちます。次のページでは、信頼された ID の伝播を Amazon SageMaker Studio と Redshift Data API に接続する方法に関する情報と手順を説明します。
信頼された ID の伝播を有効にして Studio を Redshift Data API に接続するには、以下の設定が完了していることを確認してください。
+ [Studio 向けの信頼された ID の伝播の設定](trustedidentitypropagation-setup.md)
+ [信頼された ID の伝播で Redshift Data API を使用する](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-trusted-identity-propagation.html)
+ 実行ロールに Redshift Data API に関連するアクセス許可があることを確認します。詳細については、「[アクセスの認可](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-access.html)」を参照してください。
+ [Amazon Redshift と外部 ID プロバイダーのユーザー AWS Lake Formation 向けのアクセス管理を簡素化する](https://aws.amazon.com/blogs/big-data/simplify-access-management-with-amazon-redshift-and-aws-lake-formation-for-users-in-an-external-identity-provider/)
# 信頼された ID の伝播を有効にした Lake Formation と Athena に Studio JupyterLab ノートブックを接続する
AWS Lake Formation と Amazon Athena は連携して、きめ細かなアクセスコントロールとサーバーレスクエリ機能を備えた包括的なデータレイクソリューションを提供します。Lake Formation は、データレイクのアクセス許可管理を一元化し、Athena はインタラクティブなクエリサービスを提供します。信頼された ID の伝播と統合すると、データサイエンティストは表示が許可されているデータにのみアクセスでき、すべてのクエリとデータアクセスがコンプライアンスと監査の目的で自動的に記録されます。次のページでは、信頼された ID の伝播を使用する Amazon SageMaker Studio を Lake Formation および Athena に接続する方法に関する情報と手順を説明します。
信頼された ID の伝播を有効にして Studio を Lake Formation と Athenaに接続するには、以下の設定が完了していることを確認してください。
+ [Studio 向けの信頼された ID の伝播の設定](trustedidentitypropagation-setup.md)
+ [Lake Formation ロールを作成する](https://docs.aws.amazon.com/lake-formation/latest/dg/prerequisites-identity-center.html)
+ [Lake Formation を IAM アイデンティティセンターに接続する](https://docs.aws.amazon.com/lake-formation/latest/dg/connect-lf-identity-center.html)
+ Lake Formation リソースの作成:
+ [データベース](https://docs.aws.amazon.com/lake-formation/latest/dg/creating-database.html)
+ [テーブル](https://docs.aws.amazon.com/lake-formation/latest/dg/creating-tables.html)
+ [Athena ワークグループを作成する](https://docs.aws.amazon.com/athena/latest/ug/creating-workgroups.html)
+ エンジン用の **AthenaSQL** を選択する
+ 認証方法として **IAM アイデンティティセンター**を選択する
+ サービスロールを作成する
+ Amazon S3 Access Grants を使用して、IAM アイデンティティセンターユーザーがクエリ結果の場所にアクセスできることを確認する
+ [名前付きリソース方式を使用したデータベースのアクセス許可の付与](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-database-permissions.html)