翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# クロスアカウントのリネージを追跡する
Amazon SageMaker AI は、別の AWS アカウントからの系統エンティティの追跡をサポートしています。他の AWS アカウントは自身のリネージエンティティを共有でき、これらのリネージエンティティには直接 API コールまたは SageMaker AI リネージクエリを介してアクセスできます。
リネージリソースを安全に共有できるように、SageMaker AI では [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) が使用されます。リソースは [AWS RAM コンソール](https://console.aws.amazon.com/ram/home)から共有できます。
## クロスアカウントの系統追跡を設定する
Amazon SageMaker AI では、リネージグループを使用して[系統追跡エンティティ](lineage-tracking-entities.md)をグループ化して共有できます。SageMaker AI は、アカウントごとに 1 つのデフォルトのリネージグループのみをサポートします。アカウントにリネージエンティティが作成される都度、SageMaker AI はデフォルトのリネージグループを作成します。アカウントが所有するそれぞれの系統エンティティは、このデフォルトの系統グループに割り当てられます。系統エンティティを別のアカウントと共有する場合は、そのアカウントとこのデフォルトの系統グループを共有します。
**注記**
系統グループ内のすべての系統追跡エンティティを共有できるほか、すべて共有しないようにも設定できます。
AWS Resource Access Manager コンソールを使用して系統エンティティのリソース共有を作成します。詳しくは、AWS Resource Access Manager ユーザーガイドの「[AWS リソースを共有する](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html)」を参照してください。**
**注記**
リソース共有の作成後、リソースとプリンシパルの関連付けが完了するまでに数分かかることがあります。関連付けが設定されると、リソース共有に参加するための招待が共有アカウントに届きます。共有リソースにアクセスするには、共有アカウントが招待を受理する必要があります。でリソース共有の招待を受け入れる方法の詳細については AWS RAM、*AWS 「 Resource Access Manager* [ユーザーガイド」の「共有 AWS リソース](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-shared.html)の使用」を参照してください。
### クロスアカウント系統追跡のリソースポリシー
Amazon SageMaker AI でサポートされるリソースポリシーは、単一のタイプのみです。SageMaker AI リソースポリシーでは、以下のすべてのオペレーションを許可する必要があります。
```
"sagemaker:DescribeAction"
"sagemaker:DescribeArtifact"
"sagemaker:DescribeContext"
"sagemaker:DescribeTrialComponent"
"sagemaker:AddAssociation"
"sagemaker:DeleteAssociation"
"sagemaker:QueryLineage"
```
**Example 以下は、アカウント系統グループのリソース共有を作成 AWS Resource Access Manager するために を使用して作成された SageMaker AI リソースポリシーです。**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FullLineageAccess",
"Effect": "Allow",
"Principal": {
"AWS": "{{111122223333}}"
},
"Action": [
"sagemaker:DescribeAction",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeContext",
"sagemaker:DescribeTrialComponent",
"sagemaker:AddAssociation",
"sagemaker:DeleteAssociation",
"sagemaker:QueryLineage"
],
"Resource": "arn:aws:sagemaker:{{us-west-2}}:{{111111111111}}:lineage-group/sagemaker-default-lineage-group"
}
]
}
```
## クロスアカウントで系統エンティティを追跡する
クロスアカウントの系統追跡を使用すると、同じ `AddAssociation` API アクションを用いて、異なるアカウントの系統エンティティを関連付けることができます。2 つのリネージエンティティを関連付けると、SageMaker AI は、両方の系統エンティティに `AddAssociation` API アクションを実行するアクセス許可があるかどうかを検証します。その後、SageMaker AI で関連付けが確立されます。アクセス許可がない場合は、SageMaker AI で関連付けが作成*されません*。クロスアカウントの関連付けが確立されると、`QueryLineage` API アクションを通じて、いずれかの系統エンティティにもう一方からアクセスできます。詳細については、「[系統エンティティをクエリする](querying-lineage-entities.md)」を参照してください。
SageMaker AI は、リネージエンティティを自動的に作成するだけでなく、クロスアカウントアクセスがある場合、同じオブジェクトまたはデータを参照するアーティファクトを接続します。あるアカウントのデータが複数のアカウントによるリネージ追跡に使用されている場合、SageMaker AI は各アカウントにアーティファクトを作成し、そのデータを追跡します。クロスアカウントリネージでは、SageMaker AI が新しいアーティファクトを作成する都度、同じデータに対して作成され、ユーザーと共有されている他のアーティファクトがあるかどうかを SageMaker AI は確認します。その後、SageMaker AI は、`AssociationType` を `SameAs` に設定して、新しく作成されたアーティファクトと共有されている各アーティファクトとの関連付けを確立します。そうすると、`[QueryLineage](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_QueryLineage.html)` API アクションを使用することによって、自分のアカウントの系統エンティティから、自分と共有されているが別の AWS アカウントが所有している系統ティティへと通過することができます。詳細については、「[系統エンティティをクエリする](querying-lineage-entities.md)」を参照してください。
**Topics**
+ [別のアカウントから系統リソースにアクセスする](#tracking-lineage-xaccount-accessing-resources)
+ [クロスアカウントの系統エンティティのクエリの承認](#tracking-lineage-xaccount-authorization)
### 別のアカウントから系統リソースにアクセスする
系統を共有するためのクロスアカウントアクセスを設定すると、ARN で以下の SageMaker API アクションを直接呼び出すことによって、別のアカウントの共有系統エンティティを記述できます。
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAction.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAction.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeArtifact.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeArtifact.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeContext.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeContext.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTrialComponent.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTrialComponent.html)
以下の SageMaker API アクションを使用すると、自分と共有されているが別のアカウントが所有している系統エンティティの[関連付け](https://docs.aws.amazon.com/sagemaker/latest/dg/lineage-tracking-entities.html)を管理できます。
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddAssociation.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddAssociation.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteAssociation.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteAssociation.html)
SageMaker AI Lineage API を使ってアカウント間におわたってリネージをクエリする方法を解説したノートブックについては、[sagemaker-lineage-cross-account-with-ram.ipynb](https://github.com/aws/amazon-sagemaker-examples/blob/master/sagemaker-lineage/sagemaker-lineage-cross-account-with-ram.ipynb) を参照してください。
### クロスアカウントの系統エンティティのクエリの承認
Amazon SageMaker AI は、`StartArns` で`QueryLineage` API アクションを実行するアクセス許可があるかどうかを検証する必要があります。これは、`LineageGroup` にアタッチされたリソースポリシーによって適用されます。このアクションの結果には、自分のアカウントが所有しているのか、別のアカウントによって共有されているかにかかわらず、自分がアクセス権を持つすべての系統エンティティが含まれます。詳細については、「[系統エンティティをクエリする](querying-lineage-entities.md)」を参照してください。