翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# PCS AWS の最小アクセス許可
このセクションでは、IAM ID (ユーザー、グループ、またはロール) がサービスを使用するために必要な最小限の IAM アクセス許可について説明します。
**Contents**
+ [API アクションを使用するための最小限のアクセス許可](#security-min-permissions_api)
+ [タグを使用するための最小限のアクセス許可](#security-min-permissions_tagging)
+ [ログをサポートする最小アクセス許可](#security-min-permissions_logging)
+ [キャパシティブロックを使用するための最小限のアクセス許可](#security-min-permissions_capacity-blocks)
+ [サービス管理者の最小アクセス許可](#security-min-permissions_admin-policy)
## API アクションを使用するための最小限のアクセス許可
| API アクション | 最小アクセス許可 | コンソールの追加アクセス許可 |
| --- | --- | --- |
| CreateCluster | ec2:CreateNetworkInterface,
ec2:DescribeVpcs,
ec2:DescribeSubnets,
ec2:DescribeSecurityGroups,
ec2:GetSecurityGroupsForVpc,
iam:CreateServiceLinkedRole,
secretsmanager:CreateSecret,
secretsmanager:TagResource,
secretsmanager:RotateSecret,
pcs:CreateCluster
| |
| ListClusters | pcs:ListClusters
| |
| GetCluster | pcs:GetCluster
| ec2:DescribeSubnets
|
| DeleteCluster | pcs:DeleteCluster
| |
| CreateComputeNodeGroup | ec2:DescribeVpcs,
ec2:DescribeSubnets,
ec2:DescribeSecurityGroups,
ec2:DescribeLaunchTemplates,
ec2:DescribeLaunchTemplateVersions,
ec2:DescribeInstanceTypes,
ec2:DescribeInstanceTypeOfferings,
ec2:RunInstances,
ec2:CreateFleet,
ec2:CreateTags,
iam:PassRole,
iam:GetInstanceProfile,
pcs:CreateComputeNodeGroup
| iam:ListInstanceProfiles,
ec2:DescribeImages,
pcs:GetCluster
|
| ListComputerNodeGroups | pcs:ListComputeNodeGroups
| pcs:GetCluster
|
| GetComputeNodeGroup | pcs:GetComputeNodeGroup
| ec2:DescribeSubnets
|
| UpdateComputeNodeGroup | ec2:DescribeVpcs,
ec2:DescribeSubnets,
ec2:DescribeSecurityGroups,
ec2:DescribeLaunchTemplates,
ec2:DescribeLaunchTemplateVersions,
ec2:DescribeInstanceTypes,
ec2:DescribeInstanceTypeOfferings,
ec2:RunInstances,
ec2:CreateFleet,
ec2:CreateTags,
iam:PassRole,
iam:GetInstanceProfile,
pcs:UpdateComputeNodeGroup
| pcs:GetComputeNodeGroup,
iam:ListInstanceProfiles,
ec2:DescribeImages,
pcs:GetCluster
|
| DeleteComputeNodeGroup | pcs:DeleteComputeNodeGroup
| |
| CreateQueue | pcs:CreateQueue
| pcs:ListComputeNodeGroups,
pcs:GetCluster
|
| ListQueues | pcs:ListQueues
| pcs:GetCluster
|
| GetQueue | pcs:GetQueue
| |
| UpdateQueue | pcs:UpdateQueue
| pcs:ListComputeNodeGroups,
pcs:GetQueue
|
| DeleteQueue | pcs:DeleteQueue
| |
## タグを使用するための最小限のアクセス許可
AWS PCS のリソースでタグを使用するには、次のアクセス許可が必要です。
```
pcs:ListTagsForResource,
pcs:TagResource,
pcs:UntagResource
```
## ログをサポートする最小アクセス許可
AWS PCS は Amazon CloudWatch Logs (CloudWatch Logs) にログデータを送信します。ID に CloudWatch Logs を使用するための最小限のアクセス許可があることを確認する必要があります。詳細については、「Amazon [ CloudWatch Logs ユーザーガイド」の「CloudWatch Logs リソースへのアクセス許可の管理の概要](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html)」を参照してください。 *Amazon CloudWatch *
サービスが CloudWatch Logs にログを送信するために必要なアクセス許可については、「Amazon CloudWatch Logs ユーザーガイド」の[AWS 「サービスからのログ記録の有効化](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-vended-logs-permissions-V2)」を参照してください。 *Amazon CloudWatch *
## キャパシティブロックを使用するための最小限のアクセス許可
Amazon EC2 Capacity Blocks for ML は、短期間のワークロードをサポートするために、特定の日時範囲内で GPU ベースの高速コンピューティングインスタンスを事前に予約するための Amazon EC2 購入オプションです。詳細については、「[PCS での ML での Amazon EC2 AWS キャパシティブロックの使用](capacity-blocks.md)」を参照してください。
コンピューティングノードグループを作成または更新するときに、キャパシティブロックを使用することを選択します。コンピューティングノードグループを作成または更新するために使用する IAM ID には、次のアクセス許可が必要です。
```
ec2:DescribeCapacityReservations,
ec2:DescribeCapacityBlocks,
ec2:DescribeCapacityBlockStatus
```
## サービス管理者の最小アクセス許可
次の IAM ポリシーは、IAM ID (ユーザー、グループ、またはロール) が PCS AWS サービスを設定および管理するために必要な最小限のアクセス許可を指定します。
**注記**
サービスを設定および管理しないユーザーには、これらのアクセス許可は必要ありません。ジョブのみを実行するユーザーは、セキュアシェル (SSH) を使用してクラスターに接続します。 AWS Identity and Access Management (IAM) は SSH の認証または認可を処理しません。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PCSAccess",
"Effect": "Allow",
"Action": [
"pcs:*"
],
"Resource": "*"
},
{
"Sid": "EC2Access",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DescribeImages",
"ec2:GetSecurityGroupsForVpc",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLaunchTemplateVersions",
"ec2:DescribeInstanceTypes",
"ec2:DescribeInstanceTypeOfferings",
"ec2:RunInstances",
"ec2:CreateFleet",
"ec2:CreateTags",
"ec2:DescribeCapacityReservations",
"ec2:DescribeCapacityBlocks",
"ec2:DescribeCapacityBlockStatus"
],
"Resource": "*"
},
{
"Sid": "IamInstanceProfile",
"Effect": "Allow",
"Action": [
"iam:GetInstanceProfile"
],
"Resource": "*"
},
{
"Sid": "IamPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/*/AWSPCS*",
"arn:aws:iam::*:role/AWSPCS*",
"arn:aws:iam::*:role/aws-pcs/*",
"arn:aws:iam::*:role/*/aws-pcs/*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ec2.amazonaws.com"
]
}
}
},
{
"Sid": "SLRAccess",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleFor*",
"arn:aws:iam::*:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleFor*"
],
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"pcs.amazonaws.com",
"spot.amazonaws.com"
]
}
}
},
{
"Sid": "AccessKMSKey",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "SecretManagementAccess",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:TagResource",
"secretsmanager:UpdateSecret",
"secretsmanager:RotateSecret"
],
"Resource": "*"
},
{
"Sid": "ServiceLogsDelivery",
"Effect": "Allow",
"Action": [
"pcs:AllowVendedLogDeliveryForResource",
"logs:PutDeliverySource",
"logs:PutDeliveryDestination",
"logs:CreateDelivery"
],
"Resource": "*"
}
]
}
```