翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# クロスアカウントアクセスを有効にする
アクセス許可は読み取り専用、読み取り/書き込み、管理者です。アクセス許可名、説明、各権限で使用できる特定の API のリストを以下に示します。
+ 読み取り専用権限 (`AWSRAMPermissionSageMakerFeatureGroupReadOnly`): 読み取り権限により、リソースコンシューマーアカウントは共有特徴量グループのレコードを読み取り、詳細とメタデータを表示できます。
+ `DescribeFeatureGroup`: 特徴量グループとその設定に関する詳細を取得します。
+ `DescribeFeatureMetadata`: 特徴量グループ内の特徴量のメタデータを表示します。
+ `BatchGetRecord`: 特徴量グループからレコードのバッチを取得します。
+ `GetRecord`: 特徴量グループからレコードを取得します。
+ 読み取り/書き込み権限 (`AWSRAMPermissionSagemakerFeatureGroupReadWrite`): 読み取り/書き込み権限により、リソースコンシューマーアカウントは、読み取り権限に加えて、共有特徴量グループにレコードを書き込んだり、共有特徴量グループからレコードを削除したりできます。
+ `PutRecord`: 特徴量グループにレコードを書き込みます。
+ `DeleteRecord`: 特徴量グループからレコードを取得します。
+ `AWSRAMPermissionSageMakerFeatureGroupReadOnly` に記載されている API
+ 管理者権限 (`AWSRAMPermissionSagemakerFeatureGroupAdmin`): 管理者権限により、リソースコンシューマーアカウントは、読み取り/書き込み権限に加えて、共有特徴量グループ内の特徴量の説明とパラメータの更新、共有特徴量グループの設定の更新を行うことができます。
+ `DescribeFeatureMetadata`: 特徴量グループ内の特徴量のメタデータを表示します。
+ `UpdateFeatureGroup`: 特徴量グループ設定を更新します。
+ `UpdateFeatureMetadata`: 特徴量グループ内の特徴量の説明とパラメータを更新します。
+ `AWSRAMPermissionSagemakerFeatureGroupReadWrite` に記載されている API
次のトピックでは、オンラインストアとオフラインの特徴量グループを共有する方法を説明します。共有に関してはこの 2 つには違いがあります。
**Topics**
+ [とオンライン特徴量グループを共有する AWS Resource Access Manager](feature-store-cross-account-access-online-store.md)
+ [クロスアカウントのオフラインストアアクセス](feature-store-cross-account-access-offline-store.md)
# とオンライン特徴量グループを共有する AWS Resource Access Manager
AWS Resource Access Manager (AWS RAM) を使用すると、Amazon SageMaker Feature Store オンライン特徴量グループを他の と安全に共有できます AWS アカウント。チームのメンバーは複数のアカウントにまたがる特徴量グループや特徴量を検索してアクセスできるため、データ整合性が向上し、コラボレーションが効率化され、作業の重複が減ります。
リソース所有者アカウントは、 を使用してアクセス許可を付与 AWS アカウント することで、他の個人とリソースを共有できます AWS RAM。リソースコンシューマーアカウントは、リソースが共有 AWS アカウント されている であり、リソース所有者アカウントから付与されたアクセス許可によって制限されます。組織の場合は AWS Organizations、リソースを個人と共有できる 、組織内のすべての AWS アカウントアカウント、または組織単位 (OU) で活用できます。各アカウントにアクセス許可を適用する必要はありません。説明ビデオと AWS RAM 概念と利点の詳細については、 AWS RAM 「 ユーザーガイド」の[「What is AWS Resource Access Manager?](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)」を参照してください。
AWS アカウントごとの API あたりの 1 秒あたりのトランザクション数 (TPS) にはソフト上限があることに注意が必要です。最大 TPS 制限は、リソース所有者アカウント内のリソースの*すべての*トランザクションに適用されるため、リソースコンシューマーアカウントからのトランザクションもこの上限にカウントされます。サービスクォータとクォータの引き上げをリクエストする方法の詳細については、「[AWS サービスクォータ](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)」を参照してください。
このセクションでは、リソース所有者アカウントが特徴量グループを選択し、リソースコンシューマーアカウントにアクセス許可 (読み取り専用、読み取り/書き込み、管理者) を付与する方法と、アクセス許可を持つリソースコンシューマーアカウントがそれらの特徴量グループを使用する方法を説明します。アクセス許可では、リソースコンシューマーアカウントは特徴量グループを検索して検出することはできません。リソースコンシューマーアカウントがリソース所有者アカウントから特徴量グループを検索して検出できるようにするには、リソース所有者アカウントがリソースコンシューマーアカウントに検出許可を付与する必要があります。これにより、リソース所有者アカウント内のすべての特徴量グループがリソースコンシューマアカウントによって検出可能になります。検出許可の付与の詳細については、「[クロスアカウント検出可能性を有効にする](feature-store-cross-account-discoverability.md)」を参照してください。
以下のトピックでは、 AWS RAM コンソールを使用して Feature Store オンラインストアリソースを共有する方法を示します。コンソールまたは AWS Command Line Interface (AWS CLI) AWS を使用して 内でリソースを共有し、アクセス許可を付与する方法については、 AWS RAM [「リソースの共有 AWS](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html)」を参照してください。
**Topics**
+ [特徴量グループエンティティの共有](feature-store-cross-account-access-online-store-share-feature-group.md)
+ [アクセス許可のあるオンラインストアの共有リソースを使用する](feature-store-cross-account-access-online-store-use.md)
# 特徴量グループエンティティの共有
リソース所有者アカウントとして、 AWS Resource Access Manager () でリソース共有を作成することで、Amazon SageMaker Feature Store の特徴量グループリソースタイプを使用して特徴量グループエンティティを共有できますAWS RAM。
「 AWS RAM ユーザーガイド」の[AWS 「リソースの共有](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create)」の手順とともに、次の手順を使用します。
AWS RAM コンソールを使用して特徴量グループリソースタイプを共有する場合は、次の選択を行う必要があります。
1. **リソース共有の詳細の指定**:
+ リソースタイプ: **[SageMaker AI 特徴量グループ]** を選択します。
+ ARN: `arn:aws:sagemaker:us-east-1:111122223333:feature-group/your-feature-group-name` の形式で特徴量グループ ARN を選択します。
`us-east-1` はリソースのリージョン、`111122223333` はリソース所有者のアカウント ID、`your-feature-group-name` は共有している特徴量グループのことです。
+ リソース ID: アクセス許可を付与したい特徴量グループ、`your-feature-group-name` を選択します。
1. **マネージドアクセス許可の関連付け**:
+ マネージドアクセス許可: アクセス許可を選択します。アクセス許可の詳細については、[クロスアカウントアクセスを有効にする](feature-store-cross-account-access.md) を参照してください。
1. **プリンシパルへのアクセス許可の付与**:
+ プリンシパルタイプ (AWS アカウント、組織、組織単位、IAM ロール、または IAM ユーザー) を選択し、適切な ID または ARN を入力します。
1. **確認と作成**:
+ 確認したら、**[リソース共有を作成]** を選択します。
アクセス許可を付与してもリソースコンシューマーアカウントには検出許可が付与されないため、アクセス許可を持つリソースコンシューマーアカウントはそれらの特徴量グループを検索して検出することができません。リソースコンシューマーアカウントがリソース所有者アカウントから特徴量グループを検索して検出できるようにするには、リソース所有者アカウントがリソースコンシューマーアカウントに検出許可を付与する必要があります。これにより、リソース所有者アカウント内のすべての特徴量グループがリソースコンシューマアカウントによって検出可能になります。**検出許可の付与の詳細については、「[クロスアカウント検出可能性を有効にする](feature-store-cross-account-discoverability.md)」を参照してください。
リソースコンシューマーアカウントにアクセス許可しか付与されていない場合でも、特徴量グループのエンティティは AWS RAMに表示できます。のリソースを表示するには AWS RAM、「 AWS RAM ユーザーガイド」の[「共有されているリソースへのアクセス AWS](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared.html)」を参照してください。
リソース共有とプリンシパル、またはリソースコンシューマーアカウントの関連付けが完了するまでに数分かかることがあります。リソース共有とプリンシパルの関連付けが設定されると、指定されたリソースコンシューマーアカウントは、リソース共有への参加の招待を受け取ります。リソースコンシューマーアカウントは、 AWS RAM コンソールで「共有[先: リソース共有](https://console.aws.amazon.com/ram/home#SharedResourceShares)」ページを開いて招待を表示および承諾できます。以下の場合、招待は送信されません。
+ の組織に属 AWS Organizations していて、組織内の共有が有効になっている場合、組織内のプリンシパルは招待なしで共有リソースに自動的にアクセスできます。
+ リソースを所有 AWS アカウント する と共有する場合、そのアカウントのプリンシパルは招待なしで共有リソースに自動的にアクセスします。
でのリソース共有の受け入れと使用の詳細については AWS RAM、「 AWS RAM ユーザーガイド」の[「共有 AWS リソースの使用](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-shared.html)」を参照してください。
## を使用してオンラインストアの機能グループを共有する AWS SDK for Python (Boto3)
AWS SDK for Python (Boto3) AWS RAM APIsを使用してリソース共有を作成できます。次のコードは、リソース所有者アカウント ID `111122223333` が `'test-cross-account-fg'` という名前のリソース共有を作成し、リソースコンシューマーアカウント ID `444455556666` を使用して `'my-feature-group'` という名前の特徴量グループを共有して、アクセス許可 `AWSRAMPermissionSageMakerFeatureGroupReadOnly` を付与する例です。アクセス許可の詳細については、[クロスアカウントアクセスを有効にする](feature-store-cross-account-access.md) を参照してください。Python SDK for AWS RAM APIs を使用するには、フル AWS RAM アクセス管理ポリシーを実行ロールにアタッチする必要があります。詳細については、[「create\$1resource\$1share](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/ram/client/create_resource_share.html) AWS RAM API」を参照してください。
```
import boto3
# Choose feature group name
feature_group_name = 'my-feature-group' # Change to your feature group name
# Share 'my-feature-group' with other account
ram_client = boto3.client("ram")
response = ram_client.create_resource_share(
name='test-cross-account-fg', # Change to your custom resource share name
resourceArns=[
'arn:aws:sagemaker:us-east-1:111122223333:feature-group/' + feature_group_name, # Change 111122223333 to the resource owner account ID
],
principals=[
'444455556666', # Change 444455556666 to the resource consumer account ID
],
permissionArns = ["arn:aws:ram::aws:permission/AWSRAMPermissionSageMakerFeatureGroupReadOnly"]
)
```
プリンシパルはセキュリティシステムのアクターです。リソースベースのポリシーでは、許可されるプリンシパルは IAM ユーザー、IAM ロール、ルートアカウント、または別の AWS のサービスです。
# アクセス許可のあるオンラインストアの共有リソースを使用する
リソース所有者アカウントは、共有リソースの検出許可、読み取り専用、書き込み、または管理者のアクセス許可をリソースコンシューマーアカウントに付与する必要があります。以下のセクションでは、共有リソースへの招待を受け入れる方法を説明し、共有特徴量グループを表示して操作する方法の例を示します。
** AWS RAMを使用して共有リソースへのアクセスの招待を受け入れる**
リソースコンシューマーアカウントは、リソース所有者アカウントからアクセス許可が付与されると、リソース共有への参加の招待を受け取ります。共有リソースへの招待を受け入れるには、 AWS RAM コンソールで[共有: リソース共有](https://console.aws.amazon.com/ram/home#SharedResourceShares)ページを開き、招待を表示して応答します。以下の場合、招待は送信されません。
+ の組織に属 AWS Organizations していて、組織内の共有が有効になっている場合、組織内のプリンシパルは招待なしで共有リソースに自動的にアクセスできます。
+ リソースを所有 AWS アカウント する と共有する場合、そのアカウントのプリンシパルは招待なしで共有リソースに自動的にアクセスします。
でのリソース共有の受け入れと使用の詳細については AWS RAM、「 AWS RAM ユーザーガイド」の[「共有 AWS リソースの使用](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-shared.html)」を参照してください。
## AWS RAM コンソールで共有リソースを表示する
アクセス許可を付与しても、リソースコンシューマーアカウントには検出許可が付与されないため、アクセス許可を持つリソースコンシューマーアカウントはそれらの特徴量グループを検索したり検出したりできません。リソースコンシューマーアカウントがリソース所有者アカウントから特徴量グループを検索して検出できるようにするには、リソース所有者アカウントがリソースコンシューマーアカウントに検出許可を付与する必要があります。これにより、リソース所有者アカウント内のすべての特徴量グループがリソースコンシューマアカウントによって検出可能になります。検出許可の付与の詳細については、「[クロスアカウント検出可能性を有効にする](feature-store-cross-account-discoverability.md)」を参照してください。
AWS RAM コンソールで共有リソースを表示するには、 AWS RAM コンソールで[「共有先: リソース共有](https://console.aws.amazon.com/ram/home#SharedResourceShares)」ページを開きます。
## 共有特徴量グループの読み取り/書き込みアクションの例
リソースコンシューマーアカウントにリソース所有者アカウントから適切な許可が付与されると、Feature Store SDK を使用して共有リソースに対してアクションを実行できます。そのためには、リソース ARN を `FeatureGroupName` として指定します。Feature Group ARN を取得するには、 AWS SDK for Python (Boto3) [https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/sagemaker/client/describe_feature_group.html#describe-feature-group](https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/sagemaker/client/describe_feature_group.html#describe-feature-group)関数を使用するか、コンソール UI を使用します。コンソール UI を使用して特徴量グループの詳細を表示する方法については、「[コンソールから特徴量グループの詳細を表示する](feature-store-use-with-studio.md#feature-store-view-feature-group-detail-studio)」を参照してください。
以下の例では、`PutRecord` と `GetRecord` を共有特徴量グループエンティティとともに使用しています。[https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/firehose/client/put_record.html#put-record](https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/firehose/client/put_record.html#put-record) および の AWS SDK for Python (Boto3) ドキュメントのリクエストとレスポンスの構文を参照してください[https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/sagemaker-featurestore-runtime/client/get_record.html#get-record](https://boto3.amazonaws.com/v1/documentation/api/1.26.98/reference/services/sagemaker-featurestore-runtime/client/get_record.html#get-record)。
```
import boto3
sagemaker_featurestore_runtime = boto3.client('sagemaker-featurestore-runtime')
# Put record into feature group named 'test-fg' within the resource owner account ID 111122223333
featurestore_runtime.put_record(
FeatureGroupName="arn:aws:sagemaker:us-east-1:111122223333:feature-group/test-fg",
Record=[value.to_dict() for value in record] # You will need to define record prior to calling PutRecord
)
```
```
import boto3
sagemaker_featurestore_runtime = boto3.client('sagemaker-featurestore-runtime')
# Choose record identifier
record_identifier_value = str(2990130)
# Get record from feature group named 'test-fg' within the resource owner account ID 111122223333
featurestore_runtime.get_record(
FeatureGroupName="arn:aws:sagemaker:us-east-1:111122223333:feature-group/test-fg",
RecordIdentifierValueAsString=record_identifier_value
)
```
アクセス許可を特徴量グループエンティティに付与する方法については、「[特徴量グループエンティティの共有](feature-store-cross-account-access-online-store-share-feature-group.md)」を参照してください。
# クロスアカウントのオフラインストアアクセス
Amazon SageMaker Feature Store でユーザーは、あるアカウント (アカウント A) に特徴グループを作成し、別のアカウント (アカウント B) の Amazon S3 バケットを使うオフラインストアでその特徴グループを設定できます。これを設定するには、次のセクションのステップに従います。
**Topics**
+ [ステップ 1: アカウント A でオフラインストアへのアクセスロールを設定する](#feature-store-setup-step1)
+ [ステップ 2: アカウント B のオフラインストア Amazon S3 バケットを設定する](#feature-store-setup-step2)
+ [ステップ 3: アカウント A でオフラインストア AWS KMS 暗号化キーを設定する](#feature-store-setup-step3)
+ [ステップ 4: アカウント A で特徴量グループを作成する](#feature-store-setup-step4)
## ステップ 1: アカウント A でオフラインストアへのアクセスロールを設定する
まず、Amazon SageMaker Feature Store 用の、データをオフラインストアに書き込むためのロールを設定します。これを実現する最も簡単な方法は、`AmazonSageMakerFeatureStoreAccess` ポリシーを使って新しいロールを作成する、または、`AmazonSageMakerFeatureStoreAccess` ポリシーがアタッチされた既存のロールを使うことです。このドキュメントでは、このポリシーを `Account-A-Offline-Feature-Store-Role-ARN` と呼びます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
}
]
}
```
------
上のコードスニペットが `AmazonSageMakerFeatureStoreAccess` ポリシーです。ポリシーの `Resource` セクションは、名前に `SageMaker`、`Sagemaker`、または `sagemaker` を含む S3 バケットにデフォルトで絞り込まれます。そのため、使われるオフラインストア Amazon S3 バケットは、この命名規則に従う必要があります。これが当てはまらない場合、またはリソースをさらに絞り込む必要がある場合は、コンソールで Amazon S3 バケットポリシーにこのポリシーをコピーして貼り付け、`Resource` セクションを `arn:aws:s3:::your-offline-store-bucket-name` に変更し、それをロールにアタッチします。
さらに、このロールには AWS KMS アクセス許可がアタッチされている必要があります。カスタマーマネージドキーを使ってオフラインストアに書き込めるようにするには、少なくとも `kms:GenerateDataKey` 許可が必要です。クロスアカウントのシナリオにカスタマーマネージドキーが必要な理由とその設定方法については、ステップ 3 を参照してください。インラインポリシーの例を以下に示します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:*:111122223333:key/*"
}
]
}
```
------
このポリシーの `Resource` セクションは、アカウント A のすべてのキーを対象としています。この範囲をさらに絞り込むには、ステップ 3 でオフラインストアの KMS キーを設定した後、このポリシーに戻り、キー ARN をそれに置き換えます。
## ステップ 2: アカウント B のオフラインストア Amazon S3 バケットを設定する
アカウント B で Amazon S3 バケットを作成します。デフォルトの `AmazonSageMakerFeatureStoreAccess` ポリシーを使っている場合、バケット名には `SageMaker`、`Sagemaker`、または `sagemaker` が含まれている必要があります。バケットポリシーを次の例に示すように編集して、アカウント A にオブジェクトの読み取りと書き込みを許可します。
このドキュメントでは、次のバケットポリシーの例を `Account-B-Offline-Feature-Store-Bucket` と呼びます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3CrossAccountBucketAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetBucketAcl"
],
"Principal": {
"AWS": [
"Account-A-Offline-Feature-Store-Role-ARN"
]
},
"Resource": [
"arn:aws:s3:::offline-store-bucket-name/*",
"arn:aws:s3:::offline-store-bucket-name"
]
}
]
}
```
------
上のポリシーでは、プリンシパルは `Account-A-Offline-Feature-Store-Role-ARN` です。これは、アカウント A で作成され (ステップ 1)、Amazon SageMaker Feature Store に、オフラインストアに書き込むために付与されるロールです。`Principal` には複数の ARN ロールを指定できます。
## ステップ 3: アカウント A でオフラインストア AWS KMS 暗号化キーを設定する
Amazon SageMaker Feature Store では、オフラインストア内の Amazon S3 オブジェクトに対するサーバー側の暗号化が常に有効になるようになっています。クロスアカウントのユースケースでは、オフラインストアに書き込むことができるユーザー (この場合、アカウント A の`Account-A-Offline-Feature-Store-Role-ARN`) とオフラインストアから読み取ることができるユーザー (この場合、アカウント B のアイデンティティ) をコントロールできるように、カスタマーマネージドキーを指定する必要があります。
このドキュメントでは、次のキーポリシーの例を `Account-A-Offline-Feature-Store-KMS-Key-ARN` と呼びます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/Administrator"
]
},
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:TagResource",
"kms:UntagResource",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "*"
},
{
"Sid": "Allow Feature Store to get information about the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*"
],
"Resource": "*"
},
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"Account-A-Offline-Feature-Store-Role-ARN",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:GenerateDataKey",
"kms:ListAliases",
"kms:ListGrants"
],
"Resource": "*"
}
]
}
```
------
## ステップ 4: アカウント A で特徴量グループを作成する
次に、アカウント B にあるオフラインストア Amazon S3 バケットを使って、アカウント A の特徴量グループを作成します。これを行うには、次のパラメータを `RoleArn`、`OfflineStoreConfig.S3StorageConfig.KmsKeyId`、`OfflineStoreConfig.S3StorageConfig.S3Uri` それぞれに指定します。
+ `RoleArn` として `Account-A-Offline-Feature-Store-Role-ARN` を指定します。
+ `OfflineStoreConfig.S3StorageConfig.KmsKeyId` には `Account-A-Offline-Feature-Store-KMS-Key-ARN` を指定します。
+ `OfflineStoreConfig.S3StorageConfig.S3Uri` には `Account-B-Offline-Feature-Store-Bucket` を指定します。