翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon SageMaker Model Cards のクロスアカウントサポートを設定する
<a name="model-cards-xaccount"></a>

Amazon SageMaker Model Cards のクロスアカウントサポートを使用して、 AWS アカウント間でモデルカードを共有します。モデルカードを作成するアカウントがモデルカードアカウントです。**モデルカードアカウントのユーザーは、共有アカウントとモデルカードを共有します。**共有アカウントのユーザーは、モデルカードを更新したり、モデルカードの PDF を作成したりできます。

モデルカードアカウントのユーザーは、 AWS Resource Access Manager (AWS RAM) を通じてモデルカードを共有します。 AWS RAM これにより、 AWS アカウント間でリソースを共有できます。の概要については AWS RAM、[「 とは」を参照してください AWS Resource Access Manager。](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)

モデルカードを共有する手順は次のとおりです。

1. モデルカードアカウントのユーザーは、 AWS Resource Access Managerを使用してクロスアカウントのモデルカード共有を設定します。

1. モデルカードが AWS KMS キーで暗号化されている場合、モデル共有を設定するユーザーは、共有アカウントのユーザーにも AWS KMS アクセス許可を付与する必要があります。

1. 共有アカウントのユーザーは、リソース共有への招待を承諾します。

1. 共有アカウントのユーザーは、モデルカードにアクセスするアクセス許可を他のユーザーに付与します。

モデルカードアカウントのユーザーは、次のセクションを参照してください。
+ [クロスアカウントでモデルカード共有を設定する](#model-cards-xaccount-set-up)
+ [共有アカウントの AWS KMS アクセス許可を設定する](#model-cards-xaccount-kms)
+ [リソース共有の招待に対する返信を受け取る](#model-cards-xaccount-set-up-responses)

共有アカウントのユーザーは、自分自身とアカウントの他のユーザーのアクセス許可の設定について「[共有アカウントの IAM ユーザーアクセス許可を設定します。](#model-cards-xaccount-shared-account-permissions)」を参照してください。

## クロスアカウントでモデルカード共有を設定する
<a name="model-cards-xaccount-set-up"></a>

 AWS Resource Access Manager (AWS RAM) を使用して、 AWS アカウント内のユーザーに、別の AWS アカウントで作成されたモデルカードを表示または更新するためのアクセス権を付与します。

モデルカード共有を設定するには、リソース共有を作成する必要があります。リソース共有を次のように指定します。
+ 共有されているリソース
+ 誰または何がリソースにアクセスできるか
+ リソースのマネージドアクセス許可

リソース共有の詳細については、「[Terms and concepts for AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-terms-and-concepts.html)」を参照してください。リソース共有を作成するプロセスを進める前に、 AWS RAM 時間をかけて概念的に理解することをお勧めします。

**重要**  
リソース共有を作成するにはアクセス許可が必要です。アクセス許可の詳細については、「 [AWS RAM が IAM と](https://docs.aws.amazon.com/ram/latest/userguide/security-iam-policies.html)連携する方法」を参照してください。

リソース共有を作成する手順と追加情報については、「[Create a resource share](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create)」を参照してください。

リソース共有を作成する手順を実行するときは、リソースタイプとして `sagemaker:ModelCard` を指定します。また、リソースベースのポリシーの Amazon AWS RAM リソース番号 (ARN) も指定する必要があります。デフォルトのポリシーか、モデルカードの PDF を作成するための追加のアクセス許可を持つポリシーのいずれかを指定できます。

デフォルトの `AWSRAMPermissionSageMakerModelCards` リソースベースのポリシーでは、共有アカウントのユーザーには以下の操作を行うアクセス許可があります。
+  [DescribeModelCard](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelCard.html)
+ [ListModelCardVersions](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModelCardVersions.html)
+ [UpdateModelCard](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateModelCard.html)

`AWSRAMPermissionSageMakerModelCardsAllowExport` リソースベースのポリシーでは、共有アカウントのユーザーには上記のアクションをすべて実行するアクセス許可があります。また、モデルカードのエクスポートジョブを作成し、以下の操作でそのジョブを記述するアクセス許可もあります。
+ [CreateModelCardExportJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelCardExportJob.html)
+ [DescribeModelCardExportJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelCardExportJob.html)

共有アカウントのユーザーは、エクスポートジョブを作成してモデルカードの PDF を生成できます。また、PDF の Amazon S3 URI を検索するために作成されたエクスポートジョブについても記述できます。

モデルカードとエクスポートジョブはリソースです。モデルカードアカウントは、共有アカウントのユーザーが作成したエクスポートジョブを所有します。例えば、アカウント A のユーザーは、モデル カード X を共有アカウント B と共有します。アカウント B のユーザーは、アカウント B のユーザーが指定する Amazon S3 の場所に出力を保存するモデルカード X のエクスポートジョブ Y を作成します。アカウント B がエクスポートジョブ Y を作成しても、そのジョブはアカウント A に属します。

各 AWS アカウントにはリソースクォータがあります。モデルカードに関連するクォータの詳細については、「[Amazon SageMaker AI エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/sagemaker.html#limits_sagemaker)」を参照してください。

### 共有アカウントの AWS KMS アクセス許可を設定する
<a name="model-cards-xaccount-kms"></a>

共有しているモデルカードが AWS Key Management Service キーで暗号化されている場合は、キーへのアクセスを共有アカウントと共有する必要があります。共有しなければ、共有アカウントのユーザーはモデルカードを表示、更新、エクスポートできなくなります。の概要については AWS KMS、「」を参照してください[AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)。

共有アカウントのユーザーにアクセス AWS KMS 許可を付与するには、次のステートメントを使用してキーポリシーを更新します。

```
{
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::shared-account-id::role/example-IAM-role"
        ]
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
    ]
    "Resource": "arn:aws:kms:AWS-Region-of-model-card-account:model-card-account-id:key/AWS KMS-key-id"
    "Condition": {
        "Bool": {"kms:GrantIsForAWSResource": true },
        "StringEquals": {
            "kms:ViaService": [
                "sagemaker.AWS-Region.amazonaws.com", 
                "s3.AWS-Region.amazonaws.com"
            ],
        },
        "StringLike": {
          "kms:EncryptionContext:aws:sagemaker:model-card-arn": "arn:aws:sagemaker:AWS-Region:model-card-account-id:model-card/model-card-name"
        }
    }    
}
```

前述のステートメントにより、共有アカウントのユーザーに `kms:Decrypt` と `kms:GenerateDataKey` のアクセス許可が与えられます。`kms:Decrypt` を使用すると、ユーザーはモデルカードを復号化できます。`kms:GenerateDataKey` を使用すると、ユーザーは更新するモデルカードや作成した PDF を暗号化できます。

### リソース共有の招待に対する返信を受け取る
<a name="model-cards-xaccount-set-up-responses"></a>

リソース共有を作成すると、そのリソース共有で指定した共有アカウントに、そのリソース共有への参加の招待が届きます。リソースにアクセスするには、招待を受け入れる必要があります。

リソース共有の招待を受け入れる方法については、*AWS 「 Resource Access Manager* [ユーザーガイド」の「共有 AWS リソース](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-shared.html)の使用」を参照してください。

### 共有アカウントの IAM ユーザーアクセス許可を設定します。
<a name="model-cards-xaccount-shared-account-permissions"></a>

以下の情報は、モデルカードアカウントからのリソース共有の招待を承諾したことを前提としています。リソース共有の招待を受け入れる方法の詳細については、[「共有 AWS リソースの使用](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-shared.html)」を参照してください。

ユーザーとアカウント内の他のユーザーは、IAM ロールを使用して、モデルカードアカウントから共有されたモデルカードにアクセスします。以下のテンプレートを使用して IAM ロールのポリシーを変更します。このテンプレートは独自のユースケースに合わせて変更できます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribeModelCard",
                "sagemaker:UpdateModelCard",
                "sagemaker:CreateModelCardExportJob",
                "sagemaker:ListModelCardVersions",
                "sagemaker:DescribeModelCardExportJob"
            ],
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:model-card/example-model-card-name-0",
                "arn:aws:sagemaker:us-east-1:111122223333:model-card/example-model-card-name-1/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket-storing-the-pdf-of-the-model-card/model-card-name/*"
        }
    ]
}
```

------

を使用して暗号化されたモデルカードにアクセスするには AWS KMS、アカウントのユーザーに次の AWS KMS アクセス許可を付与する必要があります。

```
{
     "Effect": "Allow",
     "Action": [
         "kms:GenerateDataKey",
         "kms:Decrypt",
     ],
     "Resource": "arn:aws:kms:AWS-Region:AWS-account-id-where-the-model-card-is-created:key/AWS Key Management Service-key-id"
}
```