翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# クロスアカウントの検出可能性
データサイエンティストとデータエンジニアは、他のアカウントに登録されているモデルパッケージグループを探索してアクセスすることで、データ整合性の促進、コラボレーションの効率化、作業の重複の低減につなげることができます。Amazon SageMaker Model Registry を使用すると、アカウント間でモデルパッケージグループを共有できます。リソースの共有に関連するアクセス許可には、次の 2 つのカテゴリがあります。
+ **検出可能性**: *検出可能性*とは、リソースコンシューマーアカウントが、単一または複数のリソース所有者アカウントによって共有されているモデルパッケージグループを表示できることを指します。検出可能性は、リソース所有者が共有されているモデルパッケージグループに必要なリソースポリシーをアタッチした場合にのみ実現します。リソースコンシューマーは、UI および AWS RAM ですべての共有モデルパッケージグループを表示できます AWS CLI。
+ **アクセシビリティ**: *アクセシビリティ*とは、リソースコンシューマーアカウントが共有されたモデルパッケージグループを使用できることを指します。例えば、必要なアクセス許可が付与されていると、リソースコンシューマーは別のアカウントからモデルパッケージを登録したりデプロイしたりできます。
**Topics**
+ [Studio でモデルグループを共有する](model-registry-ram-studio-share.md)
+ [Studio で共有モデルグループを表示する](model-registry-ram-studio-view.md)
+ [Accessibility](model-registry-ram-accessibility.md)
+ [検出可能性を設定する](model-registry-ram-discover.md)
+ [共有モデルパッケージグループを表示する](model-registry-ram-view-shared.md)
+ [リソース共有からプリンシパルの関連付けを解除してリソース共有を削除する](model-registry-ram-dissociate.md)
+ [アクセス許可とリソース共有を昇格する](model-registry-ram-promote.md)
# Studio でモデルグループを共有する
Studio UI を使用して、モデルグループを他の AWS プリンシパル (AWS アカウント または AWS Organizations) と共有できます。この合理化された共有プロセスは、チーム間のコラボレーションの実現、ベストプラクティスの促進、チーム全体での容易なモデルの再利用につながります。Studio でモデルをデプロイする手順は、次のとおりです。
この機能は、Amazon SageMaker Studio Classic では利用できません。
+ Studio がデフォルトエクスペリエンスである場合、UI は「[Amazon SageMaker Studio の UI の概要](studio-updated-ui.md)」の画像のようになります。
+ Studio Classic がデフォルトのエクスペリエンスである場合、UI は「[Amazon SageMaker Studio Classic の UI の概要](studio-ui.md)」の画像のようになります。
モデルグループを共有するには、まずリソースを共有する実行ロールに以下のアクセス許可が追加されていることを確認する必要があります。
1. [実行ロールを取得](sagemaker-roles.md#sagemaker-roles-get-execution-role)します。
1. 以下を使用して、[ロールのアクセス許可を更新](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-permissions.html)します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ram:ListPermissions",
"ram:GetPermission",
"ram:GetResourceShareAssociations",
"ram:ListResourceSharePermissions",
"ram:DeleteResourceShare",
"ram:GetResourceShareInvitations",
"ram:AcceptResourceShareInvitation"
],
"Resource": "*"
}
]
}
```
------
モデルグループを他の AWS プリンシパルと共有する手順は、次のとおりです。
**モデルグループを他の AWS プリンシパルと共有するには**
1. 「[Amazon SageMaker Studio を起動する](studio-updated-launch.md)」の手順に従って、Studio コンソールを開きます。
1. 左側のナビゲーションペインで **[モデル]** を選択します。
1. まだ選択されていない場合は、**[登録済みモデル]** タブをクリックします。
1. **[登録済みモデル]** タブラベルのすぐ下にある **[モデルグループ]** をまだ選択していない場合は、選択します。
1. 登録済みのモデルを選択します。
1. 右上隅の **[共有]** をクリックします。これにより、**[モデルグループの共有]** セクションが開きます。
画面の下部にエラーメッセージが表示された場合は、実行ロールに適切なアクセス許可を追加する必要があります。詳細については、上記のアクセス許可を参照してください。
1. **[リソース共有]** で、リソース共有を選択して、新しいリソース共有を更新または作成します。
1. **[管理アクセス許可]** で、管理アクセス許可を選択して、モデルのアクセスレベルを制御します。
表示可能なオプションには、作成済みのアクセス許可や、 AWS RAMでカスタム作成したアクセス許可などがあります。「*AWS Resource Access Manager* ユーザーガイド」の「[Creating and using customer managed permissions](https://docs.aws.amazon.com/ram/latest/userguide/create-customer-managed-permissions.html)」を参照してください。
1. **AWS プリンシパル**で、共有する AWS Organizations ARN AWS アカウント IDs を入力し、**追加**を選択します。この方法で複数の AWS プリンシパルを追加できます。
1. 最小要件が満たされると、**[共有]** ボタンが利用できるようになります。設定内容を検証したら、**[共有]** をクリックします。
共有が正常に完了すると、画面下部に緑色のバナーメッセージが表示されます。
# Studio で共有モデルグループを表示する
自分または同じ AWS Organizationsに属するアカウントと共有されているモデルグループを表示できます。モデルグループが同じ に属するアカウントと共有されている場合 AWS Organizations、共有モデルグループは自動的に承認され、Studio で表示できます。これ以外の場合は、Studio で共有モデルグループを表示するには、保留中の招待を承認する必要があります。Studio で共有モデルグループを表示し、モデルグループの共有招待を受け入れる手順は、次のとおりです。
この機能は、Amazon SageMaker Studio Classic では利用できません。
+ Studio がデフォルトエクスペリエンスである場合、UI は「[Amazon SageMaker Studio の UI の概要](studio-updated-ui.md)」の画像のようになります。
+ Studio Classic がデフォルトのエクスペリエンスである場合、UI は「[Amazon SageMaker Studio Classic の UI の概要](studio-ui.md)」の画像のようになります。
以下では、共有されているモデルグループを表示して受け入れる方法について説明します。
**共有されているモデルグループを表示して受け入れる**
1. 「[Amazon SageMaker Studio を起動する](studio-updated-launch.md)」の手順に従って、Studio コンソールを開きます。
1. 左側のナビゲーションペインで **[モデル]** を選択します。
1. まだ選択されていない場合は、**[登録済みモデル]** タブをクリックします。
1. **[登録済みモデル]** タブラベルのすぐ下にある **[モデルグループ]** をまだ選択していない場合は、選択します。
1. **[自分と共有]** をクリックして、共有されているモデルグループを表示します。
1. 保留中のモデルグループの招待を受け入れるには:
1. **[保留中の承認を表示]** をクリックして、**[保留中の招待]** リストを開きます。
1. 招待を受け入れる場合は、**[受け入れる]** を選択します。
# Accessibility
リソースコンシューマーに共有モデルパッケージグループを使用するためのアクセス許可が付与されている場合は、モデルパッケージグループのバージョンを登録したりデプロイしたりできます。リソースコンシューマーが共有モデルパッケージグループを登録する方法の詳細については、「[別のアカウントからモデルバージョンを登録する](model-registry-version.md#model-registry-version-xaccount)」を参照してください。リソースコンシューマーが共有モデルパッケージグループをデプロイする方法の詳細については、「[別のアカウントからモデルバージョンをデプロイする](model-registry-deploy.md#model-registry-deploy-xaccount)」を参照してください。
# 検出可能性を設定する
リソース所有者は、リソース共有を作成し、エンティティにリソースポリシーをアタッチすることで、モデルパッケージグループの検出可能性を設定できます。で一般的なリソース共有を作成する方法の詳細については AWS RAM、 [AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)ドキュメントの[「リソース共有の作成](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create)」を参照してください。
AWS RAM コンソールまたは Model Registry リソースポリシー APIs を使用してモデルパッケージグループの検出可能性を設定するには、次の手順を実行します。
------
#### [ AWS CLI ]
1. モデル所有者アカウントでリソース共有を作成します。
1. モデル所有者は、次のコマンドに示されるとおり、SageMaker AI リソースポリシー API [put-model-package-group-policy](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/put-model-package-group-policy.html) を使用して、モデルパッケージグループにリソースポリシーをアタッチします。
```
aws sagemaker put-model-package-group-policy
--model-package-group-name
--resource-policy "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":
\"ExampleResourcePolicy\",\"Effect\":\"Allow\",\"Principal\":,
\"Action\":[\"sagemaker:DescribeModelPackage\",
\"sagemaker:ListModelPackages\",\"sagemaker:DescribeModelPackageGroup\"],
\"Resource\":[\",\"
\"arn:aws:sagemaker:::model-package/
/*\"]}]}"
```
**注記**
リソースポリシーには、さまざまなアクションの組み合わせをアタッチできます。カスタムポリシーの場合、作成されたアクセス許可はモデルパッケージグループの所有者が昇格する必要があります。昇格されたアクセス許可がアタッチされたエンティティのみが検出可能となります。昇格不可能なリソース共有は、 AWS RAMを使用して検出したり管理したりすることはできません。
1. がリソース共有 ARN を AWS RAM 作成したことを確認するには、次のコマンドを使用します。
```
aws ram get-resource-share-associations --association-type resource --resource-arn
```
応答には、エンティティの *resource-share-arn* が含まれます。
1. アタッチされたポリシーアクセス許可がマネージドポリシーかカスタムポリシーかを確認するには、次のコマンドを使用します。
```
aws ram list-resource-share-permissions --resource-share-arn
```
`featureSet` フィールドは、次のように定義される値 `CREATED_FROM_POLICY` または `STANDARD` となる可能性があります。
+ `STANDARD`: このアクセス許可は既に存在します。
+ `CREATED_FROM_POLICY`: このエンティティを検出できるようにするには、アクセス許可を昇格させる必要があります。詳細については、「[アクセス許可とリソース共有を昇格する](model-registry-ram-promote.md)」を参照してください。
1. モデルコンシューマーアカウントでリソース共有の招待を受け入れます。
1. モデルパッケージグループのコンシューマーは、リソース共有の招待を受け入れます。すべてのリソース招待を表示するには、以下のコマンドを実行します。
```
aws ram get-resource-share-invitations
```
ステータスが `PENDING` のリクエストを特定し、所有者アカウントのアカウント ID を含めます。
1. 次のコマンドを使用して、モデル所有者からのリソース共有の招待を受け入れます。
```
aws ram accept-resource-share-invitation --resource-share-invitation-arn
```
------
#### [ AWS RAM console ]
1. [AWS RAM コンソール](https://console.aws.amazon.com/ram/home) にログインします。
1. モデルパッケージグループの所有者アカウントからリソース共有を作成するには、次の手順を実行します。
1. リソース共有の詳細を指定するには、次の手順を実行します。
1. **[名前]** フィールドに、リソースの一意の名前を追加します。
1. **[リソース]** カードで、ドロップダウンメニューをクリックして、**[SageMaker モデルパッケージグループ]** を選択します。
1. モデルパッケージグループのリソース共有の ARN のチェックボックスをオンにします。
1. **[リソースの選択]** カードで、モデルパッケージグループのリソース共有のチェックボックスをオンにします。
1. **[タグ]** カードで、リソース共有に追加するタグのキー値のペアを追加します。
1. [**次へ**] を選択します。
1. リソース共有にマネージドアクセス許可を関連付けるには、次の手順を実行します。
1. マネージドアクセス許可を使用する場合は、**[マネージドアクセス許可]** ドロップダウンメニューでマネージドアクセス許可を選択します。
1. カスタムアクセス許可を使用する場合は、**[カスタマーマネージドアクセス許可]** を選択します。この場合、直ちにモデルパッケージグループを検出するこすることはできません。リソース共有を作成したら、アクセス許可とリソースポリシーを昇格する必要があります。アクセス許可とリソース共有を昇格させる方法については、「[アクセス許可とリソース共有を昇格する](model-registry-ram-promote.md)」を参照してください。カスタムアクセス許可をアタッチする方法の詳細については、「[Creating and using customer managed permissions in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/create-customer-managed-permissions.html)」を参照してください。
1. [**次へ**] を選択します。
1. プリンシパルにアクセス権を付与するには、次の手順を実行します。
1. 組織外のアカウントとの共有を許可するには、**[すべてのユーザーとの共有を許可]** を選択します。それ以外の場合は、**[自分の組織内でのみ共有を許可]** を選択します。
1. **[プリンシパルタイプの選択]** ドロップダウンメニューで、追加するプリンシパルのプリンシパルタイプと ID を追加します。
1. 共有のために選択したプリンシパルを追加して選択します。
1. [**次へ**] を選択します。
1. 表示された共有設定を確認してから、**[リソース共有の作成]** をクリックします。
1. コンシューマーアカウントからのリソース共有の招待を受け入れます。モデル所有者がリソース共有とプリンシパルの関連付けを作成すると、指定されたリソースコンシューマーアカウントは、リソース共有に参加するための招待を受け取ります。リソースコンシューマーアカウントは、 AWS RAM コンソールの [[自分と共有: リソース共有]](https://console.aws.amazon.com/ram/home#SharedResourceShares:) ページで、招待を表示して受け入れることができます。でのリソースの受け入れと表示の詳細については AWS RAM、[「共有されている AWS リソースへのアクセス](https://docs.aws.amazon.com//ram/latest/userguide/working-with-shared.html)」を参照してください。
------
# 共有モデルパッケージグループを表示する
リソース所有者が前のステップを完了してリソース共有を作成し、コンシューマーが共有の招待を受け入れると、コンシューマーは AWS CLI または AWS RAM コンソールで共有モデルパッケージグループを表示できます。
## AWS CLI
共有されたモデルパッケージグループを表示するには、モデルコンシューマーアカウントで次のコマンドを使用します。
```
aws sagemaker list-model-package-groups --cross-account-filter-option CrossAccount
```
## AWS RAM コンソール
AWS RAM コンソールでは、リソース所有者とコンシューマーが共有モデルパッケージグループを表示できます。リソース所有者は、「[Viewing resource shares you created in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-view-rs.html)」の手順に従って、コンシューマーと共有されているモデルパッケージグループを表示できます。リソースコンシューマーは、「[Viewing resource shares shared with you](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-view-rs.html)」の手順に従って、所有者が共有しているモデルパッケージグループを表示できます。
# リソース共有からプリンシパルの関連付けを解除してリソース共有を削除する
リソース所有者は、 または AWS CLI コンソールを使用して AWS RAM 、一連のアクセス許可のプリンシパルとリソース共有の関連付けを解除したり、リソース共有全体を削除したりできます。リソース共有からプリンシパルの関連付けを解除する方法の詳細については、「[AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) ドキュメント」の「[Update a Resource Share](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html)」を参照してください リソース共有を削除する方法の詳細については、「[AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) ドキュメント」の「[Deleting a resource share](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-delete.html)」を参照してください。
## AWS CLI
リソース共有からプリンシパルの関連付けを解除するには、次のとおり、コマンド [dissociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html) を使用します。
```
aws ram disassociate-resource-share --resource-share-arn --principals
```
リソース共有を削除するには、次のとおり、コマンド [delete-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/delete-resource-share.html) を使用します。
```
aws ram delete-resource-share --resource-share-arn
```
## AWS RAM コンソール
リソース共有からプリンシパルの関連付けを解除する方法の詳細については、「[AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) ドキュメント」の「[Update a Resource Share](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html)」を参照してください リソース共有を削除する方法の詳細については、「[AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) ドキュメント」の「[Deleting a resource share](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-delete.html)」を参照してください。
# アクセス許可とリソース共有を昇格する
カスタマイズされた (カスタマーマネージド) アクセス許可を使用する場合にモデルパッケージグループを検出できるようにするには、アクセス許可と、関連付けられたリソース共有を昇格させる必要があります。アクセス許可とリソース共有を昇格するには、次の手順を実行します。
1. カスタマイズしたアクセス許可が によってアクセス可能になるように昇格するには AWS RAM、次のコマンドを使用します。
```
aws ram promote-permission-created-from-policy —permission-arn
```
1. 次のコマンドを使用して、リソース共有を昇格します。
```
aws ram promote-resource-share-created-from-policy --resource-share-arn
```
前のステップの実行中に `OperationNotPermittedException` エラーが表示された場合、そのエンティティは検出できなかったとはいえ、アクセスはできます。例えば、リソース所有者が `“Principal”: {“AWS”: “arn:aws:iam::3333333333:role/Role-1”}` などのロールを引き受けるプリンシパルでリソースポリシーをアタッチした場合、またはリソースポリシーが `“Action”: “*”` を許可する場合、関連付けられたモデルパッケージグループは昇格も検出もできません。