翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# IAM 信頼関係の問題
<a name="sagemaker-hyperpod-model-deployment-ts-trust"></a>

HyperPod 推論演算子は STS AssumeRoleWithWebIdentity エラーで開始できず、IAM 信頼関係設定の問題を示します。

**エラーメッセージ:**

```
failed to enable inference watcher for HyperPod cluster *****: operation error SageMaker: UpdateClusterInference, 
get identity: get credentials: failed to refresh cached credentials, failed to retrieve credentials, 
operation error STS: AssumeRoleWithWebIdentity, https response error StatusCode: 403, RequestID: ****, 
api error AccessDenied: Not authorized to perform sts:AssumeRoleWithWebIdentity
```

**解決策:**

推論演算子の IAM 実行ロールの信頼関係を次の設定で更新します。

次のプレースホルダーを置き換えます。
+ `<ACCOUNT_ID>`: AWS アカウント ID
+ `<REGION>`: AWS リージョン
+ `<OIDC_ID>`: Amazon EKS クラスターの OIDC プロバイダー ID

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
            "Federated": "arn:aws:iam::<ACCOUNT_ID>:oidc-provider/oidc.eks.<REGION>.amazonaws.com/id/<OIDC_ID>"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringLike": {
                    "oidc.eks.<REGION>.amazonaws.com/id/<OIDC_ID>:sub": "system:serviceaccount:<namespace>:<service-account-name>",
                    "oidc.eks.<REGION>.amazonaws.com/id/<OIDC_ID>:aud": "sts.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "sagemaker.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

**検証:**

信頼関係を更新した後:

1. IAM コンソールでロール設定を確認する

1. 必要に応じて推論演算子を再起動する

1. オペレーターログをモニタリングして正常に起動する