翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Studio のポリシーとアクセス許可を設定する
最初のノートブックの実行をスケジュールする前に、適切なポリシーとアクセス許可をインストールする必要があります。以下は、次のアクセス許可を設定する手順を説明しています。
+ ジョブ実行ロールの信頼関係
+ ジョブ実行ロールにアタッチされた追加の IAM アクセス許可
+ (オプション) カスタム KMS キーを使用するための AWS KMS アクセス許可ポリシー
**重要**
AWS アカウントがサービスコントロールポリシー (SCP) が設定されている組織に属している場合、有効なアクセス許可は、SCPs によって許可されるものと IAM ロールとユーザーポリシーによって許可されるものの論理的な共通部分です。例えば、組織の SCP で、`us-east-1` と `us-west-1` のリソースのみにアクセスできると指定されており、ポリシーでは `us-west-1` と `us-west-2` のリソースのみにアクセスが許可されている場合、最終的には `us-west-1` のリソースにのみアクセスできます。ロールポリシーとユーザーポリシーで許可されているアクセス許可をすべて行使したい場合は、組織の SCP が独自の IAM ユーザーおよびロールポリシーと同じアクセス許可セットを付与する必要があります。許可されるリクエストを確認する方法の詳細については、「[Determining whether a request is allowed or denied within an account](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow)」を参照してください。
**信頼関係**
信頼関係を変更するには、次の手順を実行します。
1. [[IAM コンソール]](https://console.aws.amazon.com/iam/) を開きます。
1. 左側のパネルの **[ロール]** を選択します。
1. ノートブックジョブのジョブ実行ロールを検索し、ロール名を選択します。
1. **[信頼関係]** タブを選択します。
1. **[Edit trust policy]** (信頼ポリシーを編集) を選択します。
1. 以下のポリシーをコピーして、貼り付けます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. [**[ポリシーの更新]** を選択します。
## 追加の IAM アクセス許可
以下の状況では、追加の IAM アクセス許可を含める必要がある場合がある
+ Studio の実行ロールとノートブックジョブのロールは異なる
+ S3 VPC エンドポイント経由で Amazon S3 リソースにアクセスする必要がある
+ カスタム KMS キーを使用して、入出力の Amazon S3 バケットを暗号化する必要がある
以下の説明では、それぞれのケースに必要なポリシーについて取り上げます。
### Studio の実行ロールとノートブックジョブのロールが異なる場合に必要なアクセス許可
次の JSON スニペットは、Studio 実行ロールをノートブックジョブロールとして使用しない場合に Studio 実行ロールとノートブックジョブロールに追加する必要があるポリシーの例です。権限をさらに制限する必要がある場合は、このポリシーを確認して変更してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"iam:PassRole",
"Resource":"arn:aws:iam::*:role/*",
"Condition":{
"StringLike":{
"iam:PassedToService":[
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
}
}
},
{
"Effect":"Allow",
"Action":[
"events:TagResource",
"events:DeleteRule",
"events:PutTargets",
"events:DescribeRule",
"events:PutRule",
"events:RemoveTargets",
"events:DisableRule",
"events:EnableRule"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/sagemaker:is-scheduling-notebook-job":"true"
}
}
},
{
"Effect":"Allow",
"Action":[
"s3:CreateBucket",
"s3:PutBucketVersioning",
"s3:PutEncryptionConfiguration"
],
"Resource":"arn:aws:s3:::sagemaker-automated-execution-*"
},
{
"Sid": "S3DriverAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::sagemakerheadlessexecution-*"
]
},
{
"Effect":"Allow",
"Action":[
"sagemaker:ListTags"
],
"Resource":[
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:pipeline/*"
]
},
{
"Effect":"Allow",
"Action":[
"sagemaker:AddTags"
],
"Resource":[
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:pipeline/*"
]
},
{
"Effect":"Allow",
"Action":[
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetEncryptionConfiguration",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObject",
"sagemaker:DescribeApp",
"sagemaker:DescribeDomain",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeSpace",
"sagemaker:DescribeStudioLifecycleConfig",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeAppImageConfig",
"sagemaker:CreateTrainingJob",
"sagemaker:DescribeTrainingJob",
"sagemaker:StopTrainingJob",
"sagemaker:Search",
"sagemaker:CreatePipeline",
"sagemaker:DescribePipeline",
"sagemaker:DeletePipeline",
"sagemaker:StartPipelineExecution"
],
"Resource":"*"
}
]
}
```
------
### S3 VPC エンドポイント経由で Amazon S3 リソースにアクセスするのに必要なアクセス許可
SageMaker Studio をプライベート VPC モードで実行し、S3 VPC エンドポイントから S3 にアクセスする場合、VPC エンドポイントポリシーにアクセス許可を追加して、VPC エンドポイントからアクセス可能な S3 リソースを制御できます。以下のアクセス許可を VPC エンドポイントポリシーに追加します。アクセス許可をさらに制限する必要がある場合 (例えば、`Principal` フィールドの仕様を絞り込むなど)、ポリシーを変更できます。
```
{
"Sid": "S3DriverAccess",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::sagemakerheadlessexecution-*"
}
```
S3 VPC エンドポイントポリシーの設定方法の詳細については、「[Edit the VPC endpoint policy](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#edit-vpc-endpoint-policy-s3)」を参照してください。
### カスタム KMS キーを使用するために必要なアクセス許可 (オプション)
デフォルトでは、入出力の Amazon S3 バケットはサーバー側の暗号化を使用して暗号化されますが、カスタム KMS キーを指定して、出力 Amazon S3 バケットとノートブックジョブにアタッチされたストレージボリュームのデータを暗号化できます。
カスタム KMS キーを使用する場合は、次のポリシーをアタッチし、独自の KMS キー ARN を指定します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action":[
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource":"arn:aws:kms:us-east-1:111122223333:key/key-id"
}
]
}
```
------