View a markdown version of this page

Studio JupyterLab ノートブックをトレーニングジョブと処理ジョブで Amazon S3 アクセス許可に接続する - Amazon SageMaker AI
考慮事項ノートブックをトレーニングジョブと処理ジョブで Amazon S3 Access Grants に設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Studio JupyterLab ノートブックをトレーニングジョブと処理ジョブで Amazon S3 アクセス許可に接続する

次の情報を使用して、Amazon SageMaker トレーニングジョブと処理ジョブのデータにアクセスするための Amazon S3 Access Grants を付与します。

信頼された ID の伝播が有効になっているユーザーが、Amazon S3 データにアクセスする必要がある SageMaker トレーニングジョブまたは処理ジョブを起動すると、以下のとおりになります。

  • SageMaker AI は、ユーザーのアイデンティティに基づいて一時的な認証情報を取得するために、Amazon S3 Access Grants を呼び出します。

  • 成功すると、これらの一時的な認証情報を使用して Amazon S3 データにアクセスします。

  • 失敗した場合、SageMaker AI は IAM ロールの認証情報を使用します。

注記

すべてのアクセス許可が Amazon S3 Access Grants を介して付与されるようにするには、実行ロールから関連する Amazon S3 アクセス許可を削除し、対応する Amazon S3 Access Grants にアタッチする必要があります。

考慮事項

Amazon S3 Access Grants は、SageMaker Training と Processing の両方で、Amazon S3 入力用のパイプモードでは使用できません。

信頼された ID の伝播が有効になっている場合、次の機能を使用して SageMaker トレーニングジョブを起動することはできません。

  • リモートデバッグ

  • デバッガー

  • プロファイラー

信頼された ID の伝播が有効になっている場合、次の機能を使用して処理ジョブを起動することはできません。

  • DatasetDefinition

ノートブックをトレーニングジョブと処理ジョブで Amazon S3 Access Grants に設定する

Amazon S3 Access Grants を設定したら、ドメインまたはユーザーの実行ロールに以下のアクセス許可を追加します。

  • us-east-1 は、 AWS リージョンです。

  • 111122223333 は、 AWS アカウント ID です。

  • S3-ACCESS-GRANT-ROLE は、Amazon S3 Access Grant ロールです。

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDataAccessAPI",
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess",
                "s3:GetAccessGrantsInstanceForPrefix"
            ],
            "Resource": [
                "arn:aws:s3:us-east-1:111122223333:access-grants/default"
            ]
        },
        {
            "Sid": "RequiredForIdentificationPropagation",
            "Effect": "Allow",
            "Action": "sts:SetContext",
            "Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
        }
    ]
}