翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon SageMaker Studio による信頼できる ID の伝播
[Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html) は IAM アイデンティティセンターと統合され、[ユーザーバックグラウンドセッション](user-background-sessions.md)と信頼できる ID の伝播をサポートします。ユーザーバックグラウンドセッションを使用すると、ユーザーは SageMaker Studio で長時間実行されるジョブを開始できます。ジョブの実行中にサインインしたままにする必要はありません。ジョブは、ジョブを開始したユーザーのアクセス許可を使用して、すぐにバックグラウンドで実行されます。ユーザーがコンピュータをオフにした場合、IAM Identity Center のサインインセッションの有効期限が切れた場合、またはユーザーが AWS アクセスポータルからサインアウトした場合でも、ジョブは引き続き実行できます。ユーザーバックグラウンドセッションのデフォルトのセッション期間は 7 日間ですが、最大期間として 90 日間を指定できます。信頼できる ID 伝播により、ユーザーの ID またはグループメンバーシップに基づいて Amazon S3 バケットなどの AWS リソースにきめ細かなアクセスを提供できます。
次の図は、Amazon S3 バケットに保存されているデータにアクセスできる SageMaker Studio の信頼できる ID の伝播設定を示しています。ユーザーバックグラウンドセッションは IAM アイデンティティセンター で有効になっており、SageMaker Studio トレーニングジョブをバックグラウンドで実行できます。トレーニングデータのアクセスコントロールは、Amazon S3 Access Grants によって提供されます。
![\[ユーザーバックグラウンドセッションで実行される SageMaker Studio トレーニングジョブと、Amazon S3 Access Grants が提供する Amazon S3 のトレーニングデータへのアクセスを含む、SageMaker Studio の信頼できる ID 伝播の図。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/sagemaker-studio-s3-user-background-session-training-job-s3-access-grants-diagram.png)
**AWS マネージドアプリケーション**
次の AWS マネージドクライアント向けアプリケーションは、信頼できる ID の伝播をサポートしています。
+ [Amazon SageMaker Studio](setting-up-trusted-identity-propagation-sagemaker-studio.md)
**信頼できる ID の伝播とユーザーバックグラウンドセッションを有効にするには、次の手順に従います。**
+ [SageMaker Studio をクライアント向けアプリケーションとしてセットアップします。](setting-up-trusted-identity-propagation-sagemaker-studio.md)
+ [Amazon S3 Access Grants をセットアップ](tip-tutorial-s3.md)して、Amazon S3 の基盤となるデータロケーションへの一時的なアクセスを有効にします。
# Sagemaker Studio で信頼できる ID 伝播を設定する
次の手順では、信頼できる ID の伝播とユーザーバックグラウンドセッション用に SageMaker Studio を設定する手順を説明します。
## 前提条件
このチュートリアルを開始する前に、まず以下のタスクを完了する必要があります。
1. [IAM アイデンティティセンターを有効にします](enable-identity-center.md)。組織インスタンスが必要です。詳細については、「[前提条件と考慮事項](trustedidentitypropagation-overall-prerequisites.md)」を参照してください。
1. [ID のソースから IAM アイデンティティセンターにユーザーとグループをプロビジョニングします](tutorials.md)。
1. IAM アイデンティティセンターコンソールで[ユーザーバックグラウンドセッションが有効になっていることを確認します](user-background-sessions.md)。デフォルトでは、ユーザー背景セッションは有効になっており、セッション期間は 7 日間に設定されています。この期間は、変更することができます。
SageMaker Studio から信頼できる ID の伝播を設定するには、SageMaker Studio 管理者が次のステップを実行する必要があります。
## ステップ 1: 新規または既存の SageMaker Studio ドメインで信頼できる ID の伝播を有効にする
SageMaker はドメインを使用して、ユーザープロファイル、アプリケーション、関連するリソースを整理します。信頼できる ID の伝播を有効にするには、次の手順で説明するように、SageMaker Studio ドメインを作成するか、既存のドメインを変更する必要があります。
1. SageMaker AI コンソールを開き、**[ドメイン]**に移動して、次のいずれかを実行します。
+ **[[組織向けのセットアップ]](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions) を使用して、新しい SageMaker Studio ドメインを作成します。**
**[組織向けのセットアップ]**を選択し、次の操作を行います。
+ 認証方法として **AWS アイデンティティセンター** を選択します。
+ **[このドメインですべてのユーザーの信頼できる ID 伝播を有効にする]** チェックボックスをオンにします。
+ **既存の SageMaker Studio ドメインを変更します。**
+ 認証に IAM アイデンティティセンターを使用する既存のドメインを選択します。
**重要**
信頼できる ID の伝播は、認証に IAM アイデンティティセンターを使用する SageMaker Studio ドメインでのみサポートされます。ドメインが認証に IAM を使用している場合、認証方法を変更することはできないため、信頼できる ID の伝播を有効にすることはできません。
+ [ドメイン設定を編集します](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-edit)。**[認証とアクセス許可]** の設定を編集して、信頼できる ID の伝播を有効にします。
1. [ステップ 2: デフォルトのドメイン実行ロールを設定する](#setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role)に進みます。このロールは、SageMaker Studio ドメインのユーザーが Amazon S3 などの他の AWS サービスにアクセスするために必要です。
## ステップ 2: デフォルトのドメイン実行ロールとロール信頼ポリシーを設定する
*ドメイン実行ロール*は、SageMaker Studio ドメインがドメイン内のすべてのユーザーに代わって引き受ける [IAM ロール](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles)です。このロールに割り当てるアクセス許可によって、SageMaker Studio が実行できるアクションが決まります。
1. ドメイン実行ロールを作成または選択するには、次のいずれかを実行します。
+ **[[組織向けのセットアップ]](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions) を使用してロールを作成または選択します。**
+ SageMaker AI コンソールを開き、**「ステップ 2: ロールと ML アクティビティを設定**して新しいドメイン実行ロールを作成するか、既存のロールを選択する」のコンソールガイダンスに従います。
+ 残りのセットアップステップを完了して、SageMaker Studio ドメインを作成します。
+ **実行ロールを手動で作成します。**
+ IAM コンソールを開き、[実行ロールを自分で作成します](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-create-execution-role)。
1. ドメイン実行ロールにアタッチされている[信頼ポリシーを更新](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-trust-policy.html)して、[https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html) と [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html) の 2 つのアクションを含めます。SageMaker Studio ドメインの実行ロールを検索する方法については、「[ドメイン実行ロールを取得する](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-domain)」を参照してください。
*信頼ポリシー*は、ロールを引き受けることができる ID を指定します。このポリシーは、SageMaker Studio サービスがドメイン実行ロールを引き受けられるようにするために必要です。これら 2 つのアクションを追加して、ポリシーに次のように表示されるようにします。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
## ステップ 3: ドメイン実行ロールに必要な Amazon S3 Access Grant アクセス許可を検証する
Amazon S3 Access Grants を使用するには、以下のアクセス許可を含むアクセス許可ポリシーを (インラインポリシーまたはカスタマー管理ポリシーとして) SageMaker Studio ドメイン実行ロールにアタッチする必要があります。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}
]
}
```
これらのアクセス許可を含むポリシーがない場合は、「*AWS Identity and Access Management ユーザーガイド*」の「[IAM ID アクセス許可の追加と削除](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html)」の手順に従います。
## ステップ 4: グループとユーザーをドメインに割り当てる
「[グループとユーザーを追加する](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-groups-add.html)」の手順に従って、グループとユーザーを SageMaker Studio ドメインに割り当てます。
## ステップ 5: Amazon S3 Access Grants を設定する
Amazon S3 Access Grants を設定するには、[「IAM アイデンティティセンターを介した信頼できる ID 伝播のための Amazon S3 Access Grants の設定](tip-tutorial-s3.md#tip-tutorial-s3-configure)」のステップに従います。ステップバイステップの手順を使用して、以下のタスクを完了します。
1. Amazon S3 Access Grants インスタンスを作成します。
1. そのインスタンスにロケーションを登録します。
1. 特定の IAM アイデンティティセンターユーザーまたはグループが、指定された Amazon S3 ロケーションまたはそれらのロケーション内のサブセット (特定のプレフィックスなど) にアクセスできるようにする権限を作成します。
## ステップ 6: SageMaker トレーニングジョブを送信し、ユーザーバックグラウンドセッションの詳細を表示する
SageMaker Studio で、新しい Jupyter Notebook を起動し、トレーニングジョブを送信します。ジョブの実行中に、次の手順を実行してセッション情報を表示し、ユーザーのバックグラウンドセッションコンテキストがアクティブであることを確認します。
1. IAM Identity Center コンソール を開きます。
1. **ユーザー** を選択します。
1. **[ユーザー]** ページで、セッションを管理したいユーザーのユーザー名を選択します。これにより、ユーザーの情報が表示されるページに移動します。
1. ユーザーのページで、**[アクティブセッション]** タブを選択します。**[アクティブセッション]** の横の括弧内の数字は、このユーザーのアクティブセッション数を示します。
1. セッションを使用しているジョブの Amazon リソースネーム (ARN) でセッションを検索するには、**[セッションタイプ]** リストで **[ユーザーバックグラウンドセッション]** を選択し、検索ボックスにジョブ ARN を入力します。
以下は、ユーザーバックグラウンドセッションを使用しているトレーニングジョブがユーザーの **[アクティブセッション]** タブにどのように表示されるかの例です。
![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/sagemaker-studio-training-job-displayed-in-identity-center-console-active-sessions.png)
## ステップ 7: CloudTrail ログを表示して CloudTrail で信頼できる ID の伝播を検証する
信頼できる ID の伝播を有効にすると、 `onBehalfOf` 要素の下の CloudTrail イベントログにアクションが表示されます。には、トレーニングジョブを開始した IAM アイデンティティセンターユーザーの ID `userId` が反映されます。次の CloudTrail イベントは、信頼できる ID の伝播プロセスをキャプチャします。
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:SageMaker",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
"accountId": "111122223333",
"userName": "SageMaker-ExecutionRole-20250728T125817"
},
"attributes": {
"creationDate": "2025-07-29T17:17:10Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
"identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
}
},
```
## ランタイムの考慮事項
管理者が、ユーザーバックグラウンドセッション期間よりも短い長時間実行されるトレーニングジョブまたは処理ジョブに **MaxRuntimeInSeconds** を設定すると、SageMaker Studio は **MaxRuntimeInSeconds** またはユーザーバックグラウンドセッション期間の最小値でジョブを実行します。
**MaxRuntimeInSeconds** の詳細については、「*Amazon SageMaker API リファレンス*」の「`CreateTrainingJob` [StoppingCondition](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition)」パラメータのガイダンスを参照してください。