developersIO
【AWS re:Invent 2025】「SageMaker Unified Studio × Identity Center」で何が嬉しいかを聞いてきた

【AWS re:Invent 2025】「SageMaker Unified Studio × Identity Center」で何が嬉しいかを聞いてきた

AWS re:Invent 2025
SageMaker Unified StudioAWS IAM Identity Center
FacebookHatena blogX
2025.12.14

目次

  1. なぜこのセッションに参加したのか
  2. 実際に困っていた問題
  3. Unified StudioとIdentity Centerによる解決
  4. まとめ:誰に推奨するか

なぜこのセッションに参加したのか

AWS re:Invent 2025でSageMaker Unified Studioのセッションに参加してきました。

このセッションのテーマは、「機械学習チームに、複数のAWSアカウントへのアクセスを簡単に提供する方法」でした。

このセッションで学んだこと

セッションで最も印象に残ったのは、以下の3点です。

  1. SageMaker Unified Studioは「ワンストップで使える作業環境」になっている

    • 「どの画面に行けばいいの?」問題が起きにくい
    • 1つのStudio環境の中で、必要な作業をまとめて進められる
    • AWSコンソールをあちこち触らなくても、作業を始めやすい

  2. Identity Centerを使えば、マルチアカウントでも「使わせ方」を揃えられる

    • 10人のエンジニアに10個のAWSアカウントへのアクセスを提供する場合
    • 従来:100個のIAMユーザーを作成(10人 × 10アカウント)
    • Identity Center:1回の設定で完了

  3. 既存のIDプロバイダー(Entra ID、Okta)と統合できる

    • AWS専用のアカウントを作る必要がない
    • 退職者の削除も自動で反映される

正直なところ、マルチアカウント管理は「IAMロールとAssumeRoleで何とかなる」と思っていました。しかし、セッションを聞いて、もっとスマートな方法があることを知りました。

この記事では、私たちが実際に困っていた問題と、Identity Center + Unified Studioによる解決方法について書いていきます。

この記事の前提条件

このアプローチは、以下の環境を前提としています。

  • AWS Organizationsを使用している組織
  • 複数のAWSアカウント(開発、ステージング、本番など)を管理している
  • Management Account(組織の管理アカウント)でIdentity Centerを設定できる

これらの前提がある組織では、Identity Centerを使うことで、マルチアカウント管理が劇的に楽になります。

実際に困っていた問題

問題1: データサイエンティストが10個のAWSアカウントにアクセスできない

あなたの組織に10人の機械学習エンジニアがいて、Dev、Staging、Prod-A、Prod-B...と10個のAWSアカウントがあるとします。

従来のやり方(IAMユーザー)

各アカウントで10人分のIAMユーザーを作成すると:

  • 100個のIAMユーザー(10人 × 10アカウント)
  • 100個のパスワード管理
  • 誰かが退職したら100個のアカウント削除
  • 権限変更も100回

これは現実的ではありません。

よくある「回避策」とその問題

  1. 共有アカウントを作る

    • 問題: 誰が何をしたか分からない
    • 問題: 監査で怒られる

  2. 開発アカウントだけアクセスを与える

    • 問題: ステージングでの検証ができない
    • 問題: 本番トラブル時に見ることもできない

  3. AssumeRoleで頑張る

    • 問題: データサイエンティストにIAMの説明をするのが大変
    • 問題: 「どのロールをAssumeするんですか?」という質問が毎回来る

問題2: 機械学習エンジニアがAWSコンソールに迷い込む

データサイエンティストに「SageMaker使ってください」と言うと

  1. AWSコンソールにログイン
  2. 「どこにSageMakerがあるんですか?」
  3. 検索バーで「sage」と入力
  4. SageMaker Studio Classic? Studio? Canvas? どれ?
  5. ノートブック起動に失敗「VPCがありません」
  6. 「IAMロール作ってください」と言われる
  7. IAMコンソールへ...
  8. 気づいたらVPCコンソールでサブネット作成している

結果: 機械学習の作業を始める前に1日潰れる

問題3: 既存のIDプロバイダー(Entra ID)を使いたい

多くの企業は、すでにMicrosoft Entra IDやOktaでユーザー管理をしています。

「AWSのためだけに、もう1つユーザー管理システムを作る」のは現実的ではありません。既存のIDプロバイダーと統合できないと、実運用に乗せられません。

Unified StudioとIdentity Centerによる解決

これらの問題を、Identity CenterSageMaker Unified Studioの組み合わせで解決していきます。それぞれの問題がどう解決されるのか、具体的に見ていきましょう。

これら3つの問題を、Identity Center + SageMaker Unified Studioで解決する方法を説明していきます。

SageMaker Unified Studioが「すごい」と感じた点(問題2の解決)

セッションで一番伝わってきたのは、Unified Studioが機械学習(や分析)の作業を始めるまでの迷子時間を減らすという点でした。

  • ワンストップ: 「ここに入れば必要なことができる」という前提で設計されている
  • 作業開始が速い: プロジェクトを選ぶだけで作業に入れる(画面遷移が少ない)
  • インフラ詳細を意識しにくい: VPCやIAMロールなどの前提知識が薄くても、体験としては前に進める

この「作業環境を配る」観点が、従来の「SageMaker使ってください(でも設定は各自で…)」から一段進んだところだと感じました。

Identity Centerによるマルチアカウント管理

AWS Identity Centerは、複数のAWSアカウントへのアクセスを一元管理できるサービスです。

前提:AWS Organizationsとの統合

Identity Centerは、Management Account(組織の管理アカウント)で設定します。AWS Organizationsで管理されている全てのアカウントに対して、一元的に権限を設定できます。

仕組み

  1. Management AccountでIdentity Centerを有効化
  2. Identity Centerにユーザーを登録(または既存IDプロバイダーから同期)
  3. Permission Setsで権限を定義(例:ML開発者用、管理者用)
  4. ユーザーグループとアカウントを紐付け
  5. 各アカウントに必要なロールが自動作成される

重要なのは、全ての設定がManagement Accountから実施されることです。各アカウントに個別にログインする必要はありません。

Permission Setsで権限を管理(問題1の解決)

セッションで特に便利だと感じたのがPermission Setsという機能です。これが問題1のマルチアカウント管理を劇的に楽にします。

具体的な設定例

  1. Permission Setを作成

    • 名前: 「ML-Developer」
    • 権限: SageMaker関連のフルアクセス + S3読み書き

  2. ユーザーグループを作成

    • グループ名: 「Machine Learning Engineers」
    • メンバー: 10人のMLエンジニア

  3. 紐付けを1回設定

    • 「ML-Developer」Permission Setを
    • 「Machine Learning Engineers」グループに
    • 10個すべてのアカウントに適用

結果

  • 10人全員が10個のアカウントにアクセス可能(合計100アクセス)
  • 設定作業は上記の3ステップのみ
  • 新しいメンバーは、グループに追加するだけで自動的に全アカウントにアクセス可能に
  • 退職者も、グループから削除するだけで全アカウントから削除される

従来の100個のIAMユーザー作成と比べて、管理が圧倒的に楽になります。

シングルサインオンの体験(問題3の解決)

セッションで聞いたユーザー体験がとても分かりやすかったです。

ユーザーの操作フロー

  1. 組織固有のURL(https://your-org.awsapps.com/start)にアクセス
  2. Entra IDやOktaで認証(普段使っているアカウント)
  3. 自分がアクセスできるAWSアカウント一覧が表示される
  4. SageMaker Unified Studioなどのアプリケーションもポータルに表示
  5. クリック1つでアプリケーションにアクセス

問題3の解決ポイント

  • ユーザーは既存のEntra IDアカウントでログイン
  • AWS専用のパスワードを覚える必要がない
  • Identity CenterがEntra IDと自動同期しているので、退職者は自動的に全AWSアカウントからもアクセス不可になる

これなら、「どのアカウントにログインすればいいの?」という質問もなくなります。

Unified Studioをマルチアカウントで「配れる」ようにする(問題1の解決にも効く)

Unified Studioをチームに配るときに、地味に効いてくるのがIdentity Center側の整理です。

  • 「どの人に」「どのアカウントで」「どの権限で」使わせるか
  • それをManagement Accountからまとめて管理できる

結果として、Unified Studio側の「ワンストップな体験」を、マルチアカウント環境でも崩さずに提供しやすくなります。

統合のメリット

  1. シームレスなアクセス

    • Identity Centerポータルから「SageMaker Unified Studio」をクリック
    • AWSコンソールを開く必要がない
    • 再ログイン不要

  2. サーバーレスコンピューティングの自動作成

    • 環境セットアップ時、以下が自動的に準備される
      • Amazon Athena Spark(サーバーレス)
      • AWS Glue Spark(サーバーレス)
      • Amazon MWAA(ワークフロー管理)
      • AWS Glue データカタログからプロジェクト作成
    • プロビジョニングが不要で、ジャストインタイムのコンピューティングリソースを使用
    • 作業完了後は自動スケールダウンしてコスト削減

  3. プロジェクトベースの管理

    • ユーザーは自分のプロジェクト一覧が表示される
    • プロジェクトを選ぶだけで、すぐに機械学習の作業を開始できる
    • インフラの設定を意識する必要がない

ドメインとプロファイル

SageMaker Unified Studioでは、以下の概念があります。

ドメイン

  • 組織全体またはチームの環境を表す
  • Identity Centerと統合することで、アクセス管理が自動化される
  • Management Accountから作成・管理

ユーザープロファイル

  • 各ユーザーがドメイン内で持つ個人環境
  • ノートブック、コード、設定などを保存
  • Identity Centerのユーザーと自動的に紐付けられる

ユーザーは、自分のプロファイルにアクセスするだけで、すぐに作業を開始できます。インフラのセットアップは不要です。

データサイエンティストの利用フロー

Identity CenterとUnified Studioを組み合わせると、データサイエンティストは以下の手順で作業を開始できます。

  1. https://your-org.awsapps.com/start にアクセス
  2. Entra IDでログイン(普段使っているアカウント)
  3. 「SageMaker Unified Studio」をクリック
  4. プロジェクトを選択
  5. すぐにノートブックで機械学習の作業を開始

AWSコンソールを開く必要もなく、VPCやIAMロールの設定で悩むこともありません。データサイエンティストがAWSのインフラを学ぶ必要がなくなり、機械学習に集中できるようになります。

まとめ:誰に推奨するか

このセッションの要点

このセッションで伝えていたのは、「Unified Studioで“ワンストップな作業環境”を用意し、Identity Centerでそれをマルチアカウントに配る」ということです。

  • データサイエンティストがコンソールに迷い込む → Unified Studioの「入れば作業できる」体験で迷子時間を減らす
  • 100個のIAMユーザー作成 → Identity Center(Permission Sets)で設定を集約
  • AWS専用アカウントが必要 → 既存のEntra IDアカウントで利用可能

SageMaker Unified StudioとIdentity Centerの組み合わせは、機械学習チームのマルチアカウント管理を劇的に楽にしてくれます。

こんな人におすすめ

このアプローチは、以下のような方に特におすすめです。

1. AWS Organizationsでマルチアカウント管理している方

  • Management Accountから一元的に権限を設定できます
  • 複数のAWSアカウントへのアクセス管理を簡素化できます
  • Permission Setsで権限を標準化できます
  • 外部IDプロバイダーと統合できます

2. 機械学習チームを管理している方

  • データサイエンティストがインフラ設定に時間を取られなくなります
  • プロジェクトベースでリソースを管理できます
  • コストとガバナンスの可視化が容易になります

3. セキュリティとガバナンスを重視する組織

  • 集中化されたアクセス管理でセキュリティを強化できます
  • アカウント分離でリスクを低減できます
  • 監査とコンプライアンスが簡素化されます

4. 開発者の生産性を向上させたい方

  • 1つのインターフェースで作業を完結できます
  • チーム間のコラボレーションが容易になります
  • セットアップ時間を大幅に削減できます

最後に

「機械学習チームに複数のAWSアカウントへのアクセスを提供する」というのは、AWS Organizationsでマルチアカウント戦略を取っている組織が必ず直面する課題です。

このセッションで学んだIdentity Center + Unified Studioのアプローチは、その課題を解決する実践的な方法でした。Management Accountから一元管理できることで、管理者の負担が大幅に減ります。また、データサイエンティストがAWSのインフラを意識せずに機械学習に集中できる環境は、組織の生産性向上に直結します。

AWS Organizationsでマルチアカウント管理をしている方は、Unified Studioの導入と合わせて、Identity Centerの設計もセットで検討してみてください。このレポートが、皆さんの参考になれば幸いです。

この記事をシェアする

FacebookHatena blogX

関連記事

[UPDATE] Amazon SageMaker Catalog が AI エージェントによる自動データ分類機能を提供開始しました #AWSreInvent
石川覚
2025.12.05
【AWS re:Invent 2025】Architecting the future: Amazon SageMaker as a data and AI platformに参加してきた:統合プラットフォームの必要性
tomozou
2025.12.04
[アップデート]Amazon SageMaker Unified Studioが即時セットアップ可能に。ワンクリックオンボーディングを試してみた
渡部晃季
2025.11.23
クラスメソッド データアナリティクス通信(AWSデータ分析編) – 2025年11月号
石川覚
2025.11.06