![[アップデート] Amazon SageMaker Unified Studio が Identity Center 基盤ドメインのドメイン管理機能をサポートしました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-4e6e510f2f74e1cc7d0ec360f38d138a/c00e9d7f4e47022543b37632bc20bcc0/amazon-sagemaker?w=3840&fm=webp)
[アップデート] Amazon SageMaker Unified Studio が Identity Center 基盤ドメインのドメイン管理機能をサポートしました
クラウド事業本部の石川です。Amazon SageMaker Unified Studio において、IAM Identity Center 基盤ドメインに対するドメイン管理機能が拡張され、IAM 基盤ドメインと同等の管理操作がポータル内で実行できるようになりました。これまで管理者は IAM 基盤ドメインでしか実現できなかった一元的なドメイン管理を、Identity Center 基盤ドメインでも享受できるようになり、エンタープライズ環境におけるガバナンス運用がよりシンプルになります。
Amazon SageMaker Unified Studio とは
Amazon SageMaker Unified Studio は、データ、分析、AI/ML を統合した次世代の SageMaker 環境です。組織のユーザーがプロジェクト単位で安全にデータを共有・分析し、機械学習モデルを構築・運用できる統合ワークスペースを提供します。
ドメイン構成として、IAM ベースの認証を利用する「IAM 基盤ドメイン」 と、AWS IAM Identity Center による SSO を利用する「Identity Center 基盤ドメイン」 の 2 種類が選択できます。
アップデート内容
今回のアップデートにより、Identity Center 基盤ドメインの管理者が、AWS マネジメントコンソールに頼らず、SageMaker Unified Studio ポータル内で包括的なドメイン管理を実施できるようになりました。これまで IAM 基盤ドメインに限定されていた管理機能が、Identity Center 基盤ドメインにも展開された形になります。
主な変更点は以下のとおりです。
- プロジェクト管理: Identity Center 基盤ドメイン上で、プロジェクトの作成・管理がポータル内で完結できるようになりました
- ユーザーと権限の管理: ワークフォース ID の設定、ユーザーと権限の管理をポータルから実施可能になりました
- 実行ロール設定: プロジェクトごとに実行ロールを設定し、アクセス可能な AWS の分析・AI・ML サービスを制御できます
- VPC 設定の統一: VPC 設定はドメインタイプに関わらず一貫しており、全プロジェクトに継承されます。VPC、サブネット、セキュリティグループは編集可能です
- クロスアカウント連携: 関連付けたアカウントを管理することで、他の AWS アカウントとの間でデータの発行 (Publish) と消費 (Consume) が可能になります
IAM 基盤ドメインと Identity Center 基盤ドメインの違い
今回のアップデートで両ドメインタイプの管理体験が揃ったため、ドメインタイプの選択基準を整理しておきます。
| 項目 | IAM 基盤ドメイン | Identity Center 基盤ドメイン |
|---|---|---|
| 認証方式 | フェデレーション IAM ロール | AWS IAM Identity Center による SSO |
| ユーザー ID | プロジェクト内で共有ロール | 個別ユーザーの ID を維持 |
| 主な強み | 開発者の生産性向上、最新の開発ツール | きめ細やかなアクセス制御、ガバナンス強化 |
| 適したユースケース | 開発チーム向けの素早い立ち上げ | エンタープライズ環境のコンプライアンス要件対応 |
両ドメインタイプを併用する設計パターンも可能で、IAM Identity Center 基盤ドメインで確立されたデータ共有ワークフロー (Pub/Sub) を維持しつつ、IAM 基盤ドメインで最新の開発ツールを活用するといった構成も検討できます。
やってみた
Identity Center 基盤ドメインのドメイン管理ポータルへのアクセス
Amazon SageMaker Unified Studio の コンソールから[Open] ボタン(または、[Set up]ボタン)を押します。
左下のナビゲーションから [Domain management]リンク を選択します
ドメイン管理ページから、以下の項目にアクセスできます
- Projects: 既存プロジェクトの管理、新規プロジェクトの作成
- Users: ユーザーアクセスと権限の管理
- Settings: ネットワーク設定とアカウント関連付けの構成
なお、ドメイン管理ページへのアクセスは「Administrator」の指定を持つドメインユーザーに限定されています。ドメイン作成時に使用した IAM ロールには、デフォルトでこの権限が付与されています。
プロジェクト作成画面(実行ロール設定)
プロジェクトの作成: Step1
プロジェクトの作成: Step2
プロジェクトの作成: Step3
プロジェクトの一覧に追加されました。
ドメインレベルの VPC 設定画面
最後に
今回のアップデートで、Amazon SageMaker Unified Studio の Identity Center 基盤ドメインでも IAM 基盤ドメインと同様のドメイン管理機能が利用可能になりました。プロジェクトや権限、VPC 設定の管理がポータル内で完結し、クロスアカウントでのデータ連携も実現できるため、管理体験の差異がなくなった点が大きな改善です。
エンタープライズ用途で IAM Identity Center による SSO 運用を採用している、または検討している方は、ガバナンス要件と管理者の運用負荷の両面でメリットを享受できるアップデートです。既存ドメインの運用見直しや、新規ドメイン設計の段階で検討してみてはいかがでしょうか。
参考文献
