aws-recipe-user はじめに
本連載の最終回として、特にセキュリティと運用上の信頼性に留意し、構成を再考、IAM設定を見直すことでセキュリティに強い機械学習環境の作成まで行います。
ゴール
前回、最小権限の原則に触れました。
Notebook上の操作でうっかりローデータを消してしまっては大変なので、推論結果の保存先とローデータの保存先を分けます。それらに紐づける形で、Notebookインスタンス、IAMエンティティを作成します。
この際、セキュリティ担保のために最低限必要な項目である、MFA認証についてもポリシーで固めておきます。
このような条件を満たす環境の構築をゴールとします。
手順
1. IAMポリシー
・管理者 Notebook
・機械学習技術者 Notebook
・管理者 グループ
・機械学習技術者 グループ
これら4つの要素にアクセス権限を付与するため、
以下の3点を明示したポリシーを作成します。
・S3バケットに対するアクセス
・インスタンスに対するアクセス
・各ユーザーのMFA認証必須
内容は下記の通り。
|
1 2 3 4 5 6 7 8 9 10 11 |
管理者Notebook用ポリシー // for_notebook-for-administrator { "Version": "2012-10-17", "Statement": { "Sid": "RawDataAccessAll", "Effect": "Allow", "Action": "*", "Resource": "arn:aws:s3:::sagemaker-rawdata/*" } } |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
機械学習技術者Notebook用ポリシー // for_notebook-for-engineer { "Version": "2012-10-17", "Statement": [ { "Sid": "RawDataAccessGetList", "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "arn:aws:s3:::sagemaker-rawdata/*" }, { "Sid": "SageMakerResultAllAccess", "Effect": "Allow", "Action": "*", "Resource": "arn:aws:s3:::sagemaker-result/*" } ] } |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
管理者グループ用ポリシー // for_SageMakerAdministrator_Group { "Version": "2012-10-17", "Statement": [ { "Sid": "MFA", "Effect": "Deny", "Action": "*", "Resource":"*", "Condition": { "Null": {"aws:MultiFactorAuthAge": true } } }, { "Sid": "AdministratorAccess", "Effect": "Allow", "Action": "*", "Resource":"arn:aws:sagemaker:::notebook-instance/notebook-for-administrator/*" } ] } |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
機械学習技術者グループ用ポリシー // for_SageMakerEngineer_Group { "Version": "2012-10-17", "Statement": [ { "Sid": "MFA", "Effect": "Deny", "Action": "*", "Resource":"*", "Condition": { "Null": { "aws:MultiFactorAuthAge": true } } }, { "Sid": "EngineerAccess", "Effect": "Allow", "Action": "*", "Resource":"arn:aws:sagemaker:::notebook-instance/notebook-for-engineer/*" } ] } |
2. IAMロール
先ほどのIAMポリシーをNotebookインスタンスに紐づけるためのIAMロールを作成します。
コンソールからIAMを選択。ロールを選択し、ロールの作成をクリック
AWSサービスのS3を選択。ユースケースの選択でS3を選択、次のステップに進みます。
先ほど作成したポリシーを選択し、
タグの選択をクリック
付与したポリシーが分かるように、ロールの名称をいれ、作成まで進みます。
3. S3バケット
コンソールでS3を選択、バケットを作成するをクリック
バケット名を入力し、左下の作成をクリック
4. Notebookインスタンス
コンソールからノートブックインスタンスを選択
新しいNotebookインスタンスを作成
名称を入れ、先ほど作成したIAMロールのARNを入力します。
ARNはIAMロールのコンソールから確認できます。あとはチェックを飛ばし、作成してOK。
5. IAMグループ/ユーザー
またまたIAMのコンソールで、グループを選び、新しいグループを作成。
グループ名を入力。
作成したポリシーをアタッチ。そのまま進み、作成をクリック。
ユーザーに移り、追加をクリック。
これらの箇所にチェックを入れて
グループに所属。そのまま進み作成をクリック。
Trusted Advisor 再確認
Trusted Advisorを見てみましょう。確認できる範囲ではオールグリーンになってますね。
まとめ
このように必要なセキュリティ要件や課題点からシステムを設計し、IAMロールで設定した後に各要素を追加していくと手戻りが少ないです(自戒)。さくっと環境構築をすまして、じっくり分析して、おもしろい結果を出しましょう。
参考リンク (AWSオフィシャル)
Identity and Access Management
バケットポリシーの例
SageMakerの導入ならナレコムにおまかせください。
日本のAPNコンサルティングパートナーとしては国内初である、Machine Learning コンピテンシー認定のナレコムが導入から活用方法までサポートします。お気軽にご相談ください。
