Amazon SageMaker に SCP コンプライアンスのためのアクセス許可の境界が追加されます
Amazon SageMaker Unified Studio でカスタム IAM アクセス許可の境界がサポートされるようになりました。これにより、サービスコントロールポリシー (SCP) を適用し、すべての IAM ロールにアクセス許可の境界を要求する組織は、セキュリティ体制の変更を伴わずに SageMaker Unified Studio を採用できるようになりました。
ユーザーがプロジェクトを作成する際、SageMaker Unified Studio により 3 つの IAM ロール (プロジェクトユーザーロール、Amazon Bedrock サービスロール、Bedrock Lambda 実行ロール) がプロビジョニングされます。本リリースにより、管理者が Tooling ブループリント構成でアクセス許可の境界を指定できるようになり、そのアクセス許可の境界が付与された状態で 3 つのロールすべてが作成されます。これにより、作成時に SCP 要件が満たされ、管理者の介入なしでプロジェクトのプロビジョニングが正常に完了します。アクセス許可の境界により、プロビジョニングされたロールが何を実行できるかも制限されます。これにより、新たにプロジェクトが作成されたときでも、管理者はプロジェクトレベルのアクセス許可の制御を維持できます。このアクセス許可の境界は、ブループリントレベルで設定されるものであるため、すべての新しいプロジェクトに自動的に適用されます。
この機能は、Amazon SageMaker Unified Studio が提供されているすべての AWS リージョンでご利用いただけます。詳細については、「Manage Tooling blueprint parameters」のドキュメントをご覧ください。