Q61 — AWS DEA-C01 第1章

第 61/100 問 | ← 第1章

データエンジニアが、機械学習(ML)モデルのためのデータ準備にAWS Glueインタラクティブセッションを使用するようAmazon SageMaker Studioを設定しています。 データエンジニアがSageMaker Studioを使用してデータを準備しようとしたところ、「アクセスが拒否されました(Access Denied)」というエラーが発生しました。 データエンジニアがSageMaker Studioへのアクセスを取得するために行うべき変更はどれですか?

正解: B. データエンジニアのIAMユーザーに、信頼ポリシー内でAWS GlueおよびSageMakerサービスプリンシパルに対してsts:AssumeRoleアクションを許可するポリシーを追加します。

解説

AWSサービス間の相互作用における権限設定は、通常、クロスサービスロール委任を含みます。AWS Glueインタラクティブセッションを使用する場合、SageMaker StudioはAWS Security Token Service(STS)を介してGlueサービスロールを引き受ける(AssumeRole)必要があります。IAMユーザーにはsts:AssumeRoleアクションを実行する権限が必要であり、信頼ポリシーにはGlueおよびSageMakerのサービスプリンシパルが明示的に許可されている必要があります。AWS公式ドキュメントでは、サービスAがサービスBを呼び出す場合、サービスAのプリンシパル(例:sagemaker.amazonaws.com)がそのロールを引き受けることを信頼関係で明示的に許可する必要があると強調されています。選択肢Bは必要なSTS権限を正しく設定しており、他の選択肢はクロスサービスロール委任の問題を解決していません。