EMRAmazon-Cluster auflisten

Administratoren können Studio so konfigurieren, dass Benutzer die Liste der EMR Amazon-Cluster einsehen können, auf die sie Zugriff haben, sodass sie sich mit diesen Clustern verbinden können. Die Cluster können in demselben AWS Konto wie Studio (wählen Sie die Registerkarte Einzelkonto) oder in separaten Konten (wählen Sie die Registerkarte Kontoübergreifend) bereitgestellt werden.

Anmerkung

Studio unterstützt derzeit nicht den Zugriff auf EMR Amazon-Cluster, die in einem anderen AWS Konto als dem Konto erstellt wurden, in dem Studio bereitgestellt wird. Kontenübergreifender Zugriff ist nur in Studio Classic verfügbar.

Single account

Wenn Ihre EMR Amazon-Cluster und Studio oder Studio Classic im selben AWS Konto bereitgestellt werden, weisen Sie der SageMaker Ausführungsrolle, die auf Ihren Cluster zugreift, die folgenden Berechtigungen zu.

Anmerkung

Welche Ausführungsrolle sollten Sie in Betracht ziehen?

Die Studio-Benutzeroberfläche bestimmt ihre Berechtigungen anhand der Ausführungsrolle, die dem Benutzerprofil zugeordnet ist, mit dem sie gestartet wurde. Die Benutzeroberfläche legt diese Berechtigungen zum Zeitpunkt des Starts fest. Die Bereiche, in denen Studio Classic-Anwendungen gestartet JupyterLab werden, können jedoch separate Berechtigungen haben.

Um konsistenten Zugriff auf EMR Amazon-Vorlagen und -Cluster für alle Anwendungen (wie die Studio-Benutzeroberfläche und Studio Classic) zu erhalten, gewähren Sie allen Rollen auf Domänen-, Benutzerprofil- oder Bereichsebene dieselbe Teilmenge an Berechtigungen. JupyterLab Die Berechtigungen sollten das Erkennen und Bereitstellen von EMR Amazon-Clustern ermöglichen.

Suchen Sie nach der Ausführungsrolle Ihrer Domain, Ihres Benutzerprofils oder Ihres Bereichs. Informationen zum Abrufen der Ausführungsrolle finden Sie unterHolen Sie sich Ihre Ausführungsrolle.
Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/sagemaker/.
Wählen Sie Rollen und suchen Sie dann nach der Rolle, die Sie erstellt haben, indem Sie Ihren Rollennamen in das Suchfeld eingeben.
Folgen Sie dem Link zu Ihrer Rolle.
Wählen Sie Berechtigungen hinzufügen und dann Inline-Richtlinie erstellen aus.

Fügen Sie auf der JSONRegisterkarte die folgende JSON Richtlinie mit den entsprechenden Berechtigungen hinzu:

AllowSagemakerProjectManagementermöglicht die Erstellung von. In Studio oder Studio Classic AWS Service Catalog erfolgt der Zugriff auf die über.
AllowClusterDetailsDiscoveryund AllowClusterDiscovery ermöglichen die Erkennung und Verbindung zu EMR Amazon-Clustern.
AllowPresignedUrlermöglicht die Erstellung von vorsignierten Benutzeroberflächen URLs für den Zugriff auf Spark.

Die in der bereitgestellten IAM Richtlinie definierte Richtlinie JSON gewährt diese Berechtigungen. Ersetzen studio-region and studio-account mit Ihren tatsächlichen Regions- und AWS Konto-ID-Werten, bevor Sie die Liste der Kontoauszüge in die Inline-Richtlinie Ihrer Rolle kopieren.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:DescribeCluster",
                "elasticmapreduce:ListInstanceGroups",
                "elasticmapreduce:CreatePersistentAppUI",
                "elasticmapreduce:DescribePersistentAppUI",
                "elasticmapreduce:GetPersistentAppUIPresignedURL",
                "elasticmapreduce:GetOnClusterAppUIPresignedURL"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:studio-region:studio-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDetailsDiscovery",
            "Effect": "Allow",
            "Action": [
               "elasticmapreduce:DescribeCluster",
               "elasticmapreduce:ListInstances",
               "elasticmapreduce:ListInstanceGroups",
               "elasticmapreduce:DescribeSecurityConfiguration"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:studio-region:studio-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDiscovery",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:ListClusters"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerProjectManagement",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateProject",
                "sagemaker:DeleteProject"
            ],
            "Resource": "arn:aws:sagemaker:studio-region:studio-account:project/*"
        }
    ]
}

Geben Sie Ihrer Richtlinie einen Namen und wählen Sie Richtlinie erstellen aus.

Cross account

Wenn Ihre EMR Amazon-Cluster und Studio oder Studio Classic in separaten AWS Konten bereitgestellt werden, konfigurieren Sie die Berechtigungen für beide Konten.

Auf dem EMR Amazon-Konto

Erstellen Sie für das Konto, auf dem Amazon bereitgestellt EMR wird, das auch als vertrauenswürdiges Konto bezeichnet wird, eine benutzerdefinierte IAM Rolle ASSUMABLE-ROLE mit der folgenden Konfiguration:

Berechtigungen: Erteilen Sie die erforderlichen Berechtigungen, ASSUMABLE-ROLE um den Zugriff auf EMR Amazon-Ressourcen zu ermöglichen.
Vertrauensverhältnis: Konfigurieren Sie die Vertrauensrichtlinie soASSUMABLE-ROLE, dass die Übernahme der Rolle von dem Studio-Konto aus möglich ist, für das Zugriff erforderlich ist.

Durch die Übernahme der Rolle können Studio oder Studio Classic temporären Zugriff auf die Berechtigungen erhalten, die sie in Amazon benötigenEMR.

Erstellen Sie eine neue Richtlinie für die Rolle.

Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/sagemaker/.
Wählen Sie im linken Menü Richtlinien und dann Richtlinie erstellen aus.

Fügen Sie auf der JSONRegisterkarte die folgende JSON Richtlinie mit den entsprechenden Berechtigungen hinzu:

AllowClusterDetailsDiscoveryund AllowClusterDiscovery um die Erkennung und Verbindung zu EMR Amazon-Clustern zu ermöglichen.
AllowPresignedUrlum die Erstellung von vorsignierten Benutzeroberflächen URLs für den Zugriff auf Spark zu ermöglichen.

Ersetzen emr-region and emr-account mit Ihren tatsächlichen Regions- und AWS Konto-ID-Werten, bevor Sie sie in Ihre Police kopieren. JSON


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:DescribeCluster",
                "elasticmapreduce:ListInstanceGroups",
                "elasticmapreduce:CreatePersistentAppUI",
                "elasticmapreduce:DescribePersistentAppUI",
                "elasticmapreduce:GetPersistentAppUIPresignedURL",
                "elasticmapreduce:GetOnClusterAppUIPresignedURL"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:emr-region:emr-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDetailsDiscovery",
            "Effect": "Allow",
            "Action": [
               "elasticmapreduce:DescribeCluster",
               "elasticmapreduce:ListInstances",
               "elasticmapreduce:ListInstanceGroups",
               "elasticmapreduce:DescribeSecurityConfiguration"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:emr-region:emr-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDiscovery",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:ListClusters"
            ],
            "Resource": "*"
        }
    ]
}

Geben Sie Ihrer Richtlinie einen Namen und wählen Sie Richtlinie erstellen aus.

Erstellen Sie eine benutzerdefinierte IAM Rolle mit dem Namen ASSUMABLE-ROLE und fügen Sie der Rolle dann Ihre neue Richtlinie hinzu.
1. Wählen Sie in der IAM Konsole im linken Menü Rollen und dann Rolle erstellen aus.
2. Wählen Sie AWS unter Vertrauenswürdiger Entitätstyp die Option Konto und dann Weiter aus.
3. Wählen Sie die soeben erstellte Berechtigung aus und klicken Sie dann auf Weiter.
4. Geben Sie Ihrer Rolle einen Namen ASSUMABLE-ROLE und klicken Sie dann rechts neben Schritt 1: Vertrauenswürdige Entitäten auswählen auf die Schaltfläche Bearbeiten.
5. Wählen Sie unter Vertrauenswürdiger Entitätstyp die Option Benutzerdefinierte Vertrauensrichtlinie aus und fügen Sie dann die folgende Vertrauensbeziehung ein. Dadurch wird dem Konto, auf dem Studio bereitgestellt wird (dem vertrauenswürdigen Konto), die Berechtigung erteilt, diese Rolle zu übernehmen.
  
  Ersetzen studio-account mit seiner tatsächlichen AWS Konto-ID. Wählen Sie Weiter.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::studio-account:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```
6. Suchen Sie die soeben erstellte Berechtigung erneut, wählen Sie sie aus und klicken Sie dann auf Weiter.
7. Ihre Vertrauensrichtlinie sollte mit der neuesten Version aktualisiert werden, die JSON Sie eingefügt haben. Wählen Sie Rolle erstellen.

Auf dem Studio-Konto

Aktualisieren Sie auf dem Konto, auf dem Studio oder Studio Classic bereitgestellt werden, das auch als vertrauenswürdiges Konto bezeichnet wird, die SageMaker Ausführungsrolle, die auf Ihren Cluster zugreift, mit der folgenden Inline-Richtlinie.

Die Richtlinie sollte die kontoübergreifende Übernahme von Rollen bei der Suche nach Ressourcen in einem anderen Konto ermöglichen.

Anmerkung

Welche Ausführungsrolle sollten Sie in Betracht ziehen?

Suchen Sie nach der Ausführungsrolle Ihrer Domain, Ihres Benutzerprofils oder Ihres Bereichs. Informationen zum Abrufen der Ausführungsrolle finden Sie unterHolen Sie sich Ihre Ausführungsrolle.
Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/sagemaker/.
Wählen Sie Rollen und suchen Sie dann nach der Rolle, die Sie erstellt haben, indem Sie Ihren Rollennamen in das Suchfeld eingeben.
Folgen Sie dem Link zu Ihrer Rolle.
Wählen Sie auf der Detailseite Ihrer Ausführungsrolle die Option Berechtigungen hinzufügen und dann Inline-Richtlinie erstellen aus.

Fügen Sie JSONauf der Registerkarte die folgende JSON Richtlinie hinzu. Ersetzen emr-account mit Ihrem tatsächlichen EMR Amazon-Konto-ID-Wert, bevor Sie ihn JSON in Ihre Police kopieren.


{
  "Version": "2012-10-17",
  "Statement": [
  { 
            "Sid": "AllowRoleAssumptionForCrossAccountDiscovery", 
            "Effect": "Allow", 
            "Action": "sts:AssumeRole", 
            "Resource":  ["arn:aws:iam::emr-account:role/ASSUMABLE-ROLE" ]
  }]
}

Wählen Sie Weiter und geben Sie dann einen Richtliniennamen ein.
Wählen Sie Create Policy (Richtlinie erstellen) aus.
Um das Auflisten von EMR Amazon-Clustern zu ermöglichen, die in demselben Konto wie Studio bereitgestellt werden, fügen Sie Ihrer Studio-Ausführungsrolle eine zusätzliche Inline-Richtlinie hinzu, wie auf der Registerkarte Einzelkonto von definiertEMRAmazon-Cluster auflisten.

Übergeben Sie die Rollen ARN beim Start des Jupyter-Servers

Zuletzt erfahren Sie unterZusätzliche Konfiguration für kontoübergreifenden Zugriff, wie Sie Ihrer Studio-Ausführungsrolle die Rolle „ARNof“ ASSUMABLE-ROLE zuweisen können. Das ARN wird beim Start vom Jupyter-Server geladen. Die von Studio verwendete Ausführungsrolle übernimmt diese kontoübergreifende Rolle, um EMR Amazon-Cluster im vertrauenswürdigen Konto zu erkennen.

Besuchen SieEMRAmazon-Cluster von Studio oder Studio Classic auflisten, um zu erfahren, wie Sie EMR Amazon-Cluster von Studio- oder Studio Classic-Notebooks aus entdecken und eine Verbindung zu ihnen herstellen können.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Konfigurieren Sie den Start eines EMR Amazon-Clusters von Studio aus

Zusätzliche Konfiguration für kontoübergreifenden Zugriff