EMR CloudFormationAmazon-Vorlagen im Service Catalog konfigurieren - Amazon SageMaker
Schritt 0: VoraussetzungenSchritt 1: Verknüpfen Sie Ihr Service Catalog-Portfolio mit SageMakerSchritt 2: Verweisen Sie in einem Service Catalog-Produkt auf eine EMR Amazon-VorlageSchritt 3: Die Amazon-Vorlage parametrisieren EMR CloudFormation Schritt 4: Berechtigungen einrichten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

EMR CloudFormationAmazon-Vorlagen im Service Catalog konfigurieren

Bei diesem Thema wird davon ausgegangen AWS CloudFormation, dass Administratoren sowohl mit den Portfolios und Produkten von Amazon als auch mit Amazon vertraut sindEMR. AWS Service Catalog

Um die Erstellung von EMR Amazon-Clustern in Studio zu vereinfachen, können Administratoren eine EMR CloudFormation Amazon-Vorlage als Produkt in einem AWS Service CatalogPortfolio registrieren. Um die Vorlage Datenwissenschaftlern zur Verfügung zu stellen, müssen sie das Portfolio der in Studio oder Studio Classic verwendeten SageMaker Ausführungsrolle zuordnen. Um es Benutzern zu ermöglichen, Vorlagen zu finden, Cluster bereitzustellen und sich von Studio oder Studio Classic aus mit EMR Amazon-Clustern zu verbinden, müssen Administratoren schließlich die entsprechenden Zugriffsberechtigungen einrichten.

Mit den EMR AWS CloudFormation Amazon-Vorlagen können Endbenutzer verschiedene Cluster-Aspekte anpassen. Administratoren können beispielsweise eine Liste mit genehmigten Instance-Typen definieren, aus denen Benutzer bei der Erstellung eines Clusters auswählen können.

In den folgenden Anweisungen werden end-to-end CloudFormation Stacks verwendet, um eine Studio- oder Studio Classic-Domain, ein Benutzerprofil und ein Service Catalog-Portfolio einzurichten und eine EMR Amazon-Startvorlage auszufüllen. In den folgenden Schritten werden die spezifischen Einstellungen hervorgehoben, die Administratoren in ihrem end-to-end Stack vornehmen müssen, damit Studio oder Studio Classic auf Service Catalog-Produkte zugreifen und EMR Amazon-Cluster bereitstellen können.

Anmerkung

Das GitHub Repository aws-samples/ sagemaker-studio-emr enthält end-to-end CloudFormation Beispiel-Stacks, die die erforderlichen IAM Rollen, Netzwerke, SageMaker Domänen, das Benutzerprofil und das Service Catalog-Portfolio bereitstellen und eine Amazon-Startvorlage hinzufügen. EMR CloudFormation Die Vorlagen bieten unterschiedliche Authentifizierungsoptionen zwischen Studio oder Studio Classic und dem EMR Amazon-Cluster. In diesen Beispielvorlagen übergibt SageMaker VPC der übergeordnete CloudFormation Stack Sicherheitsgruppen- und Subnetzparameter an die EMR Amazon-Cluster-Vorlage.

Das Repository sagemaker-studio-emr/cloudformation/emr_servicecatalog_templates enthält verschiedene EMR CloudFormation Amazon-Startvorlagen, darunter Optionen für Einzelkonten und kontoübergreifende Bereitstellungen.

Stellen Sie von SageMaker Studio oder Studio Classic aus eine Connect zu einem EMR Amazon-Cluster herEinzelheiten zu den Authentifizierungsmethoden, mit denen Sie eine Verbindung zu einem EMR Amazon-Cluster herstellen können, finden Sie unter.

Gehen Sie wie folgt vor, damit Datenwissenschaftler EMR CloudFormation Amazon-Vorlagen entdecken und Cluster aus Studio oder Studio Classic bereitstellen können.

Schritt 0: Überprüfen Sie Ihr Netzwerk und bereiten Sie Ihren CloudFormation Stack vor

Bevor Sie beginnen:

  • Stellen Sie sicher, dass Sie die Netzwerk- und Sicherheitsanforderungen in gelesen habenNetzwerk konfigurieren.

  • Sie müssen über einen vorhandenen end-to-end CloudFormation Stack verfügen, der die Authentifizierungsmethode Ihrer Wahl unterstützt. Beispiele für solche CloudFormation Vorlagen finden Sie im sagemaker-studio-emr GitHub aws-samples/ Repository. In den folgenden Schritten werden die spezifischen Konfigurationen in Ihrem end-to-end Stack hervorgehoben, um die Verwendung von EMR Amazon-Vorlagen in Studio oder Studio Classic zu ermöglichen.

Schritt 1: Verknüpfen Sie Ihr Service Catalog-Portfolio mit SageMaker

Ordnen Sie in Ihrem Servicekatalog-Portfolio Ihre Portfolio-ID der SageMaker Ausführungsrolle zu, die auf Ihren Cluster zugreift.

Fügen Sie dazu den folgenden Abschnitt (hier im YAML Format) zu Ihrem Stack hinzu. Dadurch erhält die SageMaker Ausführungsrolle Zugriff auf das angegebene Service Catalog-Portfolio, das Produkte wie EMR Amazon-Vorlagen enthält. Es ermöglicht Rollen, die von übernommen wurden SageMaker , um diese Produkte auf den Markt zu bringen.

Ersetzen SageMakerExecutionRole.Arn and SageMakerStudioEMRProductPortfolio.ID mit ihren tatsächlichen Werten.

SageMakerStudioEMRProductPortfolioPrincipalAssociation:
    Type: AWS::ServiceCatalog::PortfolioPrincipalAssociation
    Properties:
      PrincipalARN: SageMakerExecutionRole.Arn
      PortfolioId: SageMakerStudioEMRProductPortfolio.ID
      PrincipalType: IAM
Anmerkung

Welche Ausführungsrolle sollten Sie in Betracht ziehen?

Die Studio-Benutzeroberfläche bestimmt ihre Berechtigungen anhand der Ausführungsrolle, die dem Benutzerprofil zugeordnet ist, mit dem sie gestartet wurde. Die Benutzeroberfläche legt diese Berechtigungen zum Zeitpunkt des Starts fest. Die Bereiche, in denen Studio Classic-Anwendungen gestartet JupyterLab werden, können jedoch separate Berechtigungen haben.

Um konsistenten Zugriff auf EMR Amazon-Vorlagen und -Cluster für alle Anwendungen (wie die Studio-Benutzeroberfläche und Studio Classic) zu erhalten, gewähren Sie allen Rollen auf Domänen-, Benutzerprofil- oder Bereichsebene dieselbe Teilmenge an Berechtigungen. JupyterLab Die Berechtigungen sollten das Erkennen und Bereitstellen von EMR Amazon-Clustern ermöglichen.

Einzelheiten zu den erforderlichen IAM Berechtigungen finden Sie im Abschnitt Berechtigungen.

Schritt 2: Verweisen Sie in einem Service Catalog-Produkt auf eine EMR Amazon-Vorlage

Verweisen Sie in einem Service Catalog-Produkt Ihres Portfolios auf eine EMR Amazon-Vorlagenressource und stellen Sie sicher, dass sie in Studio oder Studio Classic sichtbar ist.

Verweisen Sie dazu in der Service Catalog-Produktdefinition auf die EMR Amazon-Vorlagenressource und fügen Sie dann dem Wert den folgenden "sagemaker:studio-visibility:emr" Tag-Schlüsselsatz hinzu "true" (siehe das Beispiel im YAML Format).

In der Service Catalog-Produktdefinition wird über auf die AWS CloudFormation Vorlage des Clusters verwiesenURL. Das zusätzliche Tag, das auf true gesetzt ist, gewährleistet die Sichtbarkeit der EMR Amazon-Vorlagen in Studio oder Studio Classic.

Anmerkung

Die EMR Amazon-Vorlage, auf die URL im Beispiel verwiesen wird, erzwingt beim Start keine Authentifizierungsanforderungen. Diese Option dient Demonstrations- und Lernzwecken. In einer Produktionsumgebung wird sie nicht empfohlen.

SMStudioEMRNoAuthProduct:
    Type: AWS::ServiceCatalog::CloudFormationProduct
    Properties:
      Owner: AWS
      Name: SageMaker Studio Domain No Auth EMR
      ProvisioningArtifactParameters:
        - Name: SageMaker Studio Domain No Auth EMR
          Description: Provisions a SageMaker domain and No Auth EMR Cluster
          Info:
            LoadTemplateFromURL: Link to your CloudFormation template. For example, https://aws-blogs-artifacts-public.s3.amazonaws.com/artifacts/astra-m4-sagemaker/end-to-end/CFN-EMR-NoStudioNoAuthTemplate-v3.yaml
      Tags:
        - Key: "sagemaker:studio-visibility:emr"
          Value: "true"

Schritt 3: Die Amazon-Vorlage parametrisieren EMR CloudFormation

Die CloudFormation Vorlage, die zur Definition des EMR Amazon-Clusters innerhalb des Service Catalog-Produkts verwendet wird, ermöglicht es Administratoren, konfigurierbare Parameter anzugeben. Administratoren können Default Werte und AllowedValues Bereiche für diese Parameter im Parameters Abschnitt der Vorlage definieren. Während des Cluster-Startvorgangs können Datenwissenschaftler benutzerdefinierte Eingaben bereitstellen oder aus diesen vordefinierten Optionen eine Auswahl treffen, um bestimmte Aspekte ihres EMR Amazon-Clusters anzupassen.

Das folgende Beispiel zeigt zusätzliche Eingabeparameter, die Administratoren bei der Erstellung einer EMR Amazon-Vorlage festlegen können.

"Parameters": {
    "EmrClusterName": {
      "Type": "String",
      "Description": "EMR cluster Name."
    },
    "MasterInstanceType": {
      "Type": "String",
      "Description": "Instance type of the EMR master node.",
      "Default": "m5.xlarge",
      "AllowedValues": [
        "m5.xlarge",
        "m5.2xlarge",
        "m5.4xlarge"
      ]
    },
    "CoreInstanceType": {
      "Type": "String",
      "Description": "Instance type of the EMR core nodes.",
      "Default": "m5.xlarge",
      "AllowedValues": [
        "m5.xlarge",
        "m5.2xlarge",
        "m5.4xlarge",
        "m3.medium",
        "m3.large",
        "m3.xlarge",
        "m3.2xlarge"
      ]
    },
    "CoreInstanceCount": {
      "Type": "String",
      "Description": "Number of core instances in the EMR cluster.",
      "Default": "2",
      "AllowedValues": [
        "2",
        "5",
        "10"
      ]
    },
    "EmrReleaseVersion": {
      "Type": "String",
      "Description": "The release version of EMR to launch.",
      "Default": "emr-5.33.1",
      "AllowedValues": [
        "emr-5.33.1",
        "emr-6.4.0"
      ]
    }
  }

Nachdem Administratoren die EMR CloudFormation Amazon-Vorlagen in Studio verfügbar gemacht haben, können Datenwissenschaftler sie verwenden, um EMR Amazon-Cluster selbst bereitzustellen. Der in der Vorlage definierte Parameters Abschnitt wird in Eingabefelder im Formular zur Cluster-Erstellung in Studio oder Studio Classic übersetzt. Für jeden Parameter können Datenwissenschaftler entweder einen benutzerdefinierten Wert in das Eingabefeld eingeben oder aus den in einem Dropdownmenü aufgeführten vordefinierten Optionen auswählen, die den in der Vorlage AllowedValues angegebenen Optionen entsprechen.

Die folgende Abbildung zeigt das dynamische Formular, das aus einer CloudFormation EMR Amazon-Vorlage zusammengestellt wurde, um einen EMR Amazon-Cluster in Studio oder Studio Classic zu erstellen.

Abbildung eines dynamischen Formulars, das aus einer CloudFormation EMR Amazon-Vorlage zusammengestellt wurde, um einen EMR Amazon-Cluster aus Studio oder Studio Classic zu erstellen.

Besuchen SieStarten Sie einen EMR Amazon-Cluster von Studio oder Studio Classic aus, um zu erfahren, wie Sie mithilfe dieser EMR Amazon-Vorlagen einen Cluster von Studio oder Studio Classic aus starten können.

Schritt 4: Richten Sie die Berechtigungen ein, um das Auflisten und Starten von EMR Amazon-Clustern von Studio aus zu ermöglichen

Fügen Sie abschließend die erforderlichen IAM Berechtigungen hinzu, um die Auflistung vorhandener laufender EMR Amazon-Cluster und die Selbstbereitstellung neuer Cluster aus Studio oder Studio Classic zu ermöglichen.

Die Rollen, denen Sie diese Berechtigungen hinzufügen müssen, hängen davon ab, ob Studio oder Studio Classic und Amazon in demselben Konto (wählen Sie Einzelkonto) oder in unterschiedlichen Konten (wählen Sie Kontoübergreifend) bereitgestellt EMR werden.

Anmerkung

Studio unterstützt derzeit nicht den Zugriff auf EMR Amazon-Cluster, die in einem anderen AWS Konto als dem Konto erstellt wurden, in dem Studio bereitgestellt wird. Kontenübergreifender Zugriff ist nur in Studio Classic verfügbar.

Weitere Informationen zum kontenübergreifenden Zugriff mithilfe von Rollen finden Sie unter Kontoübergreifender Ressourcenzugriff in IAM.

Wenn Ihre EMR Amazon-Cluster und Studio oder Studio Classic im selben AWS Konto bereitgestellt werden, weisen Sie der SageMaker Ausführungsrolle, die auf Ihren Cluster zugreift, die folgenden Berechtigungen zu.

Anmerkung

Welche Ausführungsrolle sollten Sie in Betracht ziehen?

Die Studio-Benutzeroberfläche bestimmt ihre Berechtigungen anhand der Ausführungsrolle, die dem Benutzerprofil zugeordnet ist, mit dem sie gestartet wurde. Die Benutzeroberfläche legt diese Berechtigungen zum Zeitpunkt des Starts fest. Die Bereiche, in denen Studio Classic-Anwendungen gestartet JupyterLab werden, können jedoch separate Berechtigungen haben.

Um konsistenten Zugriff auf EMR Amazon-Vorlagen und -Cluster für alle Anwendungen (wie die Studio-Benutzeroberfläche und Studio Classic) zu erhalten, gewähren Sie allen Rollen auf Domänen-, Benutzerprofil- oder Bereichsebene dieselbe Teilmenge an Berechtigungen. JupyterLab Die Berechtigungen sollten das Erkennen und Bereitstellen von EMR Amazon-Clustern ermöglichen.

  1. Suchen Sie nach der Ausführungsrolle Ihrer Domain, Ihres Benutzerprofils oder Ihres Bereichs. Informationen zum Abrufen der Ausführungsrolle finden Sie unterHolen Sie sich Ihre Ausführungsrolle.

  2. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/sagemaker/.

  3. Wählen Sie Rollen und suchen Sie dann nach der Rolle, die Sie erstellt haben, indem Sie Ihren Rollennamen in das Suchfeld eingeben.

  4. Folgen Sie dem Link zu Ihrer Rolle.

  5. Wählen Sie Berechtigungen hinzufügen und dann Inline-Richtlinie erstellen aus.

  6. Fügen Sie auf der JSONRegisterkarte die folgende JSON Richtlinie mit den entsprechenden Berechtigungen hinzu:

    • AllowPresignedUrlermöglicht die Generierung vorsignierter URLs Dateien für den Zugriff auf die Spark-Benutzeroberfläche von Studio oder Studio Classic aus.

    • AllowClusterDiscoveryund AllowClusterDetailsDiscovery ermöglichen das Auflisten und Beschreiben von EMR Amazon-Clustern im Konto/der Region von Studio oder Studio Classic aus.

    • AllowEMRTemplateDiscoveryermöglicht die Suche nach EMR Amazon-Vorlagen im Service Catalog. Studio und Studio Classic verwenden dies, um verfügbare Vorlagen anzuzeigen.

    • AllowSagemakerProjectManagementermöglicht das Erstellen und Löschen. In SageMaker AWS Service Catalog wird der Zugriff auf die verwaltet überAutomatisieren Sie MLOps mit SageMaker Projekten.

    Die in der bereitgestellten IAM Richtlinie definierte Richtlinie JSON gewährt diese Berechtigungen. Ersetzen studio-region and studio-account mit Ihren tatsächlichen Regions- und AWS Konto-ID-Werten, bevor Sie die Liste der Kontoauszüge in die Inline-Richtlinie Ihrer Rolle kopieren.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreatePersistentAppUI",
                "elasticmapreduce:DescribePersistentAppUI",
                "elasticmapreduce:GetPersistentAppUIPresignedURL",
                "elasticmapreduce:GetOnClusterAppUIPresignedURL"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:studio-region:studio-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDetailsDiscovery",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:DescribeCluster",
                "elasticmapreduce:ListInstances",
                "elasticmapreduce:ListInstanceGroups",
                "elasticmapreduce:DescribeSecurityConfiguration"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:studio-region:studio-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDiscovery",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:ListClusters"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEMRTemplateDiscovery",
            "Effect": "Allow",
            "Action": [
              "servicecatalog:SearchProducts"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerProjectManagement",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateProject",
                "sagemaker:DeleteProject"
            ],
            "Resource": "arn:aws:sagemaker:studio-region:studio-account:project/*"
        }
    ]
}

  7. Wählen Sie Weiter und geben Sie dann einen Richtliniennamen ein.

  8. Wählen Sie Create Policy (Richtlinie erstellen) aus.

Wenn Ihre EMR Amazon-Cluster und Studio oder Studio Classic in separaten AWS Konten bereitgestellt werden, konfigurieren Sie die Berechtigungen für beide Konten.

Auf dem EMR Amazon-Konto

Erstellen Sie für das Konto, auf dem Amazon bereitgestellt EMR wird, das auch als vertrauenswürdiges Konto bezeichnet wird, eine benutzerdefinierte IAM Rolle ASSUMABLE-ROLE mit der folgenden Konfiguration:

  • Berechtigungen: Erteilen Sie die erforderlichen Berechtigungen, ASSUMABLE-ROLE um den Zugriff auf EMR Amazon-Ressourcen zu ermöglichen.

  • Vertrauensverhältnis: Konfigurieren Sie die Vertrauensrichtlinie soASSUMABLE-ROLE, dass die Übernahme der Rolle von dem Studio-Konto aus möglich ist, für das Zugriff erforderlich ist.

Durch die Übernahme der Rolle können Studio oder Studio Classic temporären Zugriff auf die Berechtigungen erhalten, die sie in Amazon benötigenEMR.

  • Erstellen Sie eine neue Richtlinie für die Rolle.

    1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/sagemaker/.

    2. Wählen Sie im linken Menü Richtlinien und dann Richtlinie erstellen aus.

    3. Fügen Sie auf der JSONRegisterkarte die folgende JSON Richtlinie mit den entsprechenden Berechtigungen hinzu:

      • AllowPresignedUrlermöglicht die Generierung von vorsignierten URLs Dateien für den Zugriff auf die Spark-Benutzeroberfläche von Studio aus.

      • AllowClusterDiscoveryund AllowClusterDetailsDiscovery ermöglicht das Auflisten und Beschreiben von EMR Amazon-Clustern im Konto/der Region von Studio aus.

      Ersetzen emr-region and emr-account mit Ihren tatsächlichen Regions- und AWS Konto-ID-Werten, bevor Sie sie in Ihre JSON Richtlinie kopieren.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreatePersistentAppUI",
                "elasticmapreduce:DescribePersistentAppUI",
                "elasticmapreduce:GetPersistentAppUIPresignedURL",
                "elasticmapreduce:GetOnClusterAppUIPresignedURL"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:emr-region:emr-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDetailsDiscovery",
            "Effect": "Allow",
            "Action": [
               "elasticmapreduce:DescribeCluster",
               "elasticmapreduce:ListInstances",
               "elasticmapreduce:ListInstanceGroups",
               "elasticmapreduce:DescribeSecurityConfiguration"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:emr-region:emr-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDiscovery",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:ListClusters"
            ],
            "Resource": "*"
        }
    ]
}

    4. Geben Sie Ihrer Richtlinie einen Namen und wählen Sie Richtlinie erstellen aus.

  • Erstellen Sie eine benutzerdefinierte IAM Rolle mit dem Namen ASSUMABLE-ROLE und fügen Sie der Rolle dann Ihre neue Richtlinie hinzu.

    1. Wählen Sie in der IAM Konsole im linken Menü Rollen und dann Rolle erstellen aus.

    2. Wählen Sie AWS unter Vertrauenswürdiger Entitätstyp die Option Konto und dann Weiter aus.

    3. Wählen Sie die soeben erstellte Berechtigung aus und klicken Sie dann auf Weiter.

    4. Geben Sie Ihrer Rolle einen Namen ASSUMABLE-ROLE und klicken Sie dann rechts neben Schritt 1: Vertrauenswürdige Entitäten auswählen auf die Schaltfläche Bearbeiten.

    5. Wählen Sie unter Vertrauenswürdiger Entitätstyp die Option Benutzerdefinierte Vertrauensrichtlinie aus und fügen Sie dann die folgende Vertrauensbeziehung ein. Dadurch wird dem Konto, auf dem Studio bereitgestellt wird (dem vertrauenswürdigen Konto), die Berechtigung erteilt, diese Rolle zu übernehmen.

      Ersetzen studio-account mit seiner tatsächlichen AWS Konto-ID. Wählen Sie Weiter.

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::studio-account:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    6. Suchen Sie die soeben erstellte Berechtigung erneut, wählen Sie sie aus und klicken Sie dann auf Weiter.

    7. Ihre Vertrauensrichtlinie sollte mit der neuesten Version aktualisiert werden, die JSON Sie eingefügt haben. Wählen Sie Rolle erstellen.

Weitere Informationen zum Erstellen einer Rolle für ein AWS Konto finden Sie unter IAMRolle erstellen (Konsole).

Auf dem Studio-Konto

Aktualisieren Sie auf dem Konto, auf dem Studio oder Studio Classic bereitgestellt wird, das auch als vertrauenswürdiges Konto bezeichnet wird, die SageMaker Ausführungsrolle, die auf Ihren Cluster zugreift, mit den erforderlichen Berechtigungen für den Zugriff auf Ressourcen im vertrauenswürdigen Konto.

Anmerkung

Welche Ausführungsrolle sollten Sie in Betracht ziehen?

Die Studio-Benutzeroberfläche bestimmt ihre Berechtigungen anhand der Ausführungsrolle, die dem Benutzerprofil zugeordnet ist, mit dem sie gestartet wurde. Die Benutzeroberfläche legt diese Berechtigungen zum Zeitpunkt des Starts fest. Die Bereiche, in denen Studio Classic-Anwendungen gestartet JupyterLab werden, können jedoch separate Berechtigungen haben.

Um konsistenten Zugriff auf EMR Amazon-Vorlagen und -Cluster für alle Anwendungen (wie die Studio-Benutzeroberfläche und Studio Classic) zu erhalten, gewähren Sie allen Rollen auf Domänen-, Benutzerprofil- oder Bereichsebene dieselbe Teilmenge an Berechtigungen. JupyterLab Die Berechtigungen sollten das Erkennen und Bereitstellen von EMR Amazon-Clustern ermöglichen.

  1. Suchen Sie nach der Ausführungsrolle Ihrer Domain, Ihres Benutzerprofils oder Ihres Bereichs. Informationen zum Abrufen der Ausführungsrolle finden Sie unterHolen Sie sich Ihre Ausführungsrolle.

  2. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/sagemaker/.

  3. Wählen Sie Rollen und suchen Sie dann nach der Rolle, die Sie erstellt haben, indem Sie Ihren Rollennamen in das Suchfeld eingeben.

  4. Folgen Sie dem Link zu Ihrer Rolle.

  5. Wählen Sie Berechtigungen hinzufügen und dann Inline-Richtlinie erstellen aus.

  6. Fügen Sie auf der JSONRegisterkarte die folgende JSON Richtlinie mit den entsprechenden Berechtigungen hinzu:

    • AllowEMRTemplateDiscoveryermöglicht die Suche nach EMR Amazon-Vorlagen im Service Catalog. Studio Classic verwendet dies, um verfügbare Vorlagen anzuzeigen.

    • AllowSagemakerProjectManagementermöglicht das Erstellen und Löschen. In SageMaker AWS Service Catalog wird der Zugriff auf die verwaltet überAutomatisieren Sie MLOps mit SageMaker Projekten.

    Die in der bereitgestellten IAM Richtlinie definierte Richtlinie JSON gewährt diese Berechtigungen. Ersetzen studio-region and studio-account geben Sie Ihre aktuellen Regions- und AWS Konto-ID-Werte an, bevor Sie die Liste der Kontoauszüge in Ihre Richtlinie kopieren.

    {
  "Version": "2012-10-17",
  "Statement": [
      {
           "Sid": "AllowEMRTemplateDiscovery",
           "Effect": "Allow",
           "Action": [
             "servicecatalog:SearchProducts"
           ],
           "Resource": "*"
       },
       {
           "Sid": "AllowSagemakerProjectManagement",
           "Effect": "Allow",
           "Action": [
               "sagemaker:CreateProject",
               "sagemaker:DeleteProject"
           ],
           "Resource": "arn:aws:sagemaker:studio-region:studio-account:project/*"
       }
    ]
}

  7. Wählen Sie Weiter und geben Sie dann einen Richtliniennamen ein.

  8. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  9. Wiederholen Sie den Schritt, um der Studio-Ausführungsrolle eine weitere Inline-Richtlinie hinzuzufügen. Die Richtlinie sollte die kontenübergreifende Übernahme von Rollen bei der Suche nach Ressourcen in einem anderen Konto ermöglichen.

    Wählen Sie auf der Detailseite Ihrer Ausführungsrolle die Option Berechtigungen hinzufügen und anschließend Inline-Richtlinie erstellen aus.

  10. Fügen Sie JSONauf der Registerkarte die folgende JSON Richtlinie hinzu. Aktualisieren Sie das emr-account mit der Konto-ID des EMR Amazon-Kontos.

    {
  "Version": "2012-10-17",
  "Statement": [
  { 
            "Sid": "AllowRoleAssumptionForCrossAccountDiscovery", 
            "Effect": "Allow", 
            "Action": "sts:AssumeRole", 
            "Resource":  ["arn:aws:iam::emr-account:role/ASSUMABLE-ROLE" ]
  }]
  }

  11. Wählen Sie Weiter, geben Sie einen Richtliniennamen ein und wählen Sie dann Richtlinie erstellen aus.

  12. Um das Auflisten von EMR Amazon-Clustern zu ermöglichen, die in demselben Konto wie Studio bereitgestellt werden, fügen Sie Ihrer Studio-Ausführungsrolle eine zusätzliche Inline-Richtlinie hinzu, wie auf der Registerkarte Einzelkonto von definiertEMRAmazon-Cluster auflisten.

Übergeben Sie die Rollen ARN beim Start des Jupyter-Servers

Zuletzt erfahren Sie unterZusätzliche Konfiguration für kontoübergreifenden Zugriff, wie Sie Ihrer Studio-Ausführungsrolle ASSUMABLE-ROLE die Rolle ARN of of bereitstellen können. Das ARN wird beim Start vom Jupyter-Server geladen. Die von Studio verwendete Ausführungsrolle übernimmt diese kontoübergreifende Rolle, um EMR Amazon-Cluster im vertrauenswürdigen Konto zu erkennen und eine Verbindung zu diesen herzustellen.