Configurar listados de EMR clústeres de Amazon - Amazon SageMaker

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configurar listados de EMR clústeres de Amazon

Los administradores pueden configurar Studio para permitir a los usuarios ver la lista de EMR clústeres de Amazon a los que tienen acceso, lo que les permite conectarse a estos clústeres. Los clústeres se pueden implementar en la misma AWS cuenta que Studio (selecciona la pestaña Cuenta única) o en cuentas independientes (selecciona la pestaña Cuenta cruzada).

nota

Actualmente, Studio no admite el acceso a EMR los clústeres de Amazon creados en una AWS cuenta diferente a la cuenta en la que está desplegado Studio. El acceso entre cuentas solo está disponible en Studio Classic.

Single account

Si tus EMR clústeres de Amazon y Studio o Studio Classic están desplegados en la misma AWS cuenta, adjunta los siguientes permisos a la función de SageMaker ejecución que accede a tu clúster.

nota

¿Qué función de ejecución deberías tener en cuenta?

La interfaz de usuario de Studio determina sus permisos a partir del rol de ejecución asociado al perfil de usuario que lo lanzó. La interfaz de usuario establece estos permisos en el momento del lanzamiento. Sin embargo, los espacios que se inician JupyterLab o las aplicaciones de Studio Classic pueden tener permisos independientes.

Para un acceso uniforme a las EMR plantillas y clústeres de Amazon en todas las aplicaciones (como la interfaz de usuario de Studio y Studio Classic), concede el mismo subconjunto de permisos a todos los roles a nivel de dominio, perfil de usuario o espacio. JupyterLab Los permisos deberían permitir descubrir y aprovisionar EMR clústeres de Amazon.

  1. Busque la función de ejecución de su dominio, perfil de usuario o espacio. Para obtener información sobre cómo recuperar la función de ejecución, consulteConsiga su función de ejecución.

  2. Abra la consola de IAM en https://console.aws.amazon.com/sagemaker/.

  3. Elija Funciones y, a continuación, busque la función que creó escribiendo el nombre de la función en el campo de búsqueda.

  4. Sigue el enlace hasta tu función.

  5. Selecciona Añadir permisos y, a continuación, Crear política en línea.

  6. En la JSONpestaña, agrega la siguiente JSON política con los permisos:

    • AllowSagemakerProjectManagementpermite la creación de. En Studio o Studio Classic, el acceso al AWS Service Catalog se concede mediante.

    • AllowClusterDetailsDiscoveryy AllowClusterDiscovery permiten el descubrimiento y la conexión a los EMR clústeres de Amazon.

    • AllowPresignedUrlpermite crear una interfaz de usuario de Spark prefirmada URLs para acceder a ella.

    La IAM política definida en lo proporcionado JSON otorga esos permisos. Reemplazar studio-region y studio-account con los valores reales de su región e ID de AWS cuenta antes de copiar la lista de estados de cuenta a la política interna de su función.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:DescribeCluster",
                "elasticmapreduce:ListInstanceGroups",
                "elasticmapreduce:CreatePersistentAppUI",
                "elasticmapreduce:DescribePersistentAppUI",
                "elasticmapreduce:GetPersistentAppUIPresignedURL",
                "elasticmapreduce:GetOnClusterAppUIPresignedURL"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:studio-region:studio-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDetailsDiscovery",
            "Effect": "Allow",
            "Action": [
               "elasticmapreduce:DescribeCluster",
               "elasticmapreduce:ListInstances",
               "elasticmapreduce:ListInstanceGroups",
               "elasticmapreduce:DescribeSecurityConfiguration"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:studio-region:studio-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDiscovery",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:ListClusters"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerProjectManagement",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateProject",
                "sagemaker:DeleteProject"
            ],
            "Resource": "arn:aws:sagemaker:studio-region:studio-account:project/*"
        }
    ]
}

  7. Asigne un nombre a su política y elija Crear política.

Cross account

Si sus EMR clústeres de Amazon y Studio o Studio Classic se implementan en AWS cuentas independientes, debe configurar los permisos en ambas cuentas.

En la EMR cuenta de Amazon

En la cuenta en la que EMR está desplegado Amazon, también conocida como cuenta de confianza, crea un IAM rol personalizado ASSUMABLE-ROLE con el nombre de la siguiente configuración:

  • Permisos: concede los permisos necesarios para ASSUMABLE-ROLE permitir el acceso a EMR los recursos de Amazon.

  • Relación de confianza: configura la política de confianza ASSUMABLE-ROLE para poder asumir el rol desde la cuenta de Studio a la que se requiere acceso.

Al asumir el rol, Studio o Studio Classic pueden obtener acceso temporal a los permisos que necesitan en AmazonEMR.

  • Crea una nueva política para el rol.

    1. Abra la consola de IAM en https://console.aws.amazon.com/sagemaker/.

    2. En el menú de la izquierda, selecciona Políticas y, a continuación, Crear política.

    3. En la JSONpestaña, agrega la siguiente JSON política con los permisos:

      • AllowClusterDetailsDiscoveryy AllowClusterDiscovery para permitir el descubrimiento y la conexión a los EMR clústeres de Amazon.

      • AllowPresignedUrlpara permitir la creación de una interfaz de usuario prefirmada URLs para acceder a Spark.

      Reemplazar emr-region y emr-account con los valores reales de tu región e ID de AWS cuenta antes de copiarlos JSON a tu póliza.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:DescribeCluster",
                "elasticmapreduce:ListInstanceGroups",
                "elasticmapreduce:CreatePersistentAppUI",
                "elasticmapreduce:DescribePersistentAppUI",
                "elasticmapreduce:GetPersistentAppUIPresignedURL",
                "elasticmapreduce:GetOnClusterAppUIPresignedURL"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:emr-region:emr-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDetailsDiscovery",
            "Effect": "Allow",
            "Action": [
               "elasticmapreduce:DescribeCluster",
               "elasticmapreduce:ListInstances",
               "elasticmapreduce:ListInstanceGroups",
               "elasticmapreduce:DescribeSecurityConfiguration"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:emr-region:emr-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDiscovery",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:ListClusters"
            ],
            "Resource": "*"
        }
    ]
}

    4. Asigne un nombre a su política y elija Crear política.

  • Cree un IAM rol personalizado con un nombre yASSUMABLE-ROLE, a continuación, adjunte la nueva política al rol.

    1. En la IAM consola, selecciona Funciones en el menú de la izquierda y, a continuación, Crear función.

    2. En Tipo de entidad de confianza, selecciona AWS Cuenta y, a continuación, Siguiente.

    3. Seleccione el permiso que acaba de crear y, a continuación, elija Siguiente.

    4. Asigne un nombre a su función ASSUMABLE-ROLE y, a continuación, pulse el botón Editar situado a la derecha del paso 1: Seleccionar entidades de confianza.

    5. En el tipo de entidad de confianza, elija Política de confianza personalizada y, a continuación, pegue la siguiente relación de confianza. Esto otorga a la cuenta en la que está desplegado Studio (la cuenta de confianza) el permiso para asumir esta función.

      Reemplazar studio-account con su ID de AWS cuenta real. Elija Next (Siguiente).

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::studio-account:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    6. Busca y selecciona de nuevo el permiso que acabas de crear y, a continuación, selecciona Siguiente.

    7. Tu política de confianza debería actualizarse con JSON lo último que hayas pegado. Elija Crear rol.

En la cuenta de Studio

En la cuenta en la que se implementa Studio o Studio Classic, también conocida como cuenta de confianza, actualiza la función de SageMaker ejecución que accede al clúster con la siguiente política en línea.

La política debería permitir la asunción de funciones entre cuentas para detectar recursos en otra cuenta.

nota

¿Qué función de ejecución debería tener en cuenta?

La interfaz de usuario de Studio determina sus permisos a partir del rol de ejecución asociado al perfil de usuario que lo lanzó. La interfaz de usuario establece estos permisos en el momento del lanzamiento. Sin embargo, los espacios que se inician JupyterLab o las aplicaciones de Studio Classic pueden tener permisos independientes.

Para un acceso uniforme a las EMR plantillas y clústeres de Amazon en todas las aplicaciones (como la interfaz de usuario de Studio y Studio Classic), concede el mismo subconjunto de permisos a todos los roles a nivel de dominio, perfil de usuario o espacio. JupyterLab Los permisos deberían permitir descubrir y aprovisionar EMR clústeres de Amazon.

  1. Busque la función de ejecución de su dominio, perfil de usuario o espacio. Para obtener información sobre cómo recuperar la función de ejecución, consulteConsiga su función de ejecución.

  2. Abra la consola de IAM en https://console.aws.amazon.com/sagemaker/.

  3. Elija Funciones y, a continuación, busque la función que creó escribiendo el nombre de la función en el campo de búsqueda.

  4. Sigue el enlace hasta tu función.

  5. En la página de detalles de la función de ejecución, selecciona Añadir permisos y, a continuación, Crear política integrada.

  6. En la JSONpestaña, agrega la siguiente JSON política. Reemplazar emr-account con el valor real de tu ID de EMR cuenta de Amazon antes de JSON copiarlo a tu póliza.

    {
  "Version": "2012-10-17",
  "Statement": [
  { 
            "Sid": "AllowRoleAssumptionForCrossAccountDiscovery", 
            "Effect": "Allow", 
            "Action": "sts:AssumeRole", 
            "Resource":  ["arn:aws:iam::emr-account:role/ASSUMABLE-ROLE" ]
  }]
}

  7. Selecciona Siguiente y, a continuación, proporciona un nombre de política.

  8. Elija Crear política.

  9. Para permitir publicar EMR los clústeres de Amazon desplegados en la misma cuenta que Studio, añade una política interna adicional a tu función de ejecución de Studio, tal y como se define en la pestaña Cuenta única deConfigurar listados de EMR clústeres de Amazon.

Aprueba las funciones en el ARN momento del lanzamiento del servidor de Jupyter

Por último, consulte Configuración adicional para el acceso entre cuentas para obtener información sobre cómo asignar el ARN rol de ejecución ASSUMABLE-ROLE a su estudio. Lo carga ARN el servidor de Jupyter en el momento del lanzamiento. La función de ejecución utilizada por Studio asume esa función multicuenta para detectar los EMR clústeres de Amazon en la cuenta de confianza.

Visite Listar EMR los clústeres de Amazon de Studio o Studio Classic para obtener información sobre cómo descubrir EMR clústeres de Amazon y conectarse a ellos desde las libretas Studio o Studio Classic.