Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Invocation de AWS ParallelCluster l'API
Le point de terminaison AWS ParallelCluster Amazon API Gateway est configuré avec un type AWS_IAM d'autorisation et nécessite que toutes les demandes soient signées au format SigV4 avec des informations d'identification IAM valides (référence API : envoi de requêtes http).
Lorsqu'elles sont déployées avec les paramètres par défaut, les autorisations d'appel d'API ne sont accordées qu'à l'utilisateur IAM par défaut créé avec l'API.
Pour récupérer l'ARN de l'utilisateur IAM par défaut, exécutez :
$ REGION=<region>
$ API_STACK_NAME=<stack-name>
$ aws cloudformation describe-stacks --region ${REGION} --stack-name ${API_STACK_NAME} --query "Stacks[0].Outputs[?OutputKey=='ParallelClusterApiUserRole'].OutputValue" --output textPour obtenir des informations d'identification temporaires pour l'utilisateur IAM par défaut, exécutez la AssumeRole commande STS
Vous pouvez récupérer le point de terminaison de l' AWS ParallelCluster API en exécutant la commande suivante :
$ REGION=<region>
$ API_STACK_NAME=<stack-name>
$ aws cloudformation describe-stacks --region ${REGION} --stack-name ${API_STACK_NAME} --query "Stacks[0].Outputs[?OutputKey=='ParallelClusterApiInvokeUrl'].OutputValue" --output textL' AWS ParallelCluster API peut être invoquée par n'importe quel client HTTP conforme aux spécifications OpenAPI disponibles ici :
https://<REGION>-aws-parallelcluster.s3.<REGION>.amazonaws.com/parallelcluster/<VERSION>/api/ParallelCluster.openapi.yaml
Les demandes doivent être signées au format SigV4, comme indiqué ici.
À l'heure actuelle, nous ne proposons aucune implémentation client API officielle. Cependant, les clients d'API peuvent être facilement générés à partir du modèle OpenAPI à l'aide d'OpenAPI Generator.
Une implémentation de référence pour un client d'API Python se trouve dans le AWS ParallelCluster référentiel
Avertissement
Un utilisateur IAM autorisé à invoquer l' AWS ParallelCluster API peut contrôler indirectement toutes les AWS ressources gérées par AWS ParallelCluster le Compte AWS. Cela inclut la création de AWS ressources que l'utilisateur ne peut pas contrôler directement en raison des restrictions de la politique IAM de l'utilisateur. Par exemple, la création d'un AWS ParallelCluster cluster, en fonction de sa configuration, peut inclure le déploiement d' EC2 instances Amazon, d'Amazon Route 53, de systèmes de fichiers Amazon Elastic File System, de systèmes de FSx fichiers Amazon, de rôles IAM et de ressources provenant d'autres entités Services AWS utilisées par des utilisateurs sur AWS ParallelCluster lesquelles l'utilisateur n'a peut-être aucun contrôle direct.
Avertissement
Lors de la création d'un cluster avec des paramètres AdditionalIamPolicies spécifiés dans la configuration, les politiques supplémentaires doivent correspondre à l'un des modèles suivants :
- !Sub arn:${AWS::Partition}:iam::${AWS::AccountId}:policy/parallelcluster* - !Sub arn:${AWS::Partition}:iam::${AWS::AccountId}:policy/parallelcluster/* - !Sub arn:${AWS::Partition}:iam::aws:policy/CloudWatchAgentServerPolicy - !Sub arn:${AWS::Partition}:iam::aws:policy/AmazonSSMManagedInstanceCore - !Sub arn:${AWS::Partition}:iam::aws:policy/AWSBatchFullAccess - !Sub arn:${AWS::Partition}:iam::aws:policy/AmazonS3ReadOnlyAccess - !Sub arn:${AWS::Partition}:iam::aws:policy/service-role/AWSBatchServiceRole - !Sub arn:${AWS::Partition}:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role - !Sub arn:${AWS::Partition}:iam::aws:policy/service-role/AmazonECSTaskExecutionRolePolicy - !Sub arn:${AWS::Partition}:iam::aws:policy/service-role/AmazonEC2SpotFleetTaggingRole - !Sub arn:${AWS::Partition}:iam::aws:policy/EC2InstanceProfileForImageBuilder - !Sub arn:${AWS::Partition}:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole
Si vous avez besoin d'autres politiques supplémentaires, vous pouvez effectuer l'une des opérations suivantes :
-
Modifiez le
DefaultParallelClusterIamAdminPolicydans :https://<REGION>-aws-parallelcluster.s3.<REGION>.amazonaws.com/parallelcluster/<VERSION>/api/parallelcluster-api.yamlAjoutez la politique dans la
ArnLike/iam:PolicyARNsection. -
Omettez de spécifier des politiques
AdditionalIamPoliciesdans le fichier de configuration et ajoutez manuellement des politiques au rôle d' AWS ParallelCluster instance créé dans le cluster.
