Configurer la liste des EMR clusters Amazon

Les administrateurs peuvent configurer Studio pour permettre aux utilisateurs de consulter la liste des EMR clusters Amazon auxquels ils ont accès, ce qui leur permet de se connecter à ces clusters. Les clusters peuvent être déployés dans le même AWS compte que Studio (choisissez l'onglet Compte unique) ou dans des comptes distincts (choisissez l'onglet Comptes multiples).

Note

Studio ne prend actuellement pas en charge l'accès aux EMR clusters Amazon créés dans un AWS compte différent de celui sur lequel Studio est déployé. L'accès entre comptes n'est disponible que dans Studio Classic.

Single account

Si vos EMR clusters Amazon et Studio ou Studio Classic sont déployés dans le même AWS compte, associez les autorisations suivantes au rôle SageMaker d'exécution accédant à votre cluster.

Note

Quel rôle d'exécution devriez-vous envisager ?

L'interface utilisateur de Studio détermine ses autorisations à partir du rôle d'exécution associé au profil utilisateur qui l'a lancé. L'interface utilisateur définit ces autorisations au moment du lancement. Toutefois, les espaces qui lancent JupyterLab les applications Studio Classic peuvent avoir des autorisations distinctes.

Pour un accès cohérent aux EMR modèles et aux clusters Amazon dans toutes les applications (telles que l'interface utilisateur de Studio et Studio Classic), accordez le même sous-ensemble d'autorisations à tous les rôles au niveau du domaine, du profil utilisateur ou de l'espace. JupyterLab Les autorisations doivent permettre de découvrir et de provisionner des EMR clusters Amazon.

Trouvez le rôle d'exécution de votre domaine, de votre profil utilisateur ou de votre espace. Pour plus d'informations sur la façon de récupérer le rôle d'exécution, consultezObtenez votre rôle d'exécution.
Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/sagemaker/.
Choisissez Rôles, puis recherchez le rôle que vous avez créé en saisissant le nom de votre rôle dans le champ de recherche.
Suivez le lien vers votre rôle.
Choisissez Ajouter des autorisations, puis Créer une politique en ligne.

Dans l'JSONonglet, ajoutez la JSON politique suivante avec les autorisations :

AllowSagemakerProjectManagementpermet la création de. Dans Studio ou Studio Classic, l'accès au AWS Service Catalog est accordé via.
AllowClusterDetailsDiscoveryet AllowClusterDiscovery autorisez la découverte et la connexion aux EMR clusters Amazon.
AllowPresignedUrlpermet de créer des fichiers pré-signés URLs pour accéder à l'interface utilisateur de Spark.

La IAM politique définie dans le document fourni JSON accorde ces autorisations. Remplacez studio-region and studio-account avec les valeurs réelles de votre région et de votre numéro de AWS compte avant de copier la liste des relevés dans la politique intégrée de votre rôle.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:DescribeCluster",
                "elasticmapreduce:ListInstanceGroups",
                "elasticmapreduce:CreatePersistentAppUI",
                "elasticmapreduce:DescribePersistentAppUI",
                "elasticmapreduce:GetPersistentAppUIPresignedURL",
                "elasticmapreduce:GetOnClusterAppUIPresignedURL"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:studio-region:studio-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDetailsDiscovery",
            "Effect": "Allow",
            "Action": [
               "elasticmapreduce:DescribeCluster",
               "elasticmapreduce:ListInstances",
               "elasticmapreduce:ListInstanceGroups",
               "elasticmapreduce:DescribeSecurityConfiguration"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:studio-region:studio-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDiscovery",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:ListClusters"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerProjectManagement",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateProject",
                "sagemaker:DeleteProject"
            ],
            "Resource": "arn:aws:sagemaker:studio-region:studio-account:project/*"
        }
    ]
}

Donnez un nom à votre politique et choisissez Créer une politique.

Cross account

Si vos EMR clusters Amazon et Studio ou Studio Classic sont déployés dans des AWS comptes distincts, vous configurez les autorisations sur les deux comptes.

Sur le EMR compte Amazon

Sur le compte sur lequel Amazon EMR est déployé, également appelé compte de confiance, créez un IAM rôle personnalisé nommé ASSUMABLE-ROLE avec la configuration suivante :

Autorisations : accordez les autorisations nécessaires ASSUMABLE-ROLE pour autoriser l'accès aux EMR ressources Amazon.
Relation de confiance : configurez la politique de confiance ASSUMABLE-ROLE pour permettre d'assumer le rôle depuis le compte Studio qui nécessite un accès.

En assumant ce rôle, Studio ou Studio Classic peut obtenir un accès temporaire aux autorisations dont il a besoin sur AmazonEMR.

Créez une nouvelle politique pour le rôle.

Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/sagemaker/.
Dans le menu de gauche, choisissez Politiques, puis Créer une politique.

Dans l'JSONonglet, ajoutez la JSON politique suivante avec les autorisations :

AllowClusterDetailsDiscoveryet AllowClusterDiscovery pour permettre la découverte et la connexion aux EMR clusters Amazon.
AllowPresignedUrlpour permettre la création de documents pré-signés URLs pour accéder à l'interface utilisateur de Spark.

Remplacez emr-region and emr-account avec les valeurs réelles de votre région et de votre numéro de AWS compte avant de les JSON copier dans votre politique.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:DescribeCluster",
                "elasticmapreduce:ListInstanceGroups",
                "elasticmapreduce:CreatePersistentAppUI",
                "elasticmapreduce:DescribePersistentAppUI",
                "elasticmapreduce:GetPersistentAppUIPresignedURL",
                "elasticmapreduce:GetOnClusterAppUIPresignedURL"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:emr-region:emr-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDetailsDiscovery",
            "Effect": "Allow",
            "Action": [
               "elasticmapreduce:DescribeCluster",
               "elasticmapreduce:ListInstances",
               "elasticmapreduce:ListInstanceGroups",
               "elasticmapreduce:DescribeSecurityConfiguration"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:emr-region:emr-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDiscovery",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:ListClusters"
            ],
            "Resource": "*"
        }
    ]
}

Donnez un nom à votre politique et choisissez Créer une politique.

Créez un IAM rôle personnalisé nomméASSUMABLE-ROLE, puis associez votre nouvelle politique au rôle.
1. Dans la IAM console, choisissez Rôles dans le menu de gauche, puis Créer un rôle.
2. Pour le type d'entité de confiance, choisissez le AWS compte, puis Next.
3. Sélectionnez l'autorisation que vous venez de créer, puis cliquez sur Suivant.
4. Donnez un nom à votre rôle, ASSUMABLE-ROLE puis cliquez sur le bouton Modifier à droite de l'étape 1 : Sélectionnez les entités de confiance.
5. Pour le type d'entité de confiance, choisissez Politique de confiance personnalisée, puis collez la relation de confiance suivante. Cela donne au compte sur lequel Studio est déployé (le compte de confiance) l'autorisation d'assumer ce rôle.
  
  Remplacez studio-account avec son identifiant de AWS compte réel. Choisissez Suivant.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::studio-account:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```
6. Recherchez et sélectionnez à nouveau l'autorisation que vous venez de créer, puis cliquez sur Suivant.
7. Votre politique de confiance doit être mise à jour avec la dernière mise à jour JSON que vous avez collée. Sélectionnez Créer un rôle.

Sur le compte Studio

Sur le compte sur lequel Studio ou Studio Classic est déployé, également appelé compte de confiance, mettez à jour le rôle SageMaker d'exécution accédant à votre cluster avec la politique intégrée suivante.

La politique doit permettre l'attribution de rôles entre comptes pour la découverte de ressources dans un autre compte.

Note

Quel rôle d'exécution devriez-vous envisager ?

Trouvez le rôle d'exécution de votre domaine, de votre profil utilisateur ou de votre espace. Pour plus d'informations sur la façon de récupérer le rôle d'exécution, consultezObtenez votre rôle d'exécution.
Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/sagemaker/.
Choisissez Rôles, puis recherchez le rôle que vous avez créé en saisissant le nom de votre rôle dans le champ de recherche.
Suivez le lien vers votre rôle.
Sur la page détaillée de votre rôle d'exécution, choisissez Ajouter des autorisations, puis Créer une politique intégrée.

Dans l'JSONonglet, ajoutez la JSON politique suivante. Remplacez emr-account avec la valeur réelle de votre identifiant de EMR compte Amazon avant de la JSON copier dans votre politique.


{
  "Version": "2012-10-17",
  "Statement": [
  { 
            "Sid": "AllowRoleAssumptionForCrossAccountDiscovery", 
            "Effect": "Allow", 
            "Action": "sts:AssumeRole", 
            "Resource":  ["arn:aws:iam::emr-account:role/ASSUMABLE-ROLE" ]
  }]
}

Choisissez Next, puis saisissez le nom de la politique.
Choisissez Create Policy (Créer une politique).
Pour permettre de répertorier les EMR clusters Amazon déployés sur le même compte que Studio, ajoutez une politique en ligne supplémentaire à votre rôle d'exécution Studio, tel que défini dans l'onglet Compte unique deConfigurer la liste des EMR clusters Amazon.

Transmettez les rôles ARN lors du lancement du serveur Jupyter

Enfin, consultez Configuration supplémentaire pour l'accès entre comptes pour savoir comment attribuer le rôle ARN d'exécution de ASSUMABLE-ROLE à votre Studio. Le ARN est chargé par le serveur Jupyter au lancement. Le rôle d'exécution utilisé par Studio assume ce rôle entre comptes pour découvrir les EMR clusters Amazon dans le compte de confiance.

Consultez EMRRépertorier les clusters Amazon depuis Studio ou Studio Classic cette page pour découvrir et vous connecter aux EMR clusters Amazon à partir d'ordinateurs portables Studio ou Studio Classic.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configurer le lancement d'un EMR cluster Amazon depuis Studio

Configuration supplémentaire pour l'accès entre comptes