Configura l'elenco dei EMR cluster Amazon - Amazon SageMaker

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura l'elenco dei EMR cluster Amazon

Gli amministratori possono configurare Studio per consentire agli utenti di visualizzare l'elenco dei EMR cluster Amazon a cui hanno accesso, permettendo loro di connettersi a questi cluster. I cluster possono essere distribuiti nello stesso AWS account di Studio (scegli la scheda Account singolo) o in account separati (scegli la scheda Cross account).

Nota

Attualmente Studio non supporta l'accesso ai EMR cluster Amazon creati in un AWS account diverso da quello in cui è distribuito Studio. L'accesso da più account è disponibile solo in Studio Classic.

Single account

Se i tuoi EMR cluster Amazon e Studio o Studio Classic sono distribuiti nello stesso AWS account, assegna le seguenti autorizzazioni al ruolo di SageMaker esecuzione che accede al cluster.

Nota

Quale ruolo di esecuzione dovresti prendere in considerazione?

L'interfaccia utente di Studio determina le proprie autorizzazioni in base al ruolo di esecuzione associato al profilo utente che l'ha avviata. L'interfaccia utente imposta queste autorizzazioni al momento dell'avvio. Tuttavia, gli spazi che JupyterLab avviano le applicazioni Studio Classic possono avere autorizzazioni separate.

Per un accesso coerente ai EMR modelli e ai cluster Amazon tra le applicazioni (come Studio UI e Studio Classic) JupyterLab, concedi lo stesso sottoinsieme di autorizzazioni a tutti i ruoli a livello di dominio, profilo utente o spazio. Le autorizzazioni dovrebbero consentire la scoperta e il provisioning dei cluster AmazonEMR.

  1. Trova il ruolo di esecuzione del tuo dominio, profilo utente o spazio. Per informazioni su come recuperare il ruolo di esecuzione, consultaOttieni il tuo ruolo di esecuzione.

  2. Apri la console IAM all'indirizzo https://console.aws.amazon.com/sagemaker/.

  3. Scegli Ruoli, quindi cerca il ruolo che hai creato digitando il nome del ruolo nel campo Cerca.

  4. Segui il link al tuo ruolo.

  5. Scegli Aggiungi autorizzazioni e poi Crea politica in linea.

  6. Nella JSONscheda, aggiungi la seguente JSON politica con le autorizzazioni:

    • AllowSagemakerProjectManagementconsente la creazione di. In Studio o Studio Classic, l'accesso a AWS Service Catalog è concesso tramite.

    • AllowClusterDetailsDiscoverye AllowClusterDiscovery consenti il rilevamento e la connessione ai EMR cluster Amazon.

    • AllowPresignedUrlconsente la creazione di interfacce utente prefirmate URLs per accedere a Spark.

    La IAM politica definita nel provider JSON concede tali autorizzazioni. Replace (Sostituisci) studio-region e studio-account con i valori effettivi della regione e dell'ID dell' AWS account prima di copiare l'elenco delle dichiarazioni nella politica in linea del ruolo.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:DescribeCluster",
                "elasticmapreduce:ListInstanceGroups",
                "elasticmapreduce:CreatePersistentAppUI",
                "elasticmapreduce:DescribePersistentAppUI",
                "elasticmapreduce:GetPersistentAppUIPresignedURL",
                "elasticmapreduce:GetOnClusterAppUIPresignedURL"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:studio-region:studio-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDetailsDiscovery",
            "Effect": "Allow",
            "Action": [
               "elasticmapreduce:DescribeCluster",
               "elasticmapreduce:ListInstances",
               "elasticmapreduce:ListInstanceGroups",
               "elasticmapreduce:DescribeSecurityConfiguration"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:studio-region:studio-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDiscovery",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:ListClusters"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerProjectManagement",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateProject",
                "sagemaker:DeleteProject"
            ],
            "Resource": "arn:aws:sagemaker:studio-region:studio-account:project/*"
        }
    ]
}

  7. Assegna un nome alla tua politica e scegli Crea politica.

Cross account

Se i tuoi EMR cluster Amazon e Studio o Studio Classic sono distribuiti in AWS account separati, configuri le autorizzazioni su entrambi gli account.

Sull'EMRaccount Amazon

Nell'account in cui EMR è distribuito Amazon, noto anche come account affidabile, crea un IAM ruolo personalizzato denominato ASSUMABLE-ROLE con la seguente configurazione:

  • Autorizzazioni: concedi le autorizzazioni necessarie per consentire l'accesso ASSUMABLE-ROLE alle risorse AmazonEMR.

  • Relazione di fiducia: configura la politica di fiducia ASSUMABLE-ROLE per consentire l'assunzione del ruolo dall'account Studio che richiede l'accesso.

Assumendo il ruolo, Studio o Studio Classic possono ottenere l'accesso temporaneo alle autorizzazioni necessarie in Amazon. EMR

  • Crea una nuova politica per il ruolo.

    1. Apri la console IAM all'indirizzo https://console.aws.amazon.com/sagemaker/.

    2. Nel menu a sinistra, scegli Politiche e poi Crea politica.

    3. Nella JSONscheda, aggiungi la seguente JSON politica con le autorizzazioni:

      • AllowClusterDetailsDiscoverye AllowClusterDiscovery per consentire la scoperta e la connessione ai EMR cluster Amazon.

      • AllowPresignedUrlper consentire la creazione di interfacce utente prefirmate URLs per accedere a Spark.

      Replace (Sostituisci) emr-region e emr-account con i valori effettivi della regione e AWS dell'ID dell'account prima di JSON copiarli nella tua politica.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:DescribeCluster",
                "elasticmapreduce:ListInstanceGroups",
                "elasticmapreduce:CreatePersistentAppUI",
                "elasticmapreduce:DescribePersistentAppUI",
                "elasticmapreduce:GetPersistentAppUIPresignedURL",
                "elasticmapreduce:GetOnClusterAppUIPresignedURL"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:emr-region:emr-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDetailsDiscovery",
            "Effect": "Allow",
            "Action": [
               "elasticmapreduce:DescribeCluster",
               "elasticmapreduce:ListInstances",
               "elasticmapreduce:ListInstanceGroups",
               "elasticmapreduce:DescribeSecurityConfiguration"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:emr-region:emr-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDiscovery",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:ListClusters"
            ],
            "Resource": "*"
        }
    ]
}

    4. Assegna un nome alla tua politica e scegli Crea politica.

  • Crea un IAM ruolo personalizzato denominatoASSUMABLE-ROLE, quindi allega la tua nuova politica al ruolo.

    1. Nella IAM console, scegli Ruoli nel menu a sinistra, quindi Crea ruolo.

    2. Per il tipo di entità attendibile, scegli AWS Account, quindi Avanti.

    3. Seleziona l'autorizzazione appena creata, quindi scegli Avanti.

    4. Assegna un nome al tuo ruoloASSUMABLE-ROLE, quindi scegli il pulsante Modifica a destra del Passaggio 1: Seleziona le entità attendibili.

    5. Per il tipo di entità affidabile, scegli Politica di fiducia personalizzata e quindi incolla la seguente relazione di fiducia. Ciò concede all'account in cui è distribuito Studio (l'account attendibile) l'autorizzazione ad assumere questo ruolo.

      Replace (Sostituisci) studio-account con l'ID effettivo dell' AWS account. Scegli Next (Successivo).

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::studio-account:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    6. Trova e seleziona nuovamente l'autorizzazione che hai appena creato, quindi scegli Avanti.

    7. La tua politica di fiducia dovrebbe essere aggiornata con l'ultima versione JSON che hai incollato. Scegliere Crea ruolo.

Sull'account Studio

Sull'account in cui è distribuito Studio o Studio Classic, noto anche come account affidabile, aggiorna il ruolo di SageMaker esecuzione che accede al cluster con la seguente politica in linea.

La policy dovrebbe consentire l'assunzione di ruoli tra account diversi per la scoperta di risorse in un altro account.

Nota

Quale ruolo esecutivo dovresti prendere in considerazione?

L'interfaccia utente di Studio determina le proprie autorizzazioni in base al ruolo di esecuzione associato al profilo utente che l'ha avviata. L'interfaccia utente imposta queste autorizzazioni al momento dell'avvio. Tuttavia, gli spazi che JupyterLab avviano le applicazioni Studio Classic possono avere autorizzazioni separate.

Per un accesso coerente ai EMR modelli e ai cluster Amazon tra le applicazioni (come Studio UI e Studio Classic) JupyterLab, concedi lo stesso sottoinsieme di autorizzazioni a tutti i ruoli a livello di dominio, profilo utente o spazio. Le autorizzazioni dovrebbero consentire la scoperta e il provisioning dei cluster AmazonEMR.

  1. Trova il ruolo di esecuzione del tuo dominio, profilo utente o spazio. Per informazioni su come recuperare il ruolo di esecuzione, consultaOttieni il tuo ruolo di esecuzione.

  2. Apri la console IAM all'indirizzo https://console.aws.amazon.com/sagemaker/.

  3. Scegli Ruoli, quindi cerca il ruolo che hai creato digitando il nome del ruolo nel campo Cerca.

  4. Segui il link al tuo ruolo.

  5. Nella pagina dei dettagli del ruolo di esecuzione, scegli Aggiungi autorizzazioni, quindi Crea policy in linea.

  6. Nella JSONscheda, aggiungi la seguente JSON politica. Replace (Sostituisci) emr-account con il valore effettivo EMR dell'ID del tuo account Amazon prima di JSON copiarlo nella tua polizza.

    {
  "Version": "2012-10-17",
  "Statement": [
  { 
            "Sid": "AllowRoleAssumptionForCrossAccountDiscovery", 
            "Effect": "Allow", 
            "Action": "sts:AssumeRole", 
            "Resource":  ["arn:aws:iam::emr-account:role/ASSUMABLE-ROLE" ]
  }]
}

  7. Scegli Avanti e quindi fornisci un nome per la polizza.

  8. Scegli Create Policy (Crea policy).

  9. Per consentire l'elenco EMR dei cluster Amazon distribuiti nello stesso account di Studio, aggiungi una policy in linea aggiuntiva al tuo ruolo di esecuzione di Studio, come definito nella scheda Account singolo di. Configura l'elenco dei EMR cluster Amazon

Assegna il ruolo al ARN momento del lancio del server Jupyter

Infine, scopri come Configurazione aggiuntiva per l'accesso tra più account assegnare il ruolo di esecuzione ARN di Studio ASSUMABLE-ROLE al tuo ruolo di esecuzione. ARNViene caricato dal server Jupyter al momento del lancio. Il ruolo di esecuzione utilizzato da Studio presuppone quel ruolo tra account diversi per scoprire EMR i cluster Amazon nell'account di fiducia.

Visita questa pagina Elenca EMR i cluster Amazon da Studio o Studio Classic per scoprire e connettersi ai EMR cluster Amazon dai notebook Studio o Studio Classic.