Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione dei ruoli IAM di runtime per l'accesso al EMR cluster Amazon in Studio
Quando ti connetti a un EMR cluster Amazon dai tuoi notebook Studio o Studio Classic, puoi sfogliare visivamente un elenco di IAM ruoli, noti come ruoli di runtime, e selezionarne uno al volo. Successivamente, tutti i job Apache Spark, Apache Hive o Presto creati dal notebook accedono solo ai dati e alle risorse consentiti dalle policy associate al ruolo di runtime. Inoltre, quando si accede ai dati dai data lake gestiti con AWS Lake Formation, è possibile imporre l'accesso a livello di tabella e colonna utilizzando le policy associate al ruolo di runtime.
Grazie a questa funzionalità, tu e i tuoi colleghi potete connettervi allo stesso cluster, utilizzando ciascuno un ruolo di runtime con autorizzazioni corrispondenti al livello individuale di accesso ai dati. Le sessioni sono inoltre isolate l'una dall'altra nel cluster condiviso.
Per provare questa funzionalità con Studio Classic, consulta Applica controlli granulari di accesso ai dati con e AWS Lake Formation Amazon di EMR Amazon SageMaker
Prerequisiti
Prima di iniziare, assicurati di soddisfare i seguenti requisiti preliminari:
-
Usa Amazon EMR versione 6.9 o successiva.
-
Per gli utenti di Studio Classic: utilizza la JupyterLab versione 3 nella configurazione dell'applicazione del server Studio Classic Jupyter. Questa versione supporta la connessione Studio Classic ai EMR cluster Amazon utilizzando ruoli di runtime.
Per gli utenti di Studio: utilizza una versione con immagine di SageMaker distribuzione
1.10
o superiore. -
Consenti l'uso di ruoli di runtime nella configurazione di sicurezza del cluster. Per ulteriori informazioni, consulta Ruoli di runtime per Amazon EMR steps.
-
Crea un notebook con uno qualsiasi dei kernel elencati in Immagini e kernel supportati per la connessione a un EMR cluster Amazon da Studio o Studio Classic.
-
Assicurati di leggere le istruzioni contenute in Configura Studio per utilizzare i IAM ruoli di runtime per configurare i ruoli di runtime.
Scenari di connessione multi-account
L'autenticazione con ruolo di runtime supporta una varietà di scenari di connessione tra account quando i dati risiedono all'esterno dell'account Studio. L'immagine seguente mostra tre diversi modi in cui puoi assegnare il tuo EMR cluster Amazon, i dati e persino il ruolo EMR di esecuzione di Amazon runtime tra Studio e gli account di dati:
Nell'opzione 1, il EMR cluster Amazon e il ruolo EMR di esecuzione del runtime di Amazon si trovano in un account dati separato dall'account Studio. Definisci una politica di autorizzazione separata per il ruolo di EMR accesso di Amazon (noto anche comeAssumable role
) che concede l'autorizzazione al ruolo di esecuzione di Studio o Studio Classic per assumere il ruolo di EMR accesso Amazon. Il ruolo di EMR accesso Amazon chiama quindi Amazon per EMR API GetClusterSessionCredentials
conto del tuo ruolo di esecuzione Studio o Studio Classic, dandoti accesso al cluster.
Nell'opzione 2, il tuo EMR cluster Amazon e il ruolo EMR di esecuzione del runtime di Amazon si trovano nel tuo account Studio. Il tuo ruolo di esecuzione di Studio è autorizzato EMR API GetClusterSessionCredentials
a utilizzare Amazon per accedere al tuo cluster. Per accedere al bucket Amazon S3, concedi al ruolo di esecuzione di Amazon EMR runtime le autorizzazioni di accesso al bucket Amazon S3 su più account: concedi queste autorizzazioni nell'ambito della tua policy sui bucket Amazon S3.
Nell'opzione 3, EMR i cluster Amazon si trovano nel tuo account Studio e il ruolo di esecuzione EMR di Amazon runtime si trova nell'account dati. Il tuo ruolo di esecuzione di Studio o Studio Classic è autorizzato EMR API GetClusterSessionCredentials
a utilizzare Amazon per accedere al tuo cluster. Aggiungi il ruolo EMR di esecuzione del runtime di Amazon nella configurazione del ruolo di esecuzioneJSON. Quindi puoi selezionare il ruolo nell'interfaccia utente quando scegli il cluster. Per dettagli su come configurare il JSON file di configurazione del ruolo di esecuzione, consultaPrecarica i tuoi ruoli di esecuzione in Studio o Studio Classic.
Configura Studio per utilizzare i IAM ruoli di runtime
Per stabilire l'autenticazione dei ruoli di runtime per i tuoi EMR cluster Amazon, configura le IAM politiche, la rete e i miglioramenti dell'usabilità richiesti. La configurazione dipende dal fatto che tu gestisca eventuali accordi tra account se EMR i cluster Amazon, il ruolo di esecuzione del EMR runtime di Amazon o entrambi risiedono al di fuori del tuo account Studio. La sezione seguente illustra le politiche da installare, come configurare la rete per consentire il traffico tra più account e il file di configurazione locale da configurare per automatizzare la connessione AmazonEMR.
Configura l'autenticazione del ruolo di runtime quando il EMR cluster Amazon e Studio si trovano nello stesso account
Se il tuo EMR cluster Amazon risiede nel tuo account Studio, completa i seguenti passaggi per aggiungere le autorizzazioni necessarie alla tua politica di esecuzione di Studio:
-
Aggiungi la IAM policy richiesta per connetterti ai EMR cluster Amazon. Per informazioni dettagliate, consultare Configura l'elenco dei EMR cluster Amazon.
-
Concedi l'autorizzazione a chiamare Amazon EMR API
GetClusterSessionCredentials
quando superi uno o più ruoli di esecuzione EMR di Amazon runtime consentiti specificati nella politica. -
(Facoltativo) Concedi l'autorizzazione a trasferire IAM ruoli che seguono qualsiasi convenzione di denominazione definita dall'utente.
-
(Facoltativo) Concedi l'autorizzazione per accedere ai EMR cluster Amazon etichettati con stringhe specifiche definite dall'utente.
-
Precarica i IAM ruoli in modo da poter selezionare il ruolo da utilizzare quando ti connetti al tuo EMR cluster Amazon. Per informazioni dettagliate su come precaricare i IAM ruoli, consulta. Precarica i tuoi ruoli di esecuzione in Studio o Studio Classic
La seguente policy di esempio consente di chiamare i ruoli EMR di esecuzione di Amazon Runtime appartenenti ai gruppi di modellazione e formazione. GetClusterSessionCredentials
Inoltre, l'assicurato può accedere ai EMR cluster Amazon contrassegnati con le stringhe o. modeling
training
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "elasticmapreduce:GetClusterSessionCredentials", "Resource": "*", "Condition": { "StringLike": { "elasticmapreduce:ExecutionRoleArn": [ "arn:aws:iam::123456780910:role/emr-execution-role-ml-modeling*", "arn:aws:iam::123456780910:role/emr-execution-role-ml-training*" ], "elasticmapreduce:ResourceTag/group": [ "*modeling*", "*training*" ] } } } ] }
Configura l'autenticazione del ruolo di runtime quando il cluster e Studio si trovano in account diversi
Se il tuo EMR cluster Amazon non si trova nel tuo account Studio, consenti al ruolo di SageMaker esecuzione di assumere il ruolo di EMR accesso Amazon su più account in modo da poterti connettere al cluster. Completa le fasi seguenti per eseguire la configurazione multi-account:
-
Crea la tua politica di autorizzazione del ruolo di SageMaker esecuzione in modo che il ruolo di esecuzione possa assumere il ruolo di EMR accesso di Amazon. Di seguito è riportato un esempio di policy:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAssumeCrossAccountEMRAccessRole", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::
emr_account_id
:role/emr-access-role-name
" } ] } -
Crea la policy di fiducia per specificare a IDs quali account Studio è affidato il ruolo di Amazon EMR Access. Di seguito è riportato un esempio di policy:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCrossAccountSageMakerExecutionRoleToAssumeThisRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
studio_account_id
:role/studio_execution_role
" }, "Action": "sts:AssumeRole" } } -
Crea la politica di autorizzazione del ruolo di EMR accesso di Amazon, che concede al ruolo EMR di esecuzione del runtime di Amazon le autorizzazioni necessarie per eseguire le attività previste sul cluster. Configura il ruolo di EMR accesso Amazon per chiamarlo API
GetClusterSessionCredentials
con i ruoli EMR di esecuzione di Amazon runtime specificati nella politica di autorizzazione del ruolo di accesso. Di seguito è riportato un esempio di policy:{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCallingEmrGetClusterSessionCredentialsAPI", "Effect": "Allow", "Action": "elasticmapreduce:GetClusterSessionCredentials", "Resource": "", "Condition": { "StringLike": { "elasticmapreduce:ExecutionRoleArn": [ "arn:aws:iam::
emr_account_id
:role/emr-execution-role-name
" ] } } } ] } -
Configura la rete tra account in modo che il traffico possa spostarsi avanti e indietro tra i tuoi account. Per istruzioni guidate, consulta Configura l'accesso alla rete per il tuo EMR cluster AmazonConfigurare il. I passaggi di questa sezione consentono di completare le seguenti attività:
-
VPC-collega il tuo account Studio e il tuo EMR account Amazon per stabilire una connessione.
-
Aggiungi manualmente i percorsi alle tabelle di routing delle sottoreti private in entrambi gli account. Ciò consente la creazione e la connessione di EMR cluster Amazon dall'account Studio alla sottorete privata dell'account remoto.
-
Configura il gruppo di sicurezza collegato al tuo dominio Studio per consentire il traffico in uscita e il gruppo di sicurezza del nodo EMR primario Amazon per consentire il TCP traffico in entrata dal gruppo di sicurezza dell'istanza Studio.
-
-
Precarica i ruoli IAM di runtime in modo da poter selezionare il ruolo da utilizzare quando ti connetti al tuo EMR cluster Amazon. Per informazioni dettagliate su come precaricare i IAM ruoli, consulta. Precarica i tuoi ruoli di esecuzione in Studio o Studio Classic
Configura l'accesso a Lake Formation
Quando accedi ai dati dai data lake gestiti da AWS Lake Formation, puoi imporre l'accesso a livello di tabella e colonna utilizzando le policy associate al tuo ruolo di runtime. Per configurare l'autorizzazione per l'accesso a Lake Formation, consulta Integrate Amazon EMR with AWS Lake Formation.
Precarica i tuoi ruoli di esecuzione in Studio o Studio Classic
Puoi precaricare i ruoli IAM di runtime in modo da poter selezionare il ruolo da utilizzare quando ti connetti al tuo EMR cluster Amazon. Gli utenti di JupyterLab in Studio possono utilizzare la SageMaker console o lo script fornito.