Kubernetes ロールベースのアクセスコントロールの設定 - Amazon SageMaker AI
オプション 1: Helm チャートを使用して RBAC を設定するオプション 2: RBAC を手動でセットアップするKubernetes グループのアクセスエントリを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Kubernetes ロールベースのアクセスコントロールの設定

また、クラスター管理者ユーザーは、データサイエンティストユーザーが SageMaker HyperPod CLI を使用して Amazon EKS とオーケストされた HyperPod クラスターでワークロードを実行するために、Kubernetes ロールベースのアクセスコントロール (RBAC) を設定する必要があります。

オプション 1: Helm チャートを使用して RBAC を設定する

SageMaker HyperPod サービスチームは、RBAC を設定するための Helm サブチャートを提供しています。詳細については、「Helm を使用して Amazon EKS クラスターにパッケージをインストールする」を参照してください。

オプション 2: RBAC を手動でセットアップする

最小権限で ClusterRoleClusterRoleBinding を作成し、ミューテーションアクセス許可で RoleRoleBinding を作成します。

データサイエンティストの IAM ロールの ClusterRoleClusterRoleBinding を作成するには

次のようにクラスターレベルの設定ファイル cluster_level_config.yaml を作成します。

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: hyperpod-scientist-user-cluster-role
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["list"]
- apiGroups: [""]
  resources: ["nodes"]
  verbs: ["list"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: hyperpod-scientist-user-cluster-role-binding
subjects:
- kind: Group
  name: hyperpod-scientist-user-cluster-level
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: hyperpod-scientist-user-cluster-role # this must match the name of the Role or ClusterRole you wish to bind to
  apiGroup: rbac.authorization.k8s.io

設定を EKS クラスターに適用します。

kubectl apply -f cluster_level_config.yaml

名前空間に Role と RoleBinding を作成するには

これは、トレーニングジョブを実行する名前空間トレーニング演算子であり、回復性がデフォルトで監視されます。ジョブの自動再開は、kubeflow 名前空間または名前空間のプレフィックスがついている aws-hyperpod でのみサポートできます。

次のようにロール設定ファイル namespace_level_role.yaml を作成します。この例では、kubeflow 名前空間のロールが作成されます。

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: kubeflow
  name: hyperpod-scientist-user-namespace-level-role
###
#  1) add/list/describe/delete pods
#  2) get/list/watch/create/patch/update/delete/describe kubeflow pytroch job
#  3) get pod log
###
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["create", "get"]
- apiGroups: [""]
  resources: ["nodes"]
  verbs: ["get", "list"]
- apiGroups: [""]
  resources: ["pods/log"]
  verbs: ["get", "list"]
- apiGroups: [""]
  resources: ["pods/exec"]
  verbs: ["get", "create"]
- apiGroups: ["kubeflow.org"]
  resources: ["pytorchjobs", "pytorchjobs/status"]
  verbs: ["get", "list", "create", "delete", "update", "describe"]
- apiGroups: [""]
  resources: ["configmaps"]
  verbs: ["create", "update", "get", "list", "delete"]
- apiGroups: [""]
  resources: ["secrets"]
  verbs: ["create", "get", "list", "delete"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  namespace: kubeflow
  name: hyperpod-scientist-user-namespace-level-role-binding
subjects:
- kind: Group
  name: hyperpod-scientist-user-namespace-level
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: hyperpod-scientist-user-namespace-level-role # this must match the name of the Role or ClusterRole you wish to bind to
  apiGroup: rbac.authorization.k8s.io

設定を EKS クラスターに適用します。

kubectl apply -f namespace_level_role.yaml

Kubernetes グループのアクセスエントリを作成する

上記の 2 つのオプションのいずれかを使用して RBAC を設定したら、次のサンプルコマンドを使用して必要な情報に置き換えます。

aws eks create-access-entry \
    --cluster-name <eks-cluster-name> \
    --principal-arn arn:aws:iam::<AWS_ACCOUNT_ID_SCIENTIST_USER>:role/ScientistUserRole \
    --kubernetes-groups '["hyperpod-scientist-user-namespace-level","hyperpod-scientist-user-cluster-level"]'

principal-arn パラメータには、サイエンティストの IAM ユーザー を使用する必要があります。