翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Kubernetes ロールベースのアクセスコントロールの設定
また、クラスター管理者ユーザーは、データサイエンティストユーザーが SageMaker HyperPod CLI
オプション 1: Helm チャートを使用して RBAC を設定する
SageMaker HyperPod サービスチームは、RBAC を設定するための Helm サブチャートを提供しています。詳細については、「Helm を使用して Amazon EKS クラスターにパッケージをインストールする」を参照してください。
オプション 2: RBAC を手動でセットアップする
最小権限で ClusterRole
と ClusterRoleBinding
を作成し、ミューテーションアクセス許可で Role
と RoleBinding
を作成します。
データサイエンティストの IAM ロールの ClusterRole
と ClusterRoleBinding
を作成するには
次のようにクラスターレベルの設定ファイル cluster_level_config.yaml
を作成します。
kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1 metadata: name: hyperpod-scientist-user-cluster-role rules: - apiGroups: [""] resources: ["pods"] verbs: ["list"] - apiGroups: [""] resources: ["nodes"] verbs: ["list"] --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: hyperpod-scientist-user-cluster-role-binding subjects: - kind: Group name: hyperpod-scientist-user-cluster-level apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: hyperpod-scientist-user-cluster-role # this must match the name of the Role or ClusterRole you wish to bind to apiGroup: rbac.authorization.k8s.io
設定を EKS クラスターに適用します。
kubectl apply -f cluster_level_config.yaml
名前空間に Role と RoleBinding を作成するには
これは、トレーニングジョブを実行する名前空間トレーニング演算子であり、回復性がデフォルトで監視されます。ジョブの自動再開は、kubeflow
名前空間または名前空間のプレフィックスがついている aws-hyperpod
でのみサポートできます。
次のようにロール設定ファイル namespace_level_role.yaml
を作成します。この例では、kubeflow
名前空間のロールが作成されます。
kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: kubeflow name: hyperpod-scientist-user-namespace-level-role ### # 1) add/list/describe/delete pods # 2) get/list/watch/create/patch/update/delete/describe kubeflow pytroch job # 3) get pod log ### rules: - apiGroups: [""] resources: ["pods"] verbs: ["create", "get"] - apiGroups: [""] resources: ["nodes"] verbs: ["get", "list"] - apiGroups: [""] resources: ["pods/log"] verbs: ["get", "list"] - apiGroups: [""] resources: ["pods/exec"] verbs: ["get", "create"] - apiGroups: ["kubeflow.org"] resources: ["pytorchjobs", "pytorchjobs/status"] verbs: ["get", "list", "create", "delete", "update", "describe"] - apiGroups: [""] resources: ["configmaps"] verbs: ["create", "update", "get", "list", "delete"] - apiGroups: [""] resources: ["secrets"] verbs: ["create", "get", "list", "delete"] --- apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: namespace: kubeflow name: hyperpod-scientist-user-namespace-level-role-binding subjects: - kind: Group name: hyperpod-scientist-user-namespace-level apiGroup: rbac.authorization.k8s.io roleRef: kind: Role name: hyperpod-scientist-user-namespace-level-role # this must match the name of the Role or ClusterRole you wish to bind to apiGroup: rbac.authorization.k8s.io
設定を EKS クラスターに適用します。
kubectl apply -f namespace_level_role.yaml
Kubernetes グループのアクセスエントリを作成する
上記の 2 つのオプションのいずれかを使用して RBAC を設定したら、次のサンプルコマンドを使用して必要な情報に置き換えます。
aws eks create-access-entry \ --cluster-name
<eks-cluster-name>
\ --principal-arn arn:aws:iam::<AWS_ACCOUNT_ID_SCIENTIST_USER>
:role/ScientistUserRole \ --kubernetes-groups '["hyperpod-scientist-user-namespace-level","hyperpod-scientist-user-cluster-level"]'
principal-arn
パラメータには、サイエンティストの IAM ユーザー を使用する必要があります。