Configurar a listagem de EMR clusters da Amazon - Amazon SageMaker

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar a listagem de EMR clusters da Amazon

Os administradores podem configurar o Studio para permitir que os usuários visualizem a lista de EMR clusters da Amazon aos quais eles têm acesso, permitindo que eles se conectem a esses clusters. Os clusters podem ser implantados na mesma AWS conta do Studio (escolha a guia Conta única) ou em contas separadas (escolha a guia Conta cruzada).

nota

Atualmente, o Studio não oferece suporte ao acesso aos EMR clusters da Amazon criados em uma AWS conta diferente da conta na qual o Studio está implantado. O acesso entre contas está disponível somente no Studio Classic.

Single account

Se seus EMR clusters da Amazon e o Studio ou o Studio Classic estiverem implantados na mesma AWS conta, anexe as seguintes permissões à função de SageMaker execução que acessa seu cluster.

nota

Qual função de execução você deve considerar?

A interface do usuário do Studio determina suas permissões a partir da função de execução associada ao perfil de usuário que a iniciou. A interface do usuário define essas permissões no momento do lançamento. No entanto, os espaços que iniciam JupyterLab os aplicativos do Studio Classic podem ter permissões separadas.

Para obter acesso consistente aos EMR modelos e clusters da Amazon em todos os aplicativos (como a interface do usuário do Studio e o Studio Classic), conceda o mesmo subconjunto de permissões para todas as funções no domínio, no perfil do usuário ou no nível do espaço. JupyterLab As permissões devem permitir a descoberta e o provisionamento de clusters da AmazonEMR.

  1. Encontre a função de execução do seu domínio, perfil de usuário ou espaço. Para obter informações sobre como recuperar a função de execução, consulteObtenha sua função de execução.

  2. Abra o console do IAM em https://console.aws.amazon.com/sagemaker/.

  3. Escolha Funções e, em seguida, pesquise a função que você criou digitando o nome da função no campo Pesquisar.

  4. Siga o link para sua função.

  5. Escolha Adicionar permissões e, em seguida, Criar política em linha.

  6. Na JSONguia, adicione a seguinte JSON política com as permissões:

    • AllowSagemakerProjectManagementpermite a criação de. No Studio ou no Studio Classic, o acesso ao AWS Service Catalog é concedido por meio de.

    • AllowClusterDetailsDiscoverye AllowClusterDiscovery permita a descoberta e a conexão com os EMR clusters da Amazon.

    • AllowPresignedUrlpermite a criação de arquivos pré-assinados URLs para acessar a interface do usuário do Spark.

    A IAM política definida no fornecido JSON concede essas permissões. Substituir studio-region e studio-account com os valores reais de sua região e ID da AWS conta antes de copiar a lista de extratos para a política embutida de sua função.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:DescribeCluster",
                "elasticmapreduce:ListInstanceGroups",
                "elasticmapreduce:CreatePersistentAppUI",
                "elasticmapreduce:DescribePersistentAppUI",
                "elasticmapreduce:GetPersistentAppUIPresignedURL",
                "elasticmapreduce:GetOnClusterAppUIPresignedURL"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:studio-region:studio-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDetailsDiscovery",
            "Effect": "Allow",
            "Action": [
               "elasticmapreduce:DescribeCluster",
               "elasticmapreduce:ListInstances",
               "elasticmapreduce:ListInstanceGroups",
               "elasticmapreduce:DescribeSecurityConfiguration"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:studio-region:studio-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDiscovery",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:ListClusters"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerProjectManagement",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateProject",
                "sagemaker:DeleteProject"
            ],
            "Resource": "arn:aws:sagemaker:studio-region:studio-account:project/*"
        }
    ]
}

  7. Dê um nome à sua política e escolha Criar política.

Cross account

Se seus EMR clusters da Amazon e o Studio ou o Studio Classic forem implantados em AWS contas separadas, você configura as permissões em ambas as contas.

Na EMR conta da Amazon

Na conta em que a Amazon EMR está implantada, também chamada de conta confiável, crie uma IAM função personalizada nomeada ASSUMABLE-ROLE com a seguinte configuração:

  • Permissões: conceda as permissões necessárias para ASSUMABLE-ROLE permitir o acesso aos EMR recursos da Amazon.

  • Relação de confiança: configure a política de confiança ASSUMABLE-ROLE para permitir assumir a função da conta do Studio que requer acesso.

Ao assumir a função, o Studio ou o Studio Classic podem obter acesso temporário às permissões necessárias na AmazonEMR.

  • Crie uma nova política para a função.

    1. Abra o console do IAM em https://console.aws.amazon.com/sagemaker/.

    2. No menu à esquerda, escolha Políticas e, em seguida, Criar política.

    3. Na JSONguia, adicione a seguinte JSON política com as permissões:

      • AllowClusterDetailsDiscoverye AllowClusterDiscovery para permitir a descoberta e a conexão com os EMR clusters da Amazon.

      • AllowPresignedUrlpara permitir a criação de arquivos pré-assinados URLs para acessar a interface do usuário do Spark.

      Substituir emr-region e emr-account com seus valores reais de região e ID AWS da conta antes de copiá-los JSON para sua apólice.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPresignedUrl",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:DescribeCluster",
                "elasticmapreduce:ListInstanceGroups",
                "elasticmapreduce:CreatePersistentAppUI",
                "elasticmapreduce:DescribePersistentAppUI",
                "elasticmapreduce:GetPersistentAppUIPresignedURL",
                "elasticmapreduce:GetOnClusterAppUIPresignedURL"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:emr-region:emr-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDetailsDiscovery",
            "Effect": "Allow",
            "Action": [
               "elasticmapreduce:DescribeCluster",
               "elasticmapreduce:ListInstances",
               "elasticmapreduce:ListInstanceGroups",
               "elasticmapreduce:DescribeSecurityConfiguration"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:emr-region:emr-account:cluster/*"
            ]
        },
        {
            "Sid": "AllowClusterDiscovery",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:ListClusters"
            ],
            "Resource": "*"
        }
    ]
}

    4. Dê um nome à sua política e escolha Criar política.

  • Crie uma IAM função personalizada chamada eASSUMABLE-ROLE, em seguida, anexe sua nova política à função.

    1. No IAM console, escolha Funções no menu à esquerda e, em seguida, Criar função.

    2. Para Tipo de entidade confiável, escolha AWS conta e, em seguida, Avançar.

    3. Selecione a permissão que você acabou de criar e escolha Avançar.

    4. Dê um nome à sua função ASSUMABLE-ROLE e escolha o botão Editar à direita da Etapa 1: Selecionar entidades confiáveis.

    5. Para Tipo de entidade confiável, escolha Política de confiança personalizada e cole a seguinte relação de confiança. Isso concede à conta em que o Studio está implantado (a conta confiável) a permissão para assumir essa função.

      Substituir studio-account com o ID real AWS da conta. Escolha Próximo.

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::studio-account:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    6. Encontre e selecione a permissão que você acabou de criar novamente e escolha Avançar.

    7. Sua política de confiança deve ser atualizada com a última versão JSON que você colou. Selecione Criar função.

Na conta do Studio

Na conta em que o Studio ou o Studio Classic está implantado, também chamada de conta confiável, atualize a função de SageMaker execução acessando seu cluster com a seguinte política embutida.

A política deve permitir a suposição de funções entre contas para descobrir recursos em outra conta.

nota

Qual função de execução você deve considerar?

A interface do usuário do Studio determina suas permissões a partir da função de execução associada ao perfil de usuário que a iniciou. A interface do usuário define essas permissões no momento do lançamento. No entanto, os espaços que iniciam JupyterLab os aplicativos do Studio Classic podem ter permissões separadas.

Para obter acesso consistente aos EMR modelos e clusters da Amazon em todos os aplicativos (como a interface do usuário do Studio e o Studio Classic), conceda o mesmo subconjunto de permissões para todas as funções no domínio, no perfil do usuário ou no nível do espaço. JupyterLab As permissões devem permitir a descoberta e o provisionamento de clusters da AmazonEMR.

  1. Encontre a função de execução do seu domínio, perfil de usuário ou espaço. Para obter informações sobre como recuperar a função de execução, consulteObtenha sua função de execução.

  2. Abra o console do IAM em https://console.aws.amazon.com/sagemaker/.

  3. Escolha Funções e, em seguida, pesquise a função que você criou digitando o nome da função no campo Pesquisar.

  4. Siga o link para sua função.

  5. Na página de detalhes da função de execução, escolha Adicionar permissões e, em seguida, Criar política embutida.

  6. Na JSONguia, adicione a JSON política a seguir. Substituir emr-account com o valor real do ID da sua EMR conta Amazon antes de copiá-lo JSON para sua apólice.

    {
  "Version": "2012-10-17",
  "Statement": [
  { 
            "Sid": "AllowRoleAssumptionForCrossAccountDiscovery", 
            "Effect": "Allow", 
            "Action": "sts:AssumeRole", 
            "Resource":  ["arn:aws:iam::emr-account:role/ASSUMABLE-ROLE" ]
  }]
}

  7. Escolha Avançar e, em seguida, forneça um nome de política.

  8. Escolha Criar política.

  9. Para permitir a listagem de EMR clusters da Amazon implantados na mesma conta do Studio, adicione uma política embutida adicional à sua função de execução do Studio, conforme definido na guia Conta única do. Configurar a listagem de EMR clusters da Amazon

Passe a função ARN no lançamento do servidor Jupyter

Por fim, veja Configuração adicional para acesso entre contas para saber como fornecer o ARN do ASSUMABLE-ROLE para sua função de execução do Studio. O ARN é carregado pelo servidor Jupyter no lançamento. A função de execução usada pelo Studio assume essa função entre contas para descobrir EMR clusters da Amazon na conta confiável.

Visite Listar EMR clusters da Amazon a partir do Studio ou do Studio Classic para saber como descobrir e se conectar aos EMR clusters da Amazon a partir dos notebooks Studio ou Studio Classic.