Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de la découvrabilité des clusters Amazon EMR (pour les administrateurs)
Cette section explique comment les administrateurs peuvent configurer la découvrabilité des clusters Amazon EMR existants à SageMaker partir de Studio Classic. Les clusters peuvent être déployés dans le même AWS compte que Studio Classic (onglet Compte unique) ou dans des comptes distincts (onglet Comptes croisés).
- Single Account
-
Associez les autorisations suivantes au rôle d'exécution SageMaker Studio Classic qui accède à votre cluster.
La liste suivante fournit une vue des autorisations requises.
-
AllowSagemakerProjectManagementpermet la création de SageMakerprojets. Dans Studio Classic, l'accès au AWS Service Catalog est accordé par le biais de Projets. -
AllowClusterDetailsDiscoveryetAllowClusterDiscoveryautorisent la découverte et la connexion aux clusters Amazon EMR. -
AllowPresignedUrlpermet de créer des URL pré-signées pour accéder à l'interface utilisateur de Spark.
Ce qui suit est un JSON complet qui inclut ces autorisations.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups", "elasticmapreduce:CreatePersistentAppUI", "elasticmapreduce:DescribePersistentAppUI", "elasticmapreduce:GetPersistentAppUIPresignedURL", "elasticmapreduce:GetOnClusterAppUIPresignedURL" ], "Resource": [ "arn:aws:elasticmapreduce:region:account-id:cluster/*" ] }, { "Sid": "AllowClusterDetailsDiscovery", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstances", "elasticmapreduce:ListInstanceGroups", "elasticmapreduce:DescribeSecurityConfiguration" ], "Resource": [ "arn:aws:elasticmapreduce:region:account-id:cluster/*" ] }, { "Sid": "AllowClusterDiscovery", "Effect": "Allow", "Action": [ "elasticmapreduce:ListClusters" ], "Resource": "*" }, { "Sid": "AllowSagemakerProjectManagement", "Effect": "Allow", "Action": [ "sagemaker:CreateProject", "sagemaker:DeleteProject" ], "Resource": "arn:aws:sagemaker:region:account-id:project/*" } ] } -
- Cross Accounts
-
Si vos clusters Amazon EMR et SageMaker Studio Classic sont déployés dans des AWS comptes distincts, vous configurez les autorisations en plusieurs étapes.
-
Sur le compte d'approbation (le compte sur lequel Amazon EMR est déployé), créez un rôle IAM personnalisé (désigné
ASSUMABLE-ROLEsur cette page) avec les autorisations et la relation d'approbation suivantes.Pour plus d'informations sur la création d'un rôle sur un AWS compte, consultez la section Création d'un rôle IAM (console).
-
Ajoutez une politique définissant les autorisations suivantes.
-
AllowClusterDetailsDiscoveryetAllowClusterDiscoverypour autoriser la découverte et la connexion aux clusters Amazon EMR. -
AllowPresignedUrlpour autoriser la création d'URL pré-signées pour accéder à l'interface utilisateur de Spark.
Ce qui suit est un JSON complet qui inclut ces autorisations.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups", "elasticmapreduce:CreatePersistentAppUI", "elasticmapreduce:DescribePersistentAppUI", "elasticmapreduce:GetPersistentAppUIPresignedURL", "elasticmapreduce:GetOnClusterAppUIPresignedURL" ], "Resource": [ "arn:aws:elasticmapreduce:emr-region:emr-account:cluster/*" ] }, { "Sid": "AllowClusterDetailsDiscovery", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstances", "elasticmapreduce:ListInstanceGroups", "elasticmapreduce:DescribeSecurityConfiguration" ], "Resource": [ "arn:aws:elasticmapreduce:emr-region:emr-account:cluster/*" ] }, { "Sid": "AllowClusterDiscovery", "Effect": "Allow", "Action": [ "elasticmapreduce:ListClusters" ], "Resource": "*" } ] } -
-
Pour accorder au compte de confiance (le compte sur lequel le compte de SageMaker Studio Classic est déployé) l'autorisation d'assumer un rôle dans le compte de confiance, ajoutez la relation de confiance suivante.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::studio-account:root" }, "Action": "sts:AssumeRole" } ] }
-
-
Sur le compte approuvé (le compte sur lequel SageMaker Studio Classic est déployé), ajoutez la relation de confiance suivante au rôle d'exécution de Studio Classic.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRoleAssumptionForCrossAccountDiscovery", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": ["arn:aws:iam::emr-account:role/ASSUMABLE-ROLE" ] }] } -
Enfin, découvrez Configuration supplémentaire pour les cas d'utilisation intercompte (pour les administrateurs) comment fournir l'ARN du rôle d'exécution
ASSUMABLE-ROLEto the Studio Classic. L'ARN est chargé par le serveur Jupyter Studio Classic au lancement. Le rôle d'exécution Studio Classic assume ce rôle entre comptes pour découvrir et se connecter aux clusters Amazon EMR dans le compte de confiance.
-
Consultez Découvrez les clusters Amazon EMR de Studio Classic SageMaker cette page pour découvrir et vous connecter aux clusters Amazon EMR à partir d'ordinateurs portables Studio Classic.
