翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用して AWS ParallelCluster API をデプロイする AWS CLI
このセクションでは、 を使用してデプロイする方法について説明します AWS CLI。
CLI AWS で使用する認証情報をまだ設定していない場合は、設定します。
$aws configure
以下のコマンドを実行して、API をデプロイします。
$REGION=<region>$API_STACK_NAME=# This can be any name<stack-name>$VERSION=3.14.0$aws cloudformation create-stack \ --region ${REGION} \ --stack-name ${API_STACK_NAME} \ --template-url https://${REGION}-aws-parallelcluster.s3.${REGION}.amazonaws.com/parallelcluster/${VERSION}/api/parallelcluster-api.yaml \ --capabilities CAPABILITY_NAMED_IAM CAPABILITY_AUTO_EXPAND$aws cloudformation wait stack-create-complete --stack-name ${API_STACK_NAME} --region ${REGION}
デプロイのカスタマイズ
テンプレートによって公開されている CloudFormation パラメータを使用して、API デプロイをカスタマイズできます。CLI を使用してデプロイするときにパラメータの値を設定するには、次のオプションを使用できます--parameters ParameterKey=KeyName,ParameterValue=Value。
以下のパラメータはオプションです。
-
リージョン -
Regionパラメータを使用して、API が all AWS リージョン (デフォルト) または 1 つの でリソースを制御できるかどうかを指定します AWS リージョン。アクセスを制限するために AWS リージョン 、この値を API がデプロイされている に設定します。 -
ParallelClusterFunctionRole - 機能を実装する AWS Lambda 関数に割り当てられた IAM ロールを上書きします AWS ParallelCluster 。パラメータは、IAM ロールの ARN を受け取ります。このロールは、IAM プリンシパル AWS Lambda として を持つように設定する必要があります。また、このロールは API Lambda 関数のデフォルトロールを置き換えるため、 にリストされている API に必要なデフォルトのアクセス許可が少なくとも必要ですAWS ParallelCluster pcluster ユーザーポリシーの例。
-
ParallelClusterFunctionAdditionalPolicies - AWS ParallelCluster API 関数ロールにアタッチされる追加の IAM ポリシーの ARN。指定できるポリシーは 1 つだけです。
-
CustomDomainName, CustomDomainCertificate, CustomDomainHostedZoneId - これらのパラメータを使用して、Amazon API Gateway のエンドポイントにカスタムドメインを設定することができます。
CustomDomainNameは使用するドメインの名前、CustomDomainCertificateはこのドメイン名に対する AWS マネージド証明書の ARN、CustomDomainHostedZoneIdはレコードを作成する Amazon Route 53 ホストゾーンの ID です。警告
API に最低限の Transport Layer Security (TLS) バージョンを強制適用するようにカスタムドメイン設定を構成できます。詳細については、「API Gateway におけるカスタムドメインの TLS の最小バージョンの選択」を参照してください。
-
EnableIamAdminAccess - デフォルトでは、 AWS Lambda AWS ParallelCluster API オペレーションを処理する関数は、特権 IAM アクセス () を禁止する IAM ロールで設定されます
EnableIamAdminAccess=false。このため、IAM ロールやポリシーの作成を必要とするオペレーションを API で処理することができません。このため、クラスターやカスタムイメージの作成は、IAM ロールがリソース構成のインプットの場合にのみ可能です。EnableIamAdminAccessを に設定するとtrue、 AWS ParallelCluster クラスターのデプロイまたはカスタム AMIs。警告
これを true に設定すると、 AWS ParallelCluster オペレーションを処理する AWS Lambda 関数に IAM 管理者権限が付与されます。
このモードを有効にするときにロック解除できる機能の詳細については、AWS ParallelCluster IAM リソースを管理するためのユーザーポリシーの例「」を参照してください。
-
PermissionsBoundaryPolicy - このオプションのパラメータは、PC API インフラストラクチャで作成するすべての IAM ロールのアクセス許可の境界として、および管理 IAM アクセス許可の条件として、設定される既存の IAM ポリシー ARN を受け入れ、このポリシーを持つロールのみを PC API によって作成できるようにします。
このモードによる制限の詳細については、「PermissionsBoundary モード」を参照してください。
-
CreateApiUserRole - デフォルトでは、 AWS ParallelCluster API のデプロイには、API の呼び出しを許可された唯一のロールとして設定された IAM ロールの作成が含まれます。Amazon API Gateway エンドポイントには、作成されたユーザーのみに呼び出しアクセス許可を付与するようにリソースベースのポリシーが設定されています。これを変更するには、 を設定し、選択した IAM ユーザーに API アクセス
CreateApiUserRole=falseを付与します。詳細については、Amazon API Gateway API Gateway デベロッパーガイド」の「API を呼び出すためのアクセスの制御」を参照してください。警告
API エンドポイント
CreateApiUserRole=trueへのアクセスが Amazon API Gateway リソースポリシーによって制限されていない場合、制約のないexecute-api:Invokeアクセス許可を持つすべての IAM ロールが AWS ParallelCluster 機能にアクセスできます。詳細については、「API Gateway デベロッパーガイド」の「API Gateway リソースポリシーを使用した API へのアクセスの制御」を参照してください。警告
ParallelClusterApiUserRoleは、すべての AWS ParallelCluster API オペレーションに対する呼び出し権限を有しています。API リソースのサブセットへのアクセスを制限するには、「API Gateway デベロッパーガイド」の「IAM ポリシーを使用して API Gateway API メソッドを呼び出すことができるコントロール」を参照してください。 -
IAMRoleAndPolicyPrefix - このオプションパラメータは、PC API インフラストラクチャの一部として作成された IAM ロールとポリシーの両方のプレフィックスとして使用される最大 10 文字の文字列を受け入れます。
