翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon EMR クラスターの検出可能性の設定 (管理者用)
このセクションでは、管理者が SageMaker Studio Classic から既存の Amazon EMR クラスターの検出可能性を設定する方法について詳しく説明します。クラスターは、Studio Classic と同じ AWS アカウント (単一アカウントタブ) または別のアカウント (クロスアカウントタブ) にデプロイできます。
- Single Account
-
クラスターにアクセスする SageMaker Studio Classic 実行ロールに次のアクセス許可をアタッチします。
以下のリストは、必要な権限の内訳を示しています。
-
AllowSagemakerProjectManagementでは、SageMakerプロジェクト を作成できます。Studio Classic では、 へのアクセス AWS Service Catalog は プロジェクトを通じて許可されます。 -
AllowClusterDetailsDiscoveryおよびAllowClusterDiscoveryにより、Amazon EMR クラスターの検出と接続が可能になります。 -
AllowPresignedUrlにより、Spark UI にアクセスするための署名付き URL の作成が可能になります。
以下は、これらの権限を含む包括的な JSON です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups", "elasticmapreduce:CreatePersistentAppUI", "elasticmapreduce:DescribePersistentAppUI", "elasticmapreduce:GetPersistentAppUIPresignedURL", "elasticmapreduce:GetOnClusterAppUIPresignedURL" ], "Resource": [ "arn:aws:elasticmapreduce:region:account-id:cluster/*" ] }, { "Sid": "AllowClusterDetailsDiscovery", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstances", "elasticmapreduce:ListInstanceGroups", "elasticmapreduce:DescribeSecurityConfiguration" ], "Resource": [ "arn:aws:elasticmapreduce:region:account-id:cluster/*" ] }, { "Sid": "AllowClusterDiscovery", "Effect": "Allow", "Action": [ "elasticmapreduce:ListClusters" ], "Resource": "*" }, { "Sid": "AllowSagemakerProjectManagement", "Effect": "Allow", "Action": [ "sagemaker:CreateProject", "sagemaker:DeleteProject" ], "Resource": "arn:aws:sagemaker:region:account-id:project/*" } ] } -
- Cross Accounts
-
Amazon EMR クラスターと SageMaker Studio Classic が別々の AWS アカウントにデプロイされている場合は、複数のステップでアクセス許可を設定します。
-
信頼するアカウント (Amazon EMR がデプロイされているアカウント) で、次のアクセス許可と信頼関係を持つカスタム IAM ロール (このページでは
ASSUMABLE-ROLEと呼びます) を作成します。AWS アカウントでロールを作成する方法については、「IAM ロールの作成 (コンソール)」を参照してください。
-
次の権限を定義するポリシーを追加します。
-
AllowClusterDetailsDiscoveryおよびAllowClusterDiscoveryにより、Amazon EMR クラスターの検出と接続が可能になります。 -
AllowPresignedUrlにより、Spark UI にアクセスするための署名付き URL の作成が可能になります。
以下は、これらの権限を含む包括的な JSON です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups", "elasticmapreduce:CreatePersistentAppUI", "elasticmapreduce:DescribePersistentAppUI", "elasticmapreduce:GetPersistentAppUIPresignedURL", "elasticmapreduce:GetOnClusterAppUIPresignedURL" ], "Resource": [ "arn:aws:elasticmapreduce:emr-region:emr-account:cluster/*" ] }, { "Sid": "AllowClusterDetailsDiscovery", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstances", "elasticmapreduce:ListInstanceGroups", "elasticmapreduce:DescribeSecurityConfiguration" ], "Resource": [ "arn:aws:elasticmapreduce:emr-region:emr-account:cluster/*" ] }, { "Sid": "AllowClusterDiscovery", "Effect": "Allow", "Action": [ "elasticmapreduce:ListClusters" ], "Resource": "*" } ] } -
-
信頼されたアカウント (Studio Classic のアカウントがデプロイされている SageMakerアカウント) に、信頼するアカウント でロールを引き受けるアクセス許可を付与するには、次の信頼関係を追加します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::studio-account:root" }, "Action": "sts:AssumeRole" } ] }
-
-
信頼されたアカウント ( SageMaker Studio Classic がデプロイされているアカウント) で、Studio Classic 実行ロールに次の信頼関係を追加します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRoleAssumptionForCrossAccountDiscovery", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": ["arn:aws:iam::emr-account:role/ASSUMABLE-ROLE" ] }] } -
最後に、Studio Classic 実行ロールに の ARN を提供するクロスアカウントのユースケース向けの追加設定 (管理者向け)方法については
ASSUMABLE-ROLE、「」を参照してください。ARN は Studio Classic Jupyter サーバーによって起動時にロードされます。Studio Classic 実行ロールは、信頼するアカウント の Amazon EMR クラスターを検出して接続するためのクロスアカウントロールを引き受けます。
-
Studio Classic Studio Classic から SageMaker Amazon EMR クラスターを検出する ノートブックから Amazon EMR クラスターを検出して接続する方法については、「」を参照してください。
