翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon EMR クラスターの検出可能性の設定 (管理者用)
このセクションでは、管理者が SageMaker Studio Classic から既存の Amazon EMR クラスターの検出可能性を設定する方法について詳しく説明します。クラスターは、Studio Classic と同じ AWS アカウント (単一アカウントタブ) または別のアカウント (クロスアカウントタブ) にデプロイできます。
- Single Account
-
クラスターにアクセスする SageMaker Studio Classic 実行ロールに次のアクセス許可をアタッチします。
以下のリストは、必要な権限の内訳を示しています。
-
AllowSagemakerProjectManagement
では、SageMakerプロジェクト を作成できます。Studio Classic では、 へのアクセス AWS Service Catalog は プロジェクトを通じて許可されます。 -
AllowClusterDetailsDiscovery
およびAllowClusterDiscovery
により、Amazon EMR クラスターの検出と接続が可能になります。 -
AllowPresignedUrl
により、Spark UI にアクセスするための署名付き URL の作成が可能になります。
以下は、これらの権限を含む包括的な JSON です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups", "elasticmapreduce:CreatePersistentAppUI", "elasticmapreduce:DescribePersistentAppUI", "elasticmapreduce:GetPersistentAppUIPresignedURL", "elasticmapreduce:GetOnClusterAppUIPresignedURL" ], "Resource": [ "arn:aws:elasticmapreduce:
region
:account-id
:cluster/*" ] }, { "Sid": "AllowClusterDetailsDiscovery", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstances", "elasticmapreduce:ListInstanceGroups", "elasticmapreduce:DescribeSecurityConfiguration" ], "Resource": [ "arn:aws:elasticmapreduce:region
:account-id
:cluster/*" ] }, { "Sid": "AllowClusterDiscovery", "Effect": "Allow", "Action": [ "elasticmapreduce:ListClusters" ], "Resource": "*" }, { "Sid": "AllowSagemakerProjectManagement", "Effect": "Allow", "Action": [ "sagemaker:CreateProject", "sagemaker:DeleteProject" ], "Resource": "arn:aws:sagemaker:region
:account-id
:project/*" } ] } -
- Cross Accounts
-
Amazon EMR クラスターと SageMaker Studio Classic が別々の AWS アカウントにデプロイされている場合は、複数のステップでアクセス許可を設定します。
-
信頼するアカウント (Amazon EMR がデプロイされているアカウント) で、次のアクセス許可と信頼関係を持つカスタム IAM ロール (このページでは
ASSUMABLE-ROLE
と呼びます) を作成します。AWS アカウントでロールを作成する方法については、「IAM ロールの作成 (コンソール)」を参照してください。
-
次の権限を定義するポリシーを追加します。
-
AllowClusterDetailsDiscovery
およびAllowClusterDiscovery
により、Amazon EMR クラスターの検出と接続が可能になります。 -
AllowPresignedUrl
により、Spark UI にアクセスするための署名付き URL の作成が可能になります。
以下は、これらの権限を含む包括的な JSON です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPresignedUrl", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups", "elasticmapreduce:CreatePersistentAppUI", "elasticmapreduce:DescribePersistentAppUI", "elasticmapreduce:GetPersistentAppUIPresignedURL", "elasticmapreduce:GetOnClusterAppUIPresignedURL" ], "Resource": [ "arn:aws:elasticmapreduce:
emr-region
:emr-account
:cluster/*" ] }, { "Sid": "AllowClusterDetailsDiscovery", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstances", "elasticmapreduce:ListInstanceGroups", "elasticmapreduce:DescribeSecurityConfiguration" ], "Resource": [ "arn:aws:elasticmapreduce:emr-region
:emr-account
:cluster/*" ] }, { "Sid": "AllowClusterDiscovery", "Effect": "Allow", "Action": [ "elasticmapreduce:ListClusters" ], "Resource": "*" } ] } -
-
信頼されたアカウント (Studio Classic のアカウントがデプロイされている SageMakerアカウント) に、信頼するアカウント でロールを引き受けるアクセス許可を付与するには、次の信頼関係を追加します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
studio-account
:root" }, "Action": "sts:AssumeRole" } ] }
-
-
信頼されたアカウント ( SageMaker Studio Classic がデプロイされているアカウント) で、Studio Classic 実行ロールに次の信頼関係を追加します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRoleAssumptionForCrossAccountDiscovery", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": ["arn:aws:iam::
emr-account
:role/ASSUMABLE-ROLE
" ] }] } -
最後に、Studio Classic 実行ロールに の ARN を提供するクロスアカウントのユースケース向けの追加設定 (管理者向け)方法については
ASSUMABLE-ROLE
、「」を参照してください。ARN は Studio Classic Jupyter サーバーによって起動時にロードされます。Studio Classic 実行ロールは、信頼するアカウント の Amazon EMR クラスターを検出して接続するためのクロスアカウントロールを引き受けます。
-
Studio Classic Studio Classic から SageMaker Amazon EMR クラスターを検出する ノートブックから Amazon EMR クラスターを検出して接続する方法については、「」を参照してください。