クロスアカウントのユースケース向けの追加設定 (管理者向け)

アカウント間でクラスター検出を有効にするには、管理者はクロスアカウント IAM ロールの ARN を SageMaker Studio Classic の実行ロールに提供する必要があります。 SageMaker Studio Classic の実行ロールは、そのリモートロールを引き受けて、信頼するアカウント 内の Amazon EMR クラスターを検出して接続します。このロールの ARN は、Studio Classic の Jupyter サーバーによって起動時にロードされます。

この情報は 2 つの方法で指定できます。

• SageMaker Studio Classic が使用する Amazon EFS ストレージボリュームにあるホームディレクトリの ディレクトリemr-discovery-iam-role-arns-DO_NOT_DELETE.jsonに配置された という名前のファイルに、このリモートロールを書き込み.cross-account-configuration-DO_NOT_DELETEます。

• あるいは、ライフサイクル設定 (LCC) スクリプトを使用して、このプロセスを自動化することもできます。LCC はドメインまたは特定のユーザープロファイルにアタッチできます。使用する LCC スクリプトは JupyterServer 設定である必要があります。LCC スクリプトの作成方法の詳細については、「Studio Classic でライフサイクル設定を使用する」を参照してください。

以下は LCC スクリプトの例です。スクリプトを変更するには、ASSUMABLE-ROLE と emr-account をそれぞれ自分のロール名とリモートアカウント ID に置き換えます。クロスアカウントの数は 5 つに制限されています。

# This script creates the file that informs SageMaker Studio Classic that the role "arn:aws:iam::emr-account:role/ASSUMABLE-ROLE" in remote account "emr-account" must be assumed to list and describe Amazon EMR clusters in the remote account.

#!/bin/bash

set -eux

FILE_DIRECTORY="/home/sagemaker-user/.cross-account-configuration-DO_NOT_DELETE"
FILE_NAME="emr-discovery-iam-role-arns-DO_NOT_DELETE.json"
FILE="$FILE_DIRECTORY/$FILE_NAME"

mkdir -p $FILE_DIRECTORY

cat > "$FILE" <<- "EOF"
{
  emr-cross-account1: "arn:aws:iam::emr-cross-account1:role/ASSUMABLE-ROLE",
  emr-cross-account2: "arn:aws:iam::emr-cross-account2:role/ASSUMABLE-ROLE"
}
EOF

LCC が実行され、ファイルが書き込まれると、サーバーはファイル /home/sagemaker-user/.cross-account-configuration-DO_NOT_DELETE/emr-discovery-iam-role-arns-DO_NOT_DELETE.json を読み取り、クロスアカウント ARN を保存します。