기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
다음 지침에서는 Studio에서 Amazon EKS 클러스터를 설정하는 방법을 설명합니다.
-
도메인을 생성하거나 도메인을 준비합니다. 도메인 생성에 대한 자세한 내용은 섹션을 참조하세요Amazon SageMaker AI 설정 가이드.
-
실행 역할에 다음 권한을 추가합니다.
SageMaker AI 실행 역할과 편집 방법에 대한 자세한 내용은 섹션을 참조하세요도메인 공간 권한 및 실행 역할 이해.
IAM 사용자 또는 그룹에 정책을 연결하는 방법을 알아보려면 IAM 자격 증명 권한 추가 및 제거를 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DescribeHyerpodClusterPermissions", "Effect": "Allow", "Action": [ "sagemaker:DescribeCluster" ], "Resource": "hyperpod-cluster-arn" }, { "Effect": "Allow", "Action": "ec2:Describe*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "ecr:CompleteLayerUpload", "ecr:GetAuthorizationToken", "ecr:UploadLayerPart", "ecr:InitiateLayerUpload", "ecr:BatchCheckLayerAvailability", "ecr:PutImage" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "cloudwatch:GetMetricData" ], "Resource": "*" }, { "Sid": "UseEksClusterPermissions", "Effect": "Allow", "Action": [ "eks:DescribeCluster", "eks:AccessKubernetesApi", "eks:DescribeAddon" ], "Resource": "eks-cluster-arn" }, { "Sid": "ListClustersPermission", "Effect": "Allow", "Action": [ "sagemaker:ListClusters" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:StartSession", "ssm:TerminateSession" ], "Resource": "*" } ] } -
IAM 사용자에게 EKS 액세스 항목을 사용하여 Kubernetes에 대한 액세스 권한을 부여합니다.
-
HyperPod 클러스터와 연결된 Amazon EKS 클러스터로 이동합니다.
-
액세스 탭을 선택하고 생성한 실행 역할에 대한 액세스 항목을 생성합니다.
-
1단계의 IAM 보안 주체 드롭다운에서 위에서 생성한 실행 역할을 선택합니다.
-
2단계에서 정책 이름을 선택하고 사용자에게 액세스 권한을 부여할 액세스 범위를 선택합니다.
-
-
-
(선택 사항) 보다 원활한 환경을 위해 클러스터에 태그를 추가하는 것이 좋습니다. 태그를 추가하는 방법에 대한 자세한 내용은 섹션을 참조하여 SageMaker AI 콘솔SageMaker HyperPod 클러스터 편집을 사용하여 클러스터를 업데이트하세요.
-
Amazon Managed Grafana 워크스페이스에 Studio 도메인에 태그를 지정합니다. 이는 Studio의 클러스터에서 직접 Grafana 워크스페이스에 빠르게 연결하는 데 사용됩니다. 이렇게 하려면 클러스터에 다음 태그를 추가하여 Grafana 워크스페이스 ID 로 식별합니다
ws-id.태그 키 = “
grafana-workspace”, 태그 값 = “ws-id”.
-
-
(선택 사항) Studio for EKS 클러스터에서 작업 보기 제한. Studio에서 볼 수 있는 작업에 대한 자세한 내용은 섹션을 참조하세요업무.
Studio for EKS 클러스터에서 작업 보기 제한
사용자가 지정된 네임스페이스에 속한 작업만 볼 수 있도록 Kubernetes 네임스페이스 권한을 제한할 수 있습니다. 다음은 Studio for EKS 클러스터에서 작업 보기를 제한하는 방법에 대한 정보를 제공합니다. Studio에서 볼 수 있는 작업에 대한 자세한 내용은 섹션을 참조하세요업무.
사용자는 기본적으로 모든 EKS 클러스터 작업을 볼 수 있습니다. EKS 클러스터 작업에 대한 사용자의 가시성을 지정된 네임스페이스로 제한하여 사용자가 엄격한 액세스 제어를 유지하면서 필요한 리소스에 액세스할 수 있도록 할 수 있습니다. 다음 사항이 설정되면 사용자가 해당 네임스페이스의 작업을 표시할 수 있도록 네임스페이스를 제공해야 합니다.
제한이 적용되면 역할을 수임하는 사용자에게 네임스페이스를 제공해야 합니다. Studio는 사용자가 작업 탭에서 볼 수 있는 권한이 있는 입력 네임스페이스를 제공한 경우에만 네임스페이스의 작업을 표시합니다.
다음 구성을 통해 관리자는 클러스터 내에서 작업을 볼 수 있도록 데이터 과학자에게 특정하고 제한된 액세스 권한을 부여할 수 있습니다. 이 구성은 다음 권한을 부여합니다.
-
포드 나열 및 가져오기
-
이벤트 나열 및 가져오기
-
사용자 지정 리소스 정의(CRDs) 가져오기
YAML 구성
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: pods-events-crd-cluster-role
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "list"]
- apiGroups: [""]
resources: ["events"]
verbs: ["get", "list"]
- apiGroups: ["apiextensions.k8s.io"]
resources: ["customresourcedefinitions"]
verbs: ["get"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: pods-events-crd-cluster-role-binding
subjects:
- kind: Group
name: pods-events-crd-cluster-level
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: ClusterRole
name: pods-events-crd-cluster-role
apiGroup: rbac.authorization.k8s.io-
YAML 구성을 라는 파일에 저장합니다
cluster-role.yaml. -
를 사용하여 구성을 적용합니다
kubectl. kubectl apply -f cluster-role.yaml -
구성을 확인합니다.
kubectl get clusterrole pods-events-crd-cluster-role kubectl get clusterrolebinding pods-events-crd-cluster-role-binding -
자격 증명 공급자 또는 IAM을 통해
pods-events-crd-cluster-level그룹에 사용자를 할당합니다.
