Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Amazon CloudFormation EMR-Vorlagen im Service Catalog konfigurieren
Bei diesem Thema wird davon ausgegangen [CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html), dass Administratoren mit den [Portfolios und Produkten](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/getstarted-portfolio.html) von [Amazon EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-gs.html) vertraut sind. AWS Service Catalog
Um die Erstellung von Amazon EMR-Clustern in Studio zu vereinfachen, können Administratoren eine [Amazon CloudFormation EMR-Vorlage](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-elasticmapreduce-cluster.html) als Produkt in einem [AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html)Portfolio registrieren. Um die Vorlage Datenwissenschaftlern zur Verfügung zu stellen, müssen sie das Portfolio der in Studio oder Studio Classic verwendeten SageMaker KI-Ausführungsrolle zuordnen. Damit Benutzer von Studio oder Studio Classic aus Vorlagen auffinden, Cluster bereitstellen und von Studio Classic aus eine Verbindung zu Amazon EMR-Clustern herstellen können.
Mit den Amazon CloudFormation EMR-Vorlagen können Endbenutzer verschiedene Cluster-Aspekte anpassen. Beispielsweise können Administratoren eine Liste genehmigter Instance-Typen definieren, aus der Benutzer bei der Erstellung eines Clusters auswählen können.
In den folgenden Anweisungen werden end-to-end [CloudFormation Stacks](https://github.com/aws-samples/sagemaker-studio-emr/tree/main/cloudformation/getting_started) verwendet, um eine Studio- oder Studio Classic-Domain, ein Benutzerprofil und ein Service Catalog-Portfolio einzurichten und eine Amazon EMR-Startvorlage auszufüllen. In den folgenden Schritten werden die spezifischen Einstellungen hervorgehoben, die Administratoren in ihrem end-to-end Stack vornehmen müssen, damit Studio oder Studio Classic auf Service Catalog-Produkte zugreifen und Amazon EMR-Cluster bereitstellen können.
**Anmerkung**
Das GitHub Repository [aws-samples/ sagemaker-studio-emr](https://github.com/aws-samples/sagemaker-studio-emr/tree/main/cloudformation/getting_started) enthält end-to-end CloudFormation Beispiel-Stacks, die die erforderlichen IAM-Rollen, Netzwerke, SageMaker Domänen, Benutzerprofile und Service Catalog-Portfolios bereitstellen und eine Amazon EMR-Startvorlage hinzufügen. CloudFormation Die Vorlagen bieten unterschiedliche Authentifizierungsoptionen zwischen Studio oder Studio Classic und dem Amazon EMR-Cluster. In diesen Beispielvorlagen übergibt der übergeordnete CloudFormation Stack SageMaker AI-VPC-, Sicherheitsgruppen- und Subnetzparameter an die Amazon EMR-Cluster-Vorlage.
Das Repository [sagemaker-studio-emr/cloudformation/emr\_servicecatalog\_templates enthält verschiedene Amazon CloudFormation EMR-Startvorlagen](https://github.com/aws-samples/sagemaker-studio-emr/tree/main/cloudformation/emr_servicecatalog_templates), darunter Optionen für Einzelkonto- und kontoübergreifende Bereitstellungen.
Weitere Informationen zu [Stellen Sie von SageMaker Studio oder Studio Classic aus eine Connect zu einem Amazon EMR-Cluster her](connect-emr-clusters.md) den Authentifizierungsmethoden, die Sie verwenden können, um eine Verbindung zu einem Amazon EMR-Cluster herzustellen.
Gehen Sie wie folgt vor, damit Datenwissenschaftler Amazon CloudFormation EMR-Vorlagen entdecken und Cluster aus Studio oder Studio Classic bereitstellen können.
## Schritt 0: Überprüfen Sie Ihr Netzwerk und bereiten Sie Ihren CloudFormation Stack vor
Bevor Sie beginnen:
+ Stellen Sie sicher, dass Sie die Netzwerk- und Sicherheitsanforderungen in [Konfigurieren Sie den Netzwerkzugriff für Ihren Amazon-EMR-Cluster](studio-notebooks-emr-networking.md) gelesen haben.
+ Sie müssen über einen vorhandenen end-to-end CloudFormation Stack verfügen, der die Authentifizierungsmethode Ihrer Wahl unterstützt. Beispiele für solche CloudFormation Vorlagen finden Sie im [sagemaker-studio-emr GitHub aws-samples/](https://github.com/aws-samples/sagemaker-studio-emr/tree/main/cloudformation/getting_started) Repository. In den folgenden Schritten werden die spezifischen Konfigurationen in Ihrem end-to-end Stack hervorgehoben, um die Verwendung von Amazon EMR-Vorlagen in Studio oder Studio Classic zu ermöglichen.
## Schritt 1: Verknüpfen Sie Ihr Service Catalog-Portfolio mit SageMaker KI
Verknüpfen **Sie in Ihrem Service Catalog-Portfolio** Ihre Portfolio-ID mit der SageMaker KI-Ausführungsrolle, die auf Ihren Cluster zugreift.
Fügen Sie dazu den folgenden Abschnitt (hier im YAML-Format) zu Ihrem Stack hinzu. Dadurch erhält die SageMaker KI-Ausführungsrolle Zugriff auf das angegebene Service Catalog-Portfolio, das Produkte wie Amazon EMR-Vorlagen enthält. Es ermöglicht Rollen, die von SageMaker KI übernommen wurden, um diese Produkte auf den Markt zu bringen.
Ersetze {{SageMakerExecutionRole.Arn}} und {{SageMakerStudioEMRProductPortfolio.ID}} durch ihre tatsächlichen Werte.
```
SageMakerStudioEMRProductPortfolioPrincipalAssociation:
Type: AWS::ServiceCatalog::PortfolioPrincipalAssociation
Properties:
PrincipalARN: {{SageMakerExecutionRole.Arn}}
PortfolioId: {{SageMakerStudioEMRProductPortfolio.ID}}
PrincipalType: IAM
```
[Einzelheiten zu den erforderlichen IAM-Berechtigungen finden Sie im Abschnitt Berechtigungen.](#studio-emr-permissions)
## Schritt 2: Verweisen Sie auf eine Amazon EMR-Vorlage in einem Service Catalog-Produkt
Verweisen Sie **in einem Service Catalog-Produkt Ihres Portfolios** auf eine Amazon EMR-Vorlagenressource und stellen Sie sicher, dass sie in Studio oder Studio Classic sichtbar ist.
Beziehen Sie dazu die Amazon-EMR-Vorlagenressource in der Produktdefinition von Service Catalog und fügen Sie dann den folgenden Tag-Schlüsselsatz `"sagemaker:studio-visibility:emr"` zum Wert hinzu (siehe Beispiel im YAML-Format).
In der Service Catalog-Produktdefinition wird die CloudFormation Vorlage des Clusters über eine URL referenziert. Das zusätzliche Tag, das auf true gesetzt ist, gewährleistet die Sichtbarkeit der Amazon EMR-Vorlagen in Studio oder Studio Classic.
**Anmerkung**
Die Amazon EMR-Vorlage, auf die im Beispiel durch die angegebene URL verwiesen wird, erzwingt beim Start keine Authentifizierungsanforderungen. Diese Option dient Demonstrations- und Lernzwecken. Dies wird in einer Produktionsumgebung nicht empfohlen.
```
SMStudioEMRNoAuthProduct:
Type: AWS::ServiceCatalog::CloudFormationProduct
Properties:
Owner: AWS
Name: SageMaker Studio Domain No Auth EMR
ProvisioningArtifactParameters:
- Name: SageMaker Studio Domain No Auth EMR
Description: Provisions a SageMaker domain and No Auth EMR Cluster
Info:
LoadTemplateFromURL: {{Link to your CloudFormation template. For example, https://aws-blogs-artifacts-public.s3.amazonaws.com/artifacts/astra-m4-sagemaker/end-to-end/CFN-EMR-NoStudioNoAuthTemplate-v3.yaml}}
Tags:
- Key: "sagemaker:studio-visibility:emr"
Value: "true"
```
## Schritt 3: Parametrisieren Sie die Amazon EMR-Vorlage CloudFormation
**Die CloudFormation Vorlage, die zur Definition des Amazon EMR-Clusters innerhalb des Service Catalog-Produkts** verwendet wird, ermöglicht es Administratoren, konfigurierbare Parameter anzugeben. Administratoren können `Default`-Werte und `AllowedValues`-Bereiche für diese Parameter im `Parameters`-Abschnitt der Vorlage definieren. Während des Cluster-Startvorgangs können Datenwissenschaftler benutzerdefinierte Eingaben bereitstellen oder aus diesen vordefinierten Optionen eine Auswahl treffen, um bestimmte Aspekte ihres Amazon EMR-Clusters anzupassen.
Das folgende Beispiel zeigt zusätzliche Eingabeparameter, die der Administrator bei der Erstellung einer Amazon EMR-Vorlage festlegen kann.
```
"Parameters": {
"EmrClusterName": {
"Type": "String",
"Description": "EMR cluster Name."
},
"MasterInstanceType": {
"Type": "String",
"Description": "Instance type of the EMR master node.",
"Default": "m5.xlarge",
"AllowedValues": [
"m5.xlarge",
"m5.2xlarge",
"m5.4xlarge"
]
},
"CoreInstanceType": {
"Type": "String",
"Description": "Instance type of the EMR core nodes.",
"Default": "m5.xlarge",
"AllowedValues": [
"m5.xlarge",
"m5.2xlarge",
"m5.4xlarge",
"m3.medium",
"m3.large",
"m3.xlarge",
"m3.2xlarge"
]
},
"CoreInstanceCount": {
"Type": "String",
"Description": "Number of core instances in the EMR cluster.",
"Default": "2",
"AllowedValues": [
"2",
"5",
"10"
]
},
"EmrReleaseVersion": {
"Type": "String",
"Description": "The release version of EMR to launch.",
"Default": "emr-5.33.1",
"AllowedValues": [
"emr-5.33.1",
"emr-6.4.0"
]
}
}
```
Nachdem Administratoren die Amazon CloudFormation EMR-Vorlagen in Studio verfügbar gemacht haben, können Datenwissenschaftler sie verwenden, um Amazon EMR-Cluster selbst bereitzustellen. Der in der Vorlage definierte `Parameters` Abschnitt wird in Eingabefelder im Formular zur Clustererstellung in Studio oder Studio Classic übersetzt. Für jeden Parameter können Datenwissenschaftler entweder einen benutzerdefinierten Wert in das Eingabefeld eingeben oder aus den in einem Dropdownmenü aufgeführten vordefinierten Optionen auswählen, die den in der Vorlage `AllowedValues` angegebenen Optionen entsprechen.
Die folgende Abbildung zeigt das dynamische Formular, das aus einer CloudFormation Amazon EMR-Vorlage zusammengestellt wurde, um einen Amazon EMR-Cluster in Studio oder Studio Classic zu erstellen.
Besuchen Sie [Starten eines Amazon-EMR-Clusters von Studio oder Studio Classic aus](studio-notebooks-launch-emr-cluster-from-template.md), um zu erfahren, wie Sie mithilfe dieser Amazon-EMR-Vorlagen von Studio oder Studio Classic aus einen Cluster starten können.
## Schritt 4: Richten Sie die Berechtigungen ein, um das Auflisten und Starten von Amazon EMR-Clustern von Studio aus zu ermöglichen
Fügen Sie abschließend die erforderlichen IAM-Berechtigungen hinzu, um die Auflistung vorhandener laufender Amazon EMR-Cluster und die Selbstbereitstellung neuer Cluster aus Studio oder Studio Classic zu ermöglichen.
Die Rolle(n), zu denen Sie diese Berechtigungen hinzufügen müssen, hängt davon ab, ob Studio oder Studio Classic und Amazon EMR im selben Konto (wählen Sie *Einzelnes Konto*) oder in verschiedenen Konten (wählen Sie *Kontoübergreifend*) bereitgestellt werden.
**Wichtig**
Sie können nur Amazon EMR-Cluster für und Studio Classic-Anwendungen erkennen JupyterLab und eine Verbindung zu diesen herstellen, die von privaten Bereichen aus gestartet werden. Stellen Sie sicher, dass sich die Amazon EMR-Cluster in derselben AWS Region wie Ihre Studio-Umgebung befinden.
### Einzelkonto
Wenn Ihre Amazon EMR-Cluster und Studio oder Studio Classic im selben AWS Konto bereitgestellt werden, fügen Sie der SageMaker KI-Ausführungsrolle, die auf Ihren Cluster zugreift, die folgenden Berechtigungen hinzu.
1. **Schritt 1**: Rufen Sie den ARN der SageMaker KI-Ausführungsrolle ab, die von Ihrem privaten Bereich verwendet wird.
Informationen zu Bereichen und Ausführungsrollen in SageMaker KI finden Sie unter[Grundlegendes zu Domainbereichsberechtigungen und Ausführungsrollen](execution-roles-and-spaces.md).
Weitere Informationen zum Abrufen des ARN der Ausführungsrolle von SageMaker AI finden Sie unter[Abrufen Ihrer Ausführungsrolle](sagemaker-roles.md#sagemaker-roles-get-execution-role).
1. **Schritt 2: Ordnen** Sie der SageMaker AI-Ausführungsrolle, die auf Ihre Amazon EMR-Cluster zugreift, die folgenden Berechtigungen zu.
1. Navigieren Sie zur [IAM-Konsole](https://console.aws.amazon.com/iam).
1. **Wählen Sie **Rollen** und suchen Sie dann anhand des Namens im Suchfeld nach Ihrer Ausführungsrolle.** Der Rollenname ist der letzte Teil des ARN nach dem letzten Schrägstrich (/).
1. Folgen Sie dem Link zu Ihrer Rolle.
1. Wählen Sie **Berechtigungen hinzufügen** und dann **Inline-Richtlinie erstellen** aus.
1. Fügen Sie auf der Registerkarte **JSON** die Amazon EMR-Berechtigungen hinzu, die Amazon EMR-Zugriff und -Operationen ermöglichen. Einzelheiten zum Richtliniendokument finden Sie unter *Amazon-EMR-Richtlinien auflisten* unter [Referenzrichtlinien](studio-set-up-emr-permissions-reference.md). Ersetzen Sie die und `accountID` durch ihre tatsächlichen Werte`region`, bevor Sie die Liste der Anweisungen in die Inline-Richtlinie Ihrer Rolle kopieren.
1. Wählen Sie **Weiter** und geben Sie dann einen **Richtliniennamen** ein.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Wiederholen Sie den Schritt **Inline-Richtlinie erstellen**, um eine weitere Richtlinie hinzuzufügen, die der Ausführungsrolle die Berechtigungen zur Bereitstellung neuer Amazon EMR-Cluster mithilfe von CloudFormation Vorlagen erteilt. Einzelheiten zum Richtliniendokument finden Sie unter * EMRclusters Amazon-Richtlinien erstellen* unter[Referenzrichtlinien](studio-set-up-emr-permissions-reference.md). Ersetzen Sie die `region` und `accountID` durch ihre tatsächlichen Werte, bevor Sie die Liste der Anweisungen in die Inline-Richtlinie Ihrer Rolle kopieren.
**Anmerkung**
Benutzer der rollenbasierten Zugriffskontrolle (RBAC) für die Konnektivität zu Amazon-EMR-Clustern sollten sich ebenfalls auf [Konfigurieren Sie die Laufzeit-Rollenauthentifizierung, wenn sich Ihr Amazon EMR-Cluster und Studio im selben Konto befinden](studio-notebooks-emr-cluster-rbac.md#studio-notebooks-emr-cluster-iam-same) beziehen.
### Kontoübergreifend
Bevor Sie beginnen, rufen Sie den ARN der SageMaker KI-Ausführungsrolle ab, die von Ihrem privaten Bereich verwendet wird.
Informationen zu Bereichen und Ausführungsrollen in SageMaker KI finden Sie unter[Grundlegendes zu Domainbereichsberechtigungen und Ausführungsrollen](execution-roles-and-spaces.md).
Weitere Informationen zum Abrufen des ARN der Ausführungsrolle von SageMaker AI finden Sie unter[Abrufen Ihrer Ausführungsrolle](sagemaker-roles.md#sagemaker-roles-get-execution-role).
Wenn Ihre Amazon EMR-Cluster und Studio oder Studio Classic in separaten AWS Konten bereitgestellt werden, konfigurieren Sie die Berechtigungen für beide Konten.
**Anmerkung**
Benutzer der rollenbasierten Zugriffskontrolle (RBAC) für die Konnektivität zu Amazon-EMR-Clustern sollten sich ebenfalls auf [Konfigurieren Sie die Laufzeit-Rollenauthentifizierung, wenn sich Ihr Cluster und Studio in verschiedenen Konten befinden](studio-notebooks-emr-cluster-rbac.md#studio-notebooks-emr-cluster-iam-diff) beziehen.
#### Auf dem Amazon EMR-Clusterkonto
Gehen Sie wie folgt vor, um die erforderlichen Rollen und Richtlinien für das Konto zu erstellen, auf dem Amazon EMR bereitgestellt wird, das auch als *vertrauenswürdiges* Konto bezeichnet wird:
1. **Schritt 1**: Rufen Sie den ARN der [Servicerolle Ihres Amazon-EMR-Clusters ab](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-iam-role.html).
Informationen darüber, wie Sie den ARN der Servicerolle eines Clusters ermitteln, finden [Sie unter Konfigurieren von IAM-Servicerollen für Amazon EMR-Berechtigungen für AWS Dienste und Ressourcen](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-iam-roles.html#emr-iam-role-landing).
1. **Schritt 2**: Erstellen Sie eine benutzerdefinierte IAM-Rolle `AssumableRole` mit dem Namen der folgenden Konfiguration:
+ Berechtigungen: Erteilen Sie die erforderlichen Berechtigungen, `AssumableRole` um den Zugriff auf Amazon EMR-Ressourcen zu ermöglichen. Diese Rolle wird in Szenarien mit kontenübergreifendem *Zugriff auch als Access-Rolle* bezeichnet.
+ Vertrauensverhältnis: Konfigurieren Sie die Vertrauensrichtlinie so`AssumableRole`, dass die Ausführungsrolle (die `SageMakerExecutionRole` im kontoübergreifenden Diagramm) von dem Studio-Konto aus übernommen werden kann, für das Zugriff erforderlich ist.
Durch die Übernahme der Rolle erhalten Studio oder Studio Classic temporären Zugriff auf die erforderlichen Berechtigungen in Amazon EMR.
Gehen Sie wie folgt vor, um eine detaillierte Anleitung zum Erstellen eines neuen `AssumableRole` in Ihrem Amazon AWS EMR-Konto zu erhalten:
1. Navigieren Sie zur [IAM-Konsole](https://console.aws.amazon.com/iam).
1. Wählen Sie im linken Navigationsbereich **Richtlinien** und anschließend **Richtlinie erstellen** aus.
1. Fügen Sie auf der Registerkarte **JSON** die Amazon EMR-Berechtigungen hinzu, die Amazon EMR-Zugriff und -Operationen ermöglichen. Einzelheiten zum Richtliniendokument finden Sie unter *Amazon-EMR-Richtlinien auflisten* unter [Referenzrichtlinien](studio-set-up-emr-permissions-reference.md). Ersetzen Sie die und `accountID` durch ihre tatsächlichen Werte`region`, bevor Sie die Liste der Anweisungen in die Inline-Richtlinie Ihrer Rolle kopieren.
1. Wählen Sie **Weiter** und geben Sie dann einen **Richtliniennamen** ein.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Wählen Sie im linken Navigationsbereich **Rollen** und dann **Rolle erstellen** aus.
1. Wählen Sie auf der Seite **Rolle erstellen** die Option **Benutzerdefinierte Vertrauensrichtlinie** als vertrauenswürdige Entität aus.
1. Fügen Sie das folgende JSON-Dokument in den Abschnitt **Benutzerdefinierte Vertrauensrichtlinie** ein und wählen Sie dann **Weiter** aus.
------
#### [ For users of Studio and JupyterLab ]
`studio-account`Ersetzen Sie es durch die Studio-Konto-ID und `AmazonSageMaker-ExecutionRole` durch die Ausführungsrolle, die von Ihrem JupyterLab Bereich verwendet wird.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:role/service-role/{{AmazonSageMaker-ExecutionRole}}"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
------
#### [ For users of Studio Classic ]
Ersetzen Sie es `studio-account` durch die Studio Classic-Konto-ID.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:root"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
------
1. **Fügen Sie auf der Seite „Berechtigungen** hinzufügen“ die soeben erstellte Berechtigung hinzu und wählen Sie dann **Weiter** aus.
1. Geben Sie auf der Seite **Überprüfen** einen Rollennamen, z. B. `AssumableRole`, und optional eine Beschreibung ein.
1. Prüfen Sie die Rollendetails und wählen Sie **Create Role** (Rolle erstellen).
Weitere Informationen dazu, wie Sie eine Rolle für ein AWS -Konto erstellen können, finden Sie unter [Erstellen einer IAM-Rolle (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html).
#### Auf dem Studio-Konto
Aktualisieren Sie auf dem Konto, auf dem Studio bereitgestellt wird, das auch als *vertrauenswürdiges Konto* bezeichnet wird, die SageMaker KI-Ausführungsrolle, die auf Ihre Cluster zugreift, mit den erforderlichen Berechtigungen für den Zugriff auf Ressourcen im vertrauenswürdigen Konto.
1. **Schritt 1**: Rufen Sie den ARN der SageMaker KI-Ausführungsrolle ab, die von Ihrem privaten Bereich verwendet wird.
Informationen zu Bereichen und Ausführungsrollen in SageMaker KI finden Sie unter[Grundlegendes zu Domainbereichsberechtigungen und Ausführungsrollen](execution-roles-and-spaces.md).
Weitere Informationen zum Abrufen des ARN der Ausführungsrolle von SageMaker AI finden Sie unter[Abrufen Ihrer Ausführungsrolle](sagemaker-roles.md#sagemaker-roles-get-execution-role).
1. **Schritt 2: Ordnen** Sie der SageMaker AI-Ausführungsrolle, die auf Ihre Amazon EMR-Cluster zugreift, die folgenden Berechtigungen zu.
1. Navigieren Sie zur [IAM-Konsole](https://console.aws.amazon.com/iam).
1. **Wählen Sie **Rollen** und suchen Sie dann anhand des Namens im Suchfeld nach Ihrer Ausführungsrolle.** Der Rollenname ist der letzte Teil des ARN nach dem letzten Schrägstrich (/).
1. Folgen Sie dem Link zu Ihrer Rolle.
1. Wählen Sie **Berechtigungen hinzufügen** und dann **Inline-Richtlinie erstellen** aus.
1. Fügen Sie auf der Registerkarte **JSON** die Inline-Richtlinie hinzu, die der Rolle Berechtigungen zum Aktualisieren der Domains, Benutzerprofile und Bereiche gewährt. Weitere Informationen zum Richtliniendokument finden Sie unter *Richtlinie für Domain-, Benutzerprofil- und Bereichsaktualisierungen* in [Referenzrichtlinien](studio-set-up-emr-permissions-reference.md). Ersetzen Sie die `region` und `accountID` durch ihre tatsächlichen Werte, bevor Sie die Liste der Anweisungen in die Inline-Richtlinie Ihrer Rolle kopieren.
1. Wählen Sie **Weiter** und geben Sie dann einen **Richtliniennamen** ein.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Wiederholen Sie den Schritt **Inline-Richtlinie erstellen**, um eine weitere Richtlinie hinzuzufügen, die der Ausführungsrolle die Rechte erteilt, die Aktionen anzunehmen `AssumableRole` und dann auszuführen, die gemäß der Zugriffsrichtlinie der Rolle zulässig sind. `emr-account`Ersetzen Sie es durch die Amazon EMR-Konto-ID und `AssumableRole` durch den Namen der angenommenen Rolle, die im Amazon EMR-Konto erstellt wurde.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRoleAssumptionForCrossAccountDiscovery",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::{{111122223333}}:role/{{AssumableRole}}"
]
}
]
}
```
------
1. Wiederholen Sie den Schritt **Inline-Richtlinie erstellen**, um eine weitere Richtlinie hinzuzufügen, die der Ausführungsrolle die Berechtigungen zur Bereitstellung neuer Amazon EMR-Cluster mithilfe von CloudFormation Vorlagen erteilt. Einzelheiten zum Richtliniendokument finden Sie unter * EMRclustersAmazon-Richtlinien erstellen* unter[Referenzrichtlinien](studio-set-up-emr-permissions-reference.md). Ersetzen Sie die `region` und `accountID` durch ihre tatsächlichen Werte, bevor Sie die Liste der Anweisungen in die Inline-Richtlinie Ihrer Rolle kopieren.
1. (Optional) Um die Auflistung von Amazon EMR-Clustern zu ermöglichen, die im selben Konto wie Studio bereitgestellt sind, fügen Sie Ihrer Studio-Ausführungsrolle eine zusätzliche Inline-Richtlinie hinzu, wie unter *Auflisten der Amazon-EMR-Richtlinien* in [Referenzrichtlinien](studio-set-up-emr-permissions-reference.md) beschrieben.
1. **Schritt 3**: Ordnen Sie Ihre angenommene (n) Rolle (n) (Zugriffsrolle) Ihrer Domain oder Ihrem Benutzerprofil zu. JupyterLab Benutzer in Studio können die SageMaker AI-Konsole oder das bereitgestellte Skript verwenden.
Wählen Sie den Tab aus, der Ihrem Anwendungsfall entspricht.
------
#### [ Associate your assumable roles in JupyterLab using the SageMaker AI console ]
So verknüpfen Sie mithilfe der SageMaker AI-Konsole Ihre angenommenen Rollen mit Ihrem Benutzerprofil oder Ihrer Domain:
1. Navigieren Sie zur SageMaker AI-Konsole unter [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Wählen Sie im linken Navigationsbereich die **Domäne** aus und wählen Sie dann die Domäne mit der SageMaker AI-Ausführungsrolle aus, deren Berechtigungen Sie aktualisiert haben.
1.
+ So fügen Sie Ihrer Domain Ihre angenommene (n) Rolle (n) (Zugriffsrolle) hinzu: Navigieren Sie auf der Registerkarte „**App-Konfigurationen**“ der Seite mit den **Domain-Details** zu dem **JupyterLab**Abschnitt.
+ So fügen Sie Ihrem Benutzerprofil Ihre angenommene (n) Rolle (n) (Zugriffsrolle) hinzu: Wählen Sie auf der Seite mit den **Domänendetails** den Tab **Benutzerprofile** aus und wählen Sie das Benutzerprofil mit der SageMaker KI-Ausführungsrolle aus, deren Berechtigungen Sie aktualisiert haben. Navigieren Sie auf der Registerkarte **App-Konfigurationen** zum **JupyterLab**Abschnitt.
1. Wählen Sie **Bearbeiten** und fügen Sie die ARNs Ihrer angenommenen Rolle (Zugriffsrolle) hinzu.
1. Wählen Sie **Absenden** aus.
------
#### [ Associate your assumable roles in JupyterLab using a Python script ]
Führen Sie in einer JupyterLab Anwendung, die von einem Space aus gestartet wurde und die SageMaker AI-Ausführungsrolle verwendet, deren Berechtigungen Sie aktualisiert haben, den folgenden Befehl in einem Terminal aus. Ersetzen Sie`domainID`, `user-profile-name``emr-accountID`, und `AssumableRole` (`EMRServiceRole`für [RBAC-Laufzeitrollen]()) durch ihre richtigen Werte. Dieser Codeausschnitt aktualisiert die Benutzerprofileinstellungen für ein bestimmtes Benutzerprofil (Verwendung`client.update_userprofile`) oder Domäneneinstellungen (Verwendung`client.update_domain`) innerhalb einer SageMaker AI-Domäne. Insbesondere ermöglicht es der JupyterLab Anwendung, eine bestimmte IAM-Rolle (`AssumableRole`) für die Ausführung von Amazon EMR-Clustern innerhalb des Amazon EMR-Kontos anzunehmen.
```
import botocore.session
import json
sess = botocore.session.get_session()
client = sess.create_client('sagemaker')
client.update_userprofile(
DomainId="{{domainID}}",
UserProfileName="{{user-profile-name}}",
DefaultUserSettings={
'JupyterLabAppSettings': {
'EmrSettings': {
'AssumableRoleArns': ["arn:aws:iam::{{emr-accountID}}:role/{{AssumableRole}}"],
'ExecutionRoleArns': ["arn:aws:iam::{{emr-accountID}}:role/{{EMRServiceRole}}",
"arn:aws:iam::{{emr-accountID}}:role/{{AnotherServiceRole}}"]
}
}
})
resp = client.describe_user_profile(DomainId="{{domainID}}", UserProfileName={{user-profile-name}}")
resp['CreationTime'] = str(resp['CreationTime'])
resp['LastModifiedTime'] = str(resp['LastModifiedTime'])
print(json.dumps(resp, indent=2))
```
------
#### [ For users of Studio Classic ]
Geben Sie den ARN der `AssumableRole` für Ihre Studio-Classic-Ausführungsrolle an. Der ARN wird beim Start des Jupyter-Servers geladen. Die Ausführungsrolle von Studio übernimmt diese kontoübergreifende Rolle, um Amazon-EMR-Cluster im *vertrauenden Konto* aufzufinden und eine Verbindung zu ihnen herzustellen.
Sie können diese Informationen mithilfe von Lifecycle Configuration (LCC) -Skripten angeben. Sie können das LCC an Ihre Domain oder ein bestimmtes Benutzerprofil anfügen. Das von Ihnen verwendete LCC-Skript muss eine Konfiguration sein. JupyterServer Weitere Informationen dazu, wie ein LCC-Skript erstellt wird, finden Sie unter [Verwenden der Lebenszykluskonfigurationen mit Studio Classic](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-lcc.html).
Nachfolgend sehen Sie ein LCC-Beispielskript. Um das Skript zu ändern, ersetzen Sie `AssumableRole` es `emr-account` durch die entsprechenden Werte. Die Anzahl der Konten für die kontoübergreifende Nutzung ist auf fünf begrenzt.
```
# This script creates the file that informs Studio Classic that the role "arn:aws:iam::emr-account:role/AssumableRole" in remote account "emr-account" must be assumed to list and describe Amazon EMR clusters in the remote account.
#!/bin/bash
set -eux
FILE_DIRECTORY="/home/sagemaker-user/.cross-account-configuration-DO_NOT_DELETE"
FILE_NAME="emr-discovery-iam-role-arns-DO_NOT_DELETE.json"
FILE="$FILE_DIRECTORY/$FILE_NAME"
mkdir -p $FILE_DIRECTORY
cat > "$FILE" <<- "EOF"
{
{{emr-cross-account1}}: "arn:aws:iam::{{emr-cross-account1}}:role/AssumableRole",
{{emr-cross-account2}}: "arn:aws:iam::{{emr-cross-account2}}:role/AssumableRole"
}
EOF
```
Sobald der LCC läuft und die Dateien geschrieben werden, liest der Server die Datei `/home/sagemaker-user/.cross-account-configuration-DO_NOT_DELETE/emr-discovery-iam-role-arns-DO_NOT_DELETE.json` und speichert die kontoübergreifende ARN.
------