Configuración de un clúster de Amazon EKS en Studio - Amazon SageMaker AI
Restricción de la vista de tareas en Studio para los clústeres de EKS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de un clúster de Amazon EKS en Studio

En las siguientes instrucciones se describe cómo configurar un clúster de Amazon EKS en Studio.

  1. Cree un dominio a menos que ya disponga de uno. Para obtener más información sobre cómo crear un dominio, consulte Guía para empezar a usar Amazon SageMaker AI.

  2. Agregue los siguientes permisos a su rol de ejecución.

    Para obtener información sobre las funciones de ejecución de la SageMaker IA y cómo editarlas, consulteDescripción de los permisos y roles de ejecución de espacio de dominio.

    Para obtener más información acerca de cómo asociar políticas a un grupo o usuario de IAM, consulte Adición y eliminación de permisos de identidad de IAM.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DescribeHyerpodClusterPermissions",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribeCluster"
            ],
            "Resource": "arn:aws:sagemaker:us-east-1:111122223333:cluster/cluster-name"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:Describe*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr:CompleteLayerUpload",
                "ecr:GetAuthorizationToken",
                "ecr:UploadLayerPart",
                "ecr:InitiateLayerUpload",
                "ecr:BatchCheckLayerAvailability",
                "ecr:PutImage"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
                "Action": [
                    "cloudwatch:PutMetricData",
                    "cloudwatch:GetMetricData"
                    ],
            "Resource": "*"
        },
        {
            "Sid": "UseEksClusterPermissions",
            "Effect": "Allow",
            "Action": [
                "eks:DescribeCluster",
                "eks:AccessKubernetesApi",
                "eks:DescribeAddon"
            ],
            "Resource": "arn:aws:eks:us-east-1:111122223333:cluster/cluster-name"
        },
        {
            "Sid": "ListClustersPermission",
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListClusters"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
                "ssm:TerminateSession"
            ],
            "Resource": "*"
        }
    ]
}

  3. Conceda acceso para los usuarios de IAM a las entradas de acceso de Kubernetes con EKS.

    1. Navegue hasta el clúster de Amazon EKS asociado a su HyperPod clúster.

    2. Elija la pestaña Acceso y cree una entrada de acceso para el rol de ejecución que ha creado.

      1. En el paso 1, seleccione el rol de ejecución que ha creado anteriormente en el menú desplegable de la entidad principal de IAM.

      2. En el paso 2, seleccione un nombre de política y un ámbito de acceso al que desee que tengan acceso los usuarios.

  4. (Opcional) Le recomendamos que añada etiquetas a los clústeres para disfrutar de una experiencia más fluida. Para obtener información sobre cómo añadir etiquetas, consulte Edita un SageMaker HyperPod clúster para actualizar el clúster mediante la consola SageMaker AI.

    1. Etiquete el espacio de trabajo Amazon Managed Grafana en su dominio de Studio. Esto se utilizará para vincular rápidamente su espacio de trabajo de Grafana directamente desde el clúster en Studio. Para ello, añada la siguiente etiqueta a su clúster para identificarlo con el ID del espacio de trabajo de Grafana ws-id.

      Clave de la etiqueta = “grafana-workspace“, valor de la etiqueta = “ws-id

  5. (Opcional) Restricción de la vista de tareas en Studio para los clústeres de EKS. Para obtener más información sobre las tareas visibles en Studio, consulte Tareas.

Restricción de la vista de tareas en Studio para los clústeres de EKS

Puede restringir los permisos del espacio de nombres de Kubernetes para que los usuarios solo tengan acceso para ver las tareas que pertenezcan a un espacio de nombres específico. A continuación, se explica cómo restringir la visualización de tareas en los clústeres de Studio para EKS. Para obtener más información sobre las tareas visibles en Studio, consulte Tareas.

De forma predeterminada, los usuarios podrán ver todas las tareas del clúster de EKS. Puede restringir la visibilidad de los usuarios de las tareas del clúster de EKS a espacios de nombres específicos, de forma que los usuarios puedan acceder a los recursos que necesitan pero, al mismo tiempo, pueda mantener estrictos controles de acceso. Deberá proporcionar el espacio de nombres para que el usuario muestre los trabajos de ese espacio de nombres una vez que se haya configurado lo siguiente.

Una vez aplicada la restricción, tendrá que proporcionar el espacio de nombres a los usuarios que asuman el rol. Studio solo mostrará los trabajos del espacio de nombres cuando el usuario proporcione las entradas del espacio de nombres para las que tiene permisos de visualización en la pestaña Tareas.

La siguiente configuración permite a los administradores conceder un acceso específico y limitado a los científicos de datos para ver las tareas del clúster. Esta configuración concede los siguientes permisos:

  • Enumerar y obtener pods

  • Enumerar y obtener eventos

  • Obtenga definiciones de recursos personalizadas (CRDs)

Configuración de YAML

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: pods-events-crd-cluster-role
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list"]
- apiGroups: [""]
  resources: ["events"]
  verbs: ["get", "list"]
- apiGroups: ["apiextensions.k8s.io"]
  resources: ["customresourcedefinitions"]
  verbs: ["get"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: pods-events-crd-cluster-role-binding
subjects:
- kind: Group
  name: pods-events-crd-cluster-level
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: pods-events-crd-cluster-role
  apiGroup: rbac.authorization.k8s.io

  1. Guarde la configuración de YAML en un archivo llamado cluster-role.yaml.

  2. Aplique esta configuración con kubectl:

    kubectl apply -f cluster-role.yaml

  3. Verifique la configuración:

    kubectl get clusterrole pods-events-crd-cluster-role
kubectl get clusterrolebinding pods-events-crd-cluster-role-binding

  4. Asigne usuarios al grupo pods-events-crd-cluster-level a través del proveedor de identidades o de IAM.