Configuration d’un cluster Amazon EKS dans Studio - Amazon SageMaker AI
Restriction de l’affichage des tâches dans Studio pour les clusters EKS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration d’un cluster Amazon EKS dans Studio

Les instructions suivantes expliquent comment configurer un cluster Amazon EKS dans Studio.

  1. Créez un domaine ou préparez-en un. Pour en savoir plus sur la création d’un domaine, consultez Guide de configuration d'Amazon SageMaker AI.

  2. Ajoutez l’autorisation suivante à votre rôle d’exécution.

    Pour plus d'informations sur les rôles d'exécution de l' SageMaker IA et sur la façon de les modifier, consultezComprendre les autorisations d’espace de domaine et les rôles d’exécution.

    Pour découvrir comment attacher des politiques à un utilisateur ou à un groupe IAM, consultez Ajout et suppression d’autorisations basées sur l’identité IAM.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DescribeHyerpodClusterPermissions",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribeCluster"
            ],
            "Resource": "arn:aws:sagemaker:us-east-1:111122223333:cluster/cluster-name"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:Describe*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr:CompleteLayerUpload",
                "ecr:GetAuthorizationToken",
                "ecr:UploadLayerPart",
                "ecr:InitiateLayerUpload",
                "ecr:BatchCheckLayerAvailability",
                "ecr:PutImage"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
                "Action": [
                    "cloudwatch:PutMetricData",
                    "cloudwatch:GetMetricData"
                    ],
            "Resource": "*"
        },
        {
            "Sid": "UseEksClusterPermissions",
            "Effect": "Allow",
            "Action": [
                "eks:DescribeCluster",
                "eks:AccessKubernetesApi",
                "eks:DescribeAddon"
            ],
            "Resource": "arn:aws:eks:us-east-1:111122223333:cluster/cluster-name"
        },
        {
            "Sid": "ListClustersPermission",
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListClusters"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
                "ssm:TerminateSession"
            ],
            "Resource": "*"
        }
    ]
}

  3. Accordez aux utilisateurs IAM l’accès à Kubernetes avec des entrées d’accès EKS.

    1. Accédez au cluster Amazon EKS associé à votre HyperPod cluster.

    2. Choisissez l’onglet Accès et créez une entrée d’accès pour le rôle d’exécution que vous avez créé.

      1. À l’étape 1, sélectionnez le rôle d’exécution que vous avez créé ci-dessus dans le menu déroulant du principal IAM.

      2. À l’étape 2, sélectionnez un nom de politique et sélectionnez une étendue d’accès à laquelle vous souhaitez que les utilisateurs aient accès.

  4. (Facultatif) Pour garantir une expérience plus fluide, nous vous recommandons d’ajouter des balises à vos clusters. Pour plus d'informations sur l'ajout de balises, consultez la section Modifier un SageMaker HyperPod cluster pour mettre à jour votre cluster à l'aide de la console SageMaker AI.

    1. Balisez votre espace de travail Amazon Managed Grafana par rapport à votre domaine Studio. Cela sera utilisé pour créer une liaison rapide à votre espace de travail Grafana directement depuis votre cluster dans Studio. Pour ce faire, ajoutez la balise suivante à votre cluster pour l’identifier avec l’ID de votre espace de travail Grafana, ws-id.

      Clé de balise = « grafana-workspace », Valeur de balise = « ws-id ».

  5. (Facultatif) Restriction de l’affichage des tâches dans Studio pour les clusters EKS. Pour en savoir plus sur les tâches consultables dans Studio, consultez Tâches.

Restriction de l’affichage des tâches dans Studio pour les clusters EKS

Vous pouvez restreindre les autorisations d’espace de noms Kubernetes pour les utilisateurs, afin qu’ils n’aient accès qu’à l’affichage des tâches appartenant à un espace de noms spécifié. La section suivante fournit des informations sur la façon de restreindre l’affichage des tâches dans Studio pour les clusters EKS. Pour en savoir plus sur les tâches consultables dans Studio, consultez Tâches.

Les utilisateurs auront une visibilité sur toutes les tâches du cluster EKS par défaut. Vous pouvez restreindre la visibilité des utilisateurs pour les tâches du cluster EKS à des espaces de noms spécifiques, afin de garantir que les utilisateurs pourront accéder aux ressources dont ils ont besoin tout en maintenant des contrôles d’accès stricts. Vous devrez fournir l’espace de noms permettant à l’utilisateur d’afficher les tâches de cet espace de noms une fois les éléments suivants configurés.

Une fois la restriction appliquée, vous devrez fournir l’espace de noms aux utilisateurs qui assument le rôle. Studio n’affichera les tâches de l’espace de noms qu’une fois que l’utilisateur aura fourni un espace de noms d’entrées qu’il est autorisé à consulter dans l’onglet Tâches.

La configuration suivante permet aux administrateurs d’accorder un accès spécifique et limité aux scientifiques des données pour visualiser les tâches au sein du cluster. Cette stratégie accorde les autorisations suivantes :

  • Répertorier et obtenir des pods

  • Répertorier et obtenir des événements

  • Obtenir des définitions de ressources personnalisées (CRDs)

Configuration YAML

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: pods-events-crd-cluster-role
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list"]
- apiGroups: [""]
  resources: ["events"]
  verbs: ["get", "list"]
- apiGroups: ["apiextensions.k8s.io"]
  resources: ["customresourcedefinitions"]
  verbs: ["get"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: pods-events-crd-cluster-role-binding
subjects:
- kind: Group
  name: pods-events-crd-cluster-level
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: pods-events-crd-cluster-role
  apiGroup: rbac.authorization.k8s.io

  1. Enregistrez la configuration YAML à un fichier nommé cluster-role.yaml.

  2. Appliquez la configuration à l’aide de kubectl :

    kubectl apply -f cluster-role.yaml

  3. Vérifiez la configuration :

    kubectl get clusterrole pods-events-crd-cluster-role
kubectl get clusterrolebinding pods-events-crd-cluster-role-binding

  4. Affectez des utilisateurs au groupe pods-events-crd-cluster-level via votre fournisseur d’identité ou IAM.