Configurazione di un cluster Amazon EKS in Studio - Amazon SageMaker AI
Limitazione della visualizzazione delle attività in Studio per i cluster EKS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di un cluster Amazon EKS in Studio

Nelle istruzioni seguenti viene descritto come configurare un cluster Amazon EKS in Studio.

  1. Crea un dominio o tienine uno pronto. Per informazioni sulla creazione di un dominio, consulta Guida alla configurazione con Amazon SageMaker AI.

  2. Aggiungi l’autorizzazione seguente al tuo ruolo di esecuzione.

    Per informazioni sui ruoli di esecuzione dell' SageMaker IA e su come modificarli, consultaInformazioni sulle autorizzazioni e sui ruoli di esecuzione dello spazio del dominio.

    Per informazioni su come collegare le policy a un utente o a un gruppo IAM, consulta Adding and removing IAM identity permissions.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DescribeHyerpodClusterPermissions",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribeCluster"
            ],
            "Resource": "arn:aws:sagemaker:us-east-1:111122223333:cluster/cluster-name"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:Describe*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr:CompleteLayerUpload",
                "ecr:GetAuthorizationToken",
                "ecr:UploadLayerPart",
                "ecr:InitiateLayerUpload",
                "ecr:BatchCheckLayerAvailability",
                "ecr:PutImage"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
                "Action": [
                    "cloudwatch:PutMetricData",
                    "cloudwatch:GetMetricData"
                    ],
            "Resource": "*"
        },
        {
            "Sid": "UseEksClusterPermissions",
            "Effect": "Allow",
            "Action": [
                "eks:DescribeCluster",
                "eks:AccessKubernetesApi",
                "eks:DescribeAddon"
            ],
            "Resource": "arn:aws:eks:us-east-1:111122223333:cluster/cluster-name"
        },
        {
            "Sid": "ListClustersPermission",
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListClusters"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
                "ssm:TerminateSession"
            ],
            "Resource": "*"
        }
    ]
}

  3. Concedi agli utenti IAM l’accesso a Kubernetes con le voci di accesso EKS.

    1. Passa al cluster Amazon EKS associato al tuo HyperPod cluster.

    2. Scegli la scheda Accesso e crea una voce di accesso per il ruolo di esecuzione che hai creato.

      1. Nella Fase 1, seleziona il ruolo di esecuzione che hai creato sopra nell’elenco a discesa del principale IAM.

      2. Nella Fase 2, seleziona il nome di una policy e la portata dell’accesso che intendi concedere agli utenti.

  4. (Facoltativo) Per garantire un’esperienza più fluida, ti consigliamo di aggiungere tag ai tuoi cluster. Per informazioni su come aggiungere tag, consulta come Modifica un SageMaker HyperPod cluster aggiornare il cluster utilizzando la console SageMaker AI.

    1. Tagga lo spazio di lavoro Grafana gestito da Amazon al tuo dominio Studio. Così facendo, puoi collegare in modo rapido e diretto lo spazio di lavoro Grafana dal cluster in Studio. A tale scopo, aggiungi il tag seguente al cluster per identificarlo con l’ID dello spazio di lavoro Grafana, ws-id.

      Chiave tag = “grafana-workspace”, valore tag = “ws-id”.

  5. (Facoltativo) Limitazione della visualizzazione delle attività in Studio per i cluster EKS. Per informazioni sulle attività visibili in Studio, consulta Processi.

Limitazione della visualizzazione delle attività in Studio per i cluster EKS

Puoi limitare le autorizzazioni dei namespace Kubernetes per gli utenti, in modo che possano visualizzare solo le attività appartenenti a un namespace specificato. Di seguito vengono fornite informazioni su come limitare la visualizzazione delle attività in Studio per i cluster EKS. Per informazioni sulle attività visibili in Studio, consulta Processi.

Per impostazione predefinita, gli utenti avranno visibilità su tutte le attività del cluster EKS. Puoi limitare la visibilità degli utenti sulle attività del cluster EKS in base a namespace specifici. In questo modo, gli utenti possono accedere alle risorse di cui hanno bisogno, ma al tempo stesso vengono garantiti rigorosi controlli di accesso. Per consentire la visualizzazione dei processi in un namespace a un utente, devi specificare il namespace dopo aver impostato quanto segue.

Una volta applicata la limitazione, dovrai fornire il namespace agli utenti che assumono il ruolo. Studio mostrerà i processi del namespace solo dopo che l’utente fornirà il namespace per il quale dispone delle autorizzazioni per la visualizzazione nella scheda Attività.

La configurazione seguente consente agli amministratori di concedere un accesso specifico e limitato ai Data Scientist per la visualizzazione delle attività all’interno del cluster. La configurazione concede le autorizzazioni seguenti:

  • Elenca e ottieni i pod

  • Elenca e ottieni gli eventi

  • Ottieni definizioni di risorse personalizzate (CRDs)

Configurazione YAML

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: pods-events-crd-cluster-role
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list"]
- apiGroups: [""]
  resources: ["events"]
  verbs: ["get", "list"]
- apiGroups: ["apiextensions.k8s.io"]
  resources: ["customresourcedefinitions"]
  verbs: ["get"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: pods-events-crd-cluster-role-binding
subjects:
- kind: Group
  name: pods-events-crd-cluster-level
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: pods-events-crd-cluster-role
  apiGroup: rbac.authorization.k8s.io

  1. Salva la configurazione YAML in un file denominato cluster-role.yaml.

  2. Applica la configurazione utilizzando kubectl:

    kubectl apply -f cluster-role.yaml

  3. Verifica la configurazione:

    kubectl get clusterrole pods-events-crd-cluster-role
kubectl get clusterrolebinding pods-events-crd-cluster-role-binding

  4. Assegna gli utenti al gruppo pods-events-crd-cluster-level tramite il tuo gestore dell’identità digitale o IAM.