Account singolo Multi-account Policy di riferimento

Configura le autorizzazioni per abilitare la pubblicazione e l'avvio di applicazioni Amazon EMR da Studio SageMaker

In questa sezione, descriviamo in dettaglio i ruoli e le autorizzazioni necessari per elencare e connettersi alle applicazioni SageMaker EMR Serverless di Studio, considerando gli scenari in cui Studio e le applicazioni EMR Serverless vengono distribuite nello stesso account o tra account diversi. AWS

I ruoli a cui è necessario aggiungere le autorizzazioni necessarie dipendono dal fatto che Studio e le applicazioni EMR Serverless risiedano AWS nello stesso account (Account singolo) o in account separati (Cross Account). Sono interessati due tipi di ruoli:

Ruoli di esecuzione:
- Ruoli di esecuzione in fase di esecuzione (ruoli Role-Based Access Control) utilizzati da EMR Serverless: questi sono i ruoli IAM utilizzati dagli ambienti di esecuzione dei lavori EMR Serverless per accedere ad altri AWS servizi e risorse necessari durante il runtime, come Amazon S3 per l'accesso ai dati, per la registrazione, CloudWatch l'accesso al Data Catalog o altri servizi in base ai requisiti del AWS Glue carico di lavoro. Consigliamo di creare questi ruoli nell’account in cui sono in esecuzione le applicazioni EMR Serverless.
  
  Per ulteriori informazioni sui ruoli di runtime, consulta Ruoli di runtime del processo nella Guida per l’utente di EMR Serverless.
  
  Nota
  Puoi definire diversi ruoli RBAC per l’applicazione EMR Serverless. Questi ruoli possono essere basati sulle responsabilità e sui livelli di accesso necessari ai diversi utenti o gruppi all’interno dell’organizzazione. Per ulteriori informazioni sulle autorizzazioni RBAC, consulta Best practice sulla sicurezza per Amazon EMR serverless.
- SageMaker Ruolo di esecuzione AI: il ruolo di esecuzione che consente all' SageMaker IA di eseguire determinate attività come leggere dati dai bucket Amazon S3, scrivere log e accedere ad CloudWatch altri AWS servizi di cui il tuo flusso di lavoro potrebbe aver bisogno. Il ruolo di esecuzione SageMaker AI dispone anche dell'autorizzazione speciale chiamata iam:PassRole che consente all' SageMaker IA di passare ruoli di esecuzione temporanei in fase di esecuzione alle applicazioni EMR Serverless. Questi ruoli forniscono alle applicazioni EMR Serverless le autorizzazioni necessarie per interagire con altre AWS risorse mentre sono in esecuzione.
Ruoli assumibili (anche noti come Ruoli di accesso al servizio):
- Questi sono i ruoli IAM che il ruolo di esecuzione di SageMaker AI può assumere per eseguire operazioni relative alla gestione delle applicazioni EMR Serverless. Questi ruoli definiscono le autorizzazioni e le policy di accesso necessarie per la visualizzazione, la connessione o la gestione delle applicazioni EMR Serverless. In genere vengono utilizzati in scenari tra account, in cui le applicazioni EMR Serverless si trovano in un account AWS diverso rispetto SageMaker al dominio AI. Avere un ruolo IAM dedicato per le tue applicazioni EMR Serverless aiuta a seguire il principio del privilegio minimo e garantisce che Amazon EMR disponga solo delle autorizzazioni necessarie per eseguire i tuoi lavori, proteggendo al contempo le altre risorse del tuo account. AWS

Comprendendo e configurando correttamente questi ruoli, è possibile garantire che SageMaker Studio disponga delle autorizzazioni necessarie per interagire con le applicazioni EMR Serverless, indipendentemente dal fatto che siano distribuite nello stesso account o su account diversi.

Account singolo

I seguenti diagrammi illustrano i ruoli e le autorizzazioni necessari per elencare e connettersi alle applicazioni EMR Serverless da Studio quando Studio e le applicazioni vengono distribuite nello stesso account. AWS

Il diagramma mostra i ruoli e le autorizzazioni necessari per elencare e connettere le applicazioni EMR Serverless di Studio quando Studio e le applicazioni hanno lo stesso account. AWS

Se le applicazioni Amazon EMR e Studio sono distribuite nello stesso AWS account, procedi nel seguente modo:

Fase 1. Recupera l’ARN del bucket Amazon S3 che utilizzi per le origini dati e l’archiviazione dei dati di output nella console di Amazon S3.

Per informazioni su come cercare un bucket in base al nome, consulta Accesso e visualizzazione di un bucket Amazon S3. Per informazioni su come creare un bucket Amazon S3, consulta Creazione di un bucket.
Fase 2. Crea almeno un ruolo di esecuzione di runtime del processo per l’applicazione EMR Serverless nel tuo account (EMRServerlessRuntimeExecutionRoleA nel diagramma del caso d’uso Account singolo riportato sopra). Scegli Policy di attendibilità personalizzata come entità attendibile. Aggiungi le autorizzazioni richieste dal tuo processo. Come minimo, è necessario l'accesso completo a un bucket Amazon S3 e l'accesso per la creazione e la lettura a AWS Glue Data Catalog.

Per istruzioni dettagliate su come creare un nuovo ruolo di esecuzione di runtime per le applicazioni EMR Serverless, procedi nel seguente modo:
1. Passare alla IAM console (Console IAM).
2. Nel riquadro di navigazione a sinistra, scegli Policy, quindi scegli Crea policy.
3. Aggiungi le autorizzazioni richieste dal tuo ruolo di runtime, assegna un nome alla policy, quindi scegli Crea policy.
  
  Puoi fare riferimento a Ruoli di runtime del processo per EMR Serverless per trovare esempi di policy di runtime per un ruolo di runtime EMR Serverless.
4. Nel riquadro di navigazione a sinistra, scegli Ruoli, quindi Crea ruolo.
5. Nella pagina Crea ruolo, scegli Policy di attendibilità personalizzata come entità attendibile.
6. Incolla il documento JSON seguente nella sezione Policy di attendibilità personalizzata, quindi scegli Avanti.
  JSON
  { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "emr-serverless.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
7. Nella pagina Aggiungi autorizzazioni, aggiungi la policy creata, quindi scegli Avanti.
8. Nella pagina Verifica, inserisci un nome per il ruolo, ad esempio EMRServerlessAppRuntimeRoleA e una descrizione facoltativa.
9. Verifica i dettagli del ruolo e scegli Create role (Crea ruolo).
Grazie a questi ruoli, tu e i tuoi colleghi potete connettervi alla stessa applicazione, utilizzando un ruolo di runtime ciascuno con autorizzazioni corrispondenti al livello individuale di accesso ai dati.

Nota
Le sessioni Spark funzionano in modo diverso. Le sessioni Spark vengono isolate in base al ruolo di esecuzione utilizzato da Studio, quindi gli utenti con ruoli di esecuzione diversi avranno sessioni Spark separate e isolate. Inoltre, se hai abilitato l’identità di origine per il tuo dominio, le sessioni Spark sono ulteriormente isolate nelle varie identità di origine.
Passaggio 3: recupera l'ARN del ruolo di esecuzione SageMaker dell'IA utilizzato dal tuo spazio privato.

Per informazioni sugli spazi e sui ruoli di esecuzione nell' SageMaker intelligenza artificiale, consulta. Informazioni sulle autorizzazioni e sui ruoli di esecuzione dello spazio del dominio

Per ulteriori informazioni su come recuperare l'ARN del ruolo di esecuzione SageMaker dell'IA, vedere. Acquisizione del ruolo di esecuzione
Nota
In alternativa, gli utenti che non conoscono l' SageMaker intelligenza artificiale possono semplificare il processo di configurazione creando automaticamente un nuovo ruolo di esecuzione dell' SageMaker IA con le autorizzazioni appropriate. In questo caso, salta le fasi 3 e 4. Puoi procedere come descritto di seguito:
- Scegli l'opzione Configura per le organizzazioni quando crei un nuovo dominio dal menu Dominio nella barra di navigazione a sinistra della console SageMaker AI.
- Crea un nuovo ruolo di esecuzione dal menu Gestione dei ruoli della console, quindi collega il ruolo a un dominio o a un profilo utente esistente.
Durante la creazione del ruolo, scegli l’opzione Esecuzione delle applicazioni EMR Serverless in Studio in Quali attività di ML eseguiranno gli utenti? Quindi, fornisci il nome del bucket Amazon S3 e il ruolo di esecuzione di runtime del processo che desideri che l’applicazione EMR Serverless utilizzi (Fase 2).
Il SageMaker Role Manager aggiunge automaticamente le autorizzazioni necessarie per l'esecuzione e la connessione alle applicazioni EMR Serverless al nuovo ruolo di esecuzione. Utilizzando SageMaker Role Manager, è possibile assegnare solo un ruolo di runtime all'applicazione EMR Serverless e l'applicazione deve essere eseguita nello stesso account in cui è distribuito Studio, utilizzando un ruolo di runtime creato all'interno dello stesso account.
Fase 4: Associare le seguenti autorizzazioni al ruolo di esecuzione SageMaker AI che accede all'applicazione EMR Serverless.
1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/sagemaker/.
2. Scegli Ruoli, quindi cerca il tuo ruolo di esecuzione per nome nel campo di ricerca. Il nome del ruolo è l’ultima parte dell’ARN, dopo l’ultima barra (/).
3. Segui il link per il tuo ruolo.
4. Scegli Aggiungi autorizzazioni, quindi seleziona Crea policy inline.
5. Nella scheda JSON, aggiungi le autorizzazioni Amazon EMR serverless che consentono l’accesso e le operazioni EMR Serverless. Per dettagli sul documento di policy, consulta Policy EMR Serverless in Policy di riferimento. Sostituisci region, accountID e i valori passati EMRServerlessAppRuntimeRole con i relativi valori effettivi prima di copiare l’elenco delle istruzioni nella policy inline del tuo ruolo.
  
  Nota
  Puoi includere tutte le stringhe ARN dei ruoli di runtime necessarie all’interno dell’autorizzazione, separandole con le virgole.
6. Scegli Avanti, quindi assegna un nome alla policy.
7. Scegli Crea policy.
8. Ripeti la fase Crea policy inline per aggiungere un’altra policy inline che conceda al ruolo le autorizzazioni per aggiornare i domini, i profili utente e gli spazi. Per dettagli sul documento di policy SageMakerUpdateResourcesPolicy, consulta Policy relativa alle azioni di aggiornamento dello spazio, del profilo utente e del dominio in Policy di riferimento. Sostituisci region e accountID con i relativi valori effettivi prima di copiare l’elenco delle istruzioni nella policy inline del tuo ruolo.
Fase 5.

Associa l'elenco dei ruoli di runtime al tuo profilo utente o dominio in modo da poter sfogliare visivamente l'elenco dei ruoli e selezionare quello da utilizzare per la connessione a un'applicazione EMR Serverless. JupyterLab È possibile utilizzare la console SageMaker AI o il seguente script. Tutti i processi Apache Spark, Apache Hive o Presto creati dal notebook avranno accesso solo ai dati e alle risorse consentiti dalle policy collegate al ruolo di runtime.

Importante
Il mancato completamento di questo passaggio impedirà di collegare un JupyterLab notebook a un'applicazione EMR Serverless.
SageMaker AI console
Per associare i ruoli di runtime al profilo utente o al dominio utilizzando la console SageMaker AI:
Vai alla console SageMaker AI all'indirizzo https://console.aws.amazon.com/sagemaker/.

Nel riquadro di navigazione a sinistra, scegli dominio, quindi seleziona il dominio utilizzando il ruolo di esecuzione SageMaker AI di cui hai aggiornato le autorizzazioni.

Per aggiungere i ruoli di runtime al dominio: nella scheda Configurazioni app della pagina dei dettagli del dominio, vai alla JupyterLabsezione.

Per aggiungere i ruoli di runtime al tuo profilo utente: nella pagina dei dettagli del dominio, scegli la scheda Profili utente, seleziona il profilo utente che utilizza il ruolo di esecuzione SageMaker AI di cui hai aggiornato le autorizzazioni. Nella scheda Configurazioni dell'app, vai alla JupyterLabsezione.

Scegli Modifica e aggiungi i tuoi ARNs ruoli di esecuzione runtime EMR Serverless.

Seleziona Invia.
Alla successiva connessione a un'applicazione EMR Serverless tramite JupyterLab, i ruoli di runtime dovrebbero apparire in un menu a discesa per la selezione.
Python script
In un' JupyterLab applicazione avviata da uno spazio privato utilizzando il ruolo di esecuzione SageMaker AI di cui hai aggiornato le autorizzazioni, esegui il seguente comando in un terminale. Sostituisci domainID, user-profile-name, studio-accountID e EMRServerlessRuntimeExecutionRole con i valori corretti. Questo frammento di codice aggiorna le impostazioni per uno specifico profilo utente (client.update_user_profile) o le impostazioni del dominio (client.update_domain), associando in particolare i ruoli di esecuzione di runtime EMR Serverless creati in precedenza.
```
import botocore.session
import json
sess = botocore.session.get_session()
client = sess.create_client('sagemaker')

client.update_user_profile(
DomainId="domainID", 
UserProfileName="user-profile-name",
DefaultUserSettings={
    'JupyterLabAppSettings': {
        'EmrSettings': {
            'ExecutionRoleArns': ["arn:aws:iam::studio-accountID:role/EMRServerlessRuntimeExecutionRoleA", 
                             "arn:aws:iam::studio-accountID:role/EMRServerlessRuntimeExecutionRoleAA"]
        }
        
    }
})
resp = client.describe_domain(DomainId="domainID")

resp['CreationTime'] = str(resp['CreationTime'])
resp['LastModifiedTime'] = str(resp['LastModifiedTime'])
print(json.dumps(resp, indent=2))
```

Multi-account

I seguenti diagrammi illustrano i ruoli e le autorizzazioni necessari per elencare e connettersi alle applicazioni EMR Serverless di Studio quando Studio e le applicazioni vengono distribuite in account diversi. AWS

Per ulteriori informazioni sulla creazione di un ruolo su un AWS account, consulta https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html Creazione di un ruolo IAM (console).

Prima di iniziare:

Recupera l'ARN del ruolo di esecuzione SageMaker dell'IA utilizzato dal tuo spazio privato. Per informazioni sugli spazi e sui ruoli di esecuzione nell' SageMaker IA, consulta. Informazioni sulle autorizzazioni e sui ruoli di esecuzione dello spazio del dominio Per ulteriori informazioni su come recuperare l'ARN del ruolo di esecuzione SageMaker dell'IA, vedere. Acquisizione del ruolo di esecuzione
Recupera l’ARN del bucket Amazon S3 che utilizzerai per le origini dati e l’archiviazione dei dati di output nella console di Amazon S3.

Per informazioni su come creare un bucket Amazon S3, consulta Creazione di un bucket. Per informazioni su come cercare un bucket in base al nome, consulta Accesso e visualizzazione di un bucket Amazon S3.

Se le applicazioni EMR Serverless e Studio sono implementati in account AWS distinti, configura le autorizzazioni su entrambi gli account.

Sull’account EMR Serverless

Segui questa procedura per creare i ruoli e le policy necessari sull’account su cui è in esecuzione l’applicazione EMR Serverless, noto anche come account che concede l’attendibilità:

Fase 1. Crea almeno un ruolo di esecuzione di runtime del processo per l’applicazione EMR Serverless nel tuo account (EMRServerlessRuntimeExecutionRoleB nel diagramma multi-account riportato sopra). Scegli Policy di attendibilità personalizzata come entità attendibile. Aggiungi le autorizzazioni richieste dal tuo processo. Come minimo, è necessario l'accesso completo a un bucket Amazon S3 e l'accesso per la creazione e la lettura a AWS Glue Data Catalog.

Per istruzioni dettagliate su come creare un nuovo ruolo di esecuzione di runtime per le applicazioni EMR Serverless, procedi nel seguente modo:
1. Passare alla IAM console (Console IAM).
2. Nel riquadro di navigazione a sinistra, scegli Policy, quindi scegli Crea policy.
3. Aggiungi le autorizzazioni richieste dal tuo ruolo di runtime, assegna un nome alla policy, quindi scegli Crea policy.
  
  Per esempi di policy di runtime per un ruolo di runtime EMR Serverless, consulta Ruoli di runtime del processo per Amazon EMR serverless.
4. Nel riquadro di navigazione a sinistra, scegli Ruoli, quindi Crea ruolo.
5. Nella pagina Crea ruolo, scegli Policy di attendibilità personalizzata come entità attendibile.
6. Incolla il documento JSON seguente nella sezione Policy di attendibilità personalizzata, quindi scegli Avanti.
  JSON
  { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "emr-serverless.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
7. Nella pagina Aggiungi autorizzazioni, aggiungi la policy creata, quindi scegli Avanti.
8. Nella pagina Verifica, inserisci un nome per il ruolo, ad esempio EMRServerlessAppRuntimeRoleB e una descrizione facoltativa.
9. Verifica i dettagli del ruolo e scegli Create role (Crea ruolo).
Grazie a questi ruoli, tu e i tuoi colleghi potete connettervi alla stessa applicazione, utilizzando un ruolo di runtime ciascuno con autorizzazioni corrispondenti al livello individuale di accesso ai dati.

Nota
Le sessioni Spark funzionano in modo diverso. Le sessioni Spark vengono isolate in base al ruolo di esecuzione utilizzato da Studio, quindi gli utenti con ruoli di esecuzione diversi avranno sessioni Spark separate e isolate. Inoltre, se hai abilitato l’identità di origine per il tuo dominio, le sessioni Spark sono ulteriormente isolate nelle varie identità di origine.
Fase 2. Crea un ruolo IAM personalizzato denominato AssumableRole con la seguente configurazione:
- Autorizzazioni: concedi le autorizzazioni necessarie (policy Amazon EMR serverless) a AssumableRole per consentire l’accesso alle risorse EMR Serverless. Questo ruolo è noto anche come ruolo di accesso.
- Relazione di attendibilità: configura la policy di attendibilità per AssumableRole per consentire l’assunzione del ruolo di esecuzione (SageMakerExecutionRole nel diagramma multi-account) dall’account Studio che richiede l’accesso.
Assumendo il ruolo, Studio può ottenere l’accesso temporaneo alle autorizzazioni necessarie nell’account EMR Serverless.

Per istruzioni dettagliate su come creare un nuovo AWS account EMR Serverless, procedi AssumableRole nel seguente modo:
1. Passare alla IAM console (Console IAM).
2. Nel riquadro di navigazione a sinistra, scegli Policy, quindi scegli Crea policy.
3. Nella scheda JSON, aggiungi le autorizzazioni Amazon EMR serverless che consentono l’accesso e le operazioni EMR Serverless. Per dettagli sul documento di policy, consulta Policy EMR Serverless in Policy di riferimento. Sostituisci region, accountID e i valori passati EMRServerlessAppRuntimeRole con i relativi valori effettivi prima di copiare l’elenco delle istruzioni nella policy inline del tuo ruolo.
  
  Nota
  EMRServerlessAppRuntimeRole in questo caso è il ruolo di esecuzione di runtime del processo creato nella Fase 1 (EMRServerlessAppRuntimeRoleB nel diagramma multi-account riportato sopra). Puoi includere tutte le stringhe ARN dei ruoli di runtime necessarie all’interno dell’autorizzazione, separandole con le virgole.
4. Scegli Avanti, quindi assegna un nome alla policy.
5. Scegli Crea policy.
6. Nel riquadro di navigazione a sinistra, scegli Ruoli, quindi Crea ruolo.
7. Nella pagina Crea ruolo, scegli Policy di attendibilità personalizzata come entità attendibile.
8. Incolla il documento JSON seguente nella sezione Policy di attendibilità personalizzata, quindi scegli Avanti.
  
  Sostituiscilo studio-account con l'ID dell'account Studio e AmazonSageMaker-ExecutionRole con il ruolo di esecuzione utilizzato dal tuo JupyterLab spazio.
  JSON
  { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/service-role/AmazonSageMaker-ExecutionRole" }, "Action": "sts:AssumeRole" } ] }
9. Nella pagina Aggiungi autorizzazioni, aggiungi l’autorizzazione EMRServerlessAppRuntimeRoleB creata nella Fase 2, quindi scegli Avanti.
10. Nella pagina Verifica, inserisci un nome per il ruolo, ad esempio AssumableRole e una descrizione facoltativa.
11. Verifica i dettagli del ruolo e scegli Create role (Crea ruolo).
Per ulteriori informazioni sulla creazione di un ruolo su un AWS account, consulta Creazione di un ruolo IAM (console).

Sull’account Studio

Nell'account in cui è distribuito Studio, noto anche come account affidabile, aggiorna il ruolo di esecuzione SageMaker AI accedendo alle applicazioni EMR Serverless con le autorizzazioni necessarie per accedere alle risorse nell'account affidabile.

Passaggio 1: recupera l'ARN del ruolo di esecuzione SageMaker dell'IA utilizzato dal tuo spazio.

Per informazioni sugli spazi e sui ruoli di esecuzione nell' SageMaker intelligenza artificiale, consulta. Informazioni sulle autorizzazioni e sui ruoli di esecuzione dello spazio del dominio

Per ulteriori informazioni su come recuperare l'ARN del ruolo di esecuzione SageMaker dell'IA, vedere. Acquisizione del ruolo di esecuzione
Fase 2: Associa le seguenti autorizzazioni al ruolo di esecuzione SageMaker AI che accede alla tua applicazione EMR Serverless.
1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
2. Scegli Ruoli, quindi cerca il tuo ruolo di esecuzione per nome nel campo di ricerca. Il nome del ruolo è l’ultima parte dell’ARN, dopo l’ultima barra (/).
3. Segui il link per il tuo ruolo.
4. Scegli Aggiungi autorizzazioni, quindi seleziona Crea policy inline.
5. Nella scheda JSON, aggiungi la policy inline che concede al ruolo le autorizzazioni per aggiornare i domini, i profili utente e gli spazi. Per dettagli sul documento di policy SageMakerUpdateResourcesPolicy, consulta Policy relativa alle azioni di aggiornamento dello spazio, del profilo utente e del dominio in Policy di riferimento. Sostituisci region e accountID con i relativi valori effettivi prima di copiare l’elenco delle istruzioni nella policy inline del tuo ruolo.
6. Scegli Avanti, quindi assegna un nome alla policy.
7. Scegli Crea policy.
8. Ripeti la fase Crea policy inline per aggiungere un’altra policy che conceda al ruolo di esecuzione le autorizzazioni necessarie per assumere AssumableRole e quindi eseguire le azioni consentite dalla policy di accesso del ruolo.
  
  Sostituisci emr-account con l’ID dell’account Amazon EMR serverless e AssumableRole con il nome del ruolo assumibile creato nell’account Amazon EMR serverless.
  JSON
  { "Version":"2012-10-17", "Statement": { "Sid": "AllowSTSToAssumeAssumableRole", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::111122223333:role/AssumableRole" } }
Fase 3.

Associa l'elenco dei ruoli di runtime al tuo dominio o profilo utente in modo da poter sfogliare visivamente l'elenco dei ruoli e selezionare quello da utilizzare per la connessione a un'applicazione EMR Serverless. JupyterLab È possibile utilizzare la console SageMaker AI o il seguente script. Tutti i processi Apache Spark, Apache Hive o Presto creati dal notebook avranno accesso solo ai dati e alle risorse consentiti dalle policy collegate al ruolo di runtime.

Importante
Il mancato completamento di questo passaggio impedirà di collegare un JupyterLab notebook a un'applicazione EMR Serverless.
SageMaker AI console
Per associare i ruoli di runtime al profilo utente o al dominio utilizzando la console SageMaker AI:
Vai alla console SageMaker AI all'indirizzo https://console.aws.amazon.com/sagemaker/.

Nel riquadro di navigazione a sinistra, scegli dominio, quindi seleziona il dominio utilizzando il ruolo di esecuzione SageMaker AI di cui hai aggiornato le autorizzazioni.

Per aggiungere i ruoli di runtime al dominio: nella scheda Configurazioni app della pagina dei dettagli del dominio, vai alla JupyterLabsezione.

Per aggiungere i ruoli di runtime al tuo profilo utente: nella pagina dei dettagli del dominio, scegli la scheda Profili utente, seleziona il profilo utente che utilizza il ruolo di esecuzione SageMaker AI di cui hai aggiornato le autorizzazioni. Nella scheda Configurazioni dell'app, vai alla JupyterLabsezione.

Scegli Modifica e aggiungi il tuo ruolo assumibile e i ruoli ARNs di esecuzione runtime EMR Serverless.

Seleziona Invia.
Alla successiva connessione a un'applicazione EMR Serverless tramite JupyterLab, i ruoli di runtime dovrebbero apparire in un menu a discesa per la selezione.
Python script
In un' JupyterLab applicazione avviata da uno spazio privato utilizzando il ruolo di esecuzione SageMaker AI di cui hai aggiornato le autorizzazioni, esegui il seguente comando in un terminale. Sostituisci domainID, user-profile-name, studio-accountID e EMRServerlessRuntimeExecutionRole con i valori corretti. Questo frammento di codice aggiorna le impostazioni del profilo utente per uno specifico profilo utente (client.update_user_profile) o impostazioni di dominio (client.update_domain) all'interno di un SageMaker dominio AI. In particolare, imposta i ruoli di esecuzione di runtime per Amazon EMR serverless creati in precedenza. Consente inoltre all' JupyterLab applicazione di assumere un ruolo IAM particolare (AssumableRole) per l'esecuzione di applicazioni EMR Serverless all'interno dell'account Amazon EMR.
```
import botocore.session
import json
sess = botocore.session.get_session()
client = sess.create_client('sagemaker')

client.update_user_profile(
DomainId="domainID", 
UserProfileName="user-profile-name",
DefaultUserSettings={
    'JupyterLabAppSettings': {
        'EmrSettings': {
            'AssumableRoleArns': ["arn:aws:iam::emr-accountID:role/AssumableRole"],
            'ExecutionRoleArns': ["arn:aws:iam::emr-accountID:role/EMRServerlessRuntimeExecutionRoleA", 
                             "arn:aws:iam::emr-accountID:role/AnotherRuntimeExecutionRole"]
        }
        
    }
})
resp = client.describe_user_profile(DomainId="domainID", UserProfileName=user-profile-name")

resp['CreationTime'] = str(resp['CreationTime'])
resp['LastModifiedTime'] = str(resp['LastModifiedTime'])
print(json.dumps(resp, indent=2))
```

Policy di riferimento

Policy EMR Serverless: questa policy consente di gestire le applicazioni EMR Serverless, tra cui l'elenco, la creazione (con i tag SageMaker AI richiesti), l'avvio, l'arresto, l'acquisizione di dettagli, l'eliminazione, l'accesso agli endpoint Livy e l'esecuzione dei dashboard. Consente inoltre di passare al servizio il ruolo di runtime dell’applicazione EMR Serverless richiesto.

EMRServerlessListApplications: consente l' ListApplications azione su tutte le risorse EMR Serverless nella regione e nell'account specificati. AWS
EMRServerlessPassRole: Consente il passaggio dei ruoli di runtime specificati nell'AWSaccount fornito, ma solo quando il ruolo viene passato a. emr-serverless.amazonaws.com service
EMRServerlessCreateApplicationAction: consente l'esecuzione CreateApplication di TagResource azioni sulle risorse EMR Serverless nella regione e nell'account specificati. AWS Tuttavia, richiede che le risorse create o taggate abbiano chiavi di tag specifiche (sagemaker:domain-arn, sagemaker:user-profile-arn e sagemaker:space-arn) impostate con valori non nulli.
EMRServerlessDenyTaggingAction: le UntagResource azioni TagResource e sulle risorse EMR Serverless nella regione specificata e l'AWSaccount se le risorse non hanno nessuna delle chiavi di tag specificate (sagemaker:domain-arnsagemaker:user-profile-arn, esagemaker:space-arn) impostate.
EMRServerlessActions: consente varie azioni (StartApplication, StopApplication, GetApplication, DeleteApplication, AccessLivyEndpoints e GetDashboardForJobRun) sulle risorse EMR Serverless, ma solo se le risorse hanno le chiavi di tag specificate (sagemaker:domain-arn, sagemaker:user-profile-arn e sagemaker:space-arn) impostate con valori non nulli.

La policy IAM definita nel documento JSON fornito concede tali autorizzazioni, ma limita tale accesso alla presenza di tag SageMaker AI specifici sulle applicazioni EMR Serverless per garantire che possano essere gestite solo le risorse Amazon EMR Serverless associate a un particolare dominio SageMaker AI, profilo utente e spazio.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EMRServerlessListApplications",
            "Effect": "Allow",
            "Action": [
                "emr-serverless:ListApplications"
            ],
            "Resource": "arn:aws:emr-serverless:us-east-1:111122223333:/*"
        },
        {
            "Sid": "EMRServerlessPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::111122223333:role/EMRServerlessAppRuntimeRole",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "emr-serverless.amazonaws.com"
                }
            }
        },
        {
            "Sid": "EMRServerlessCreateApplicationAction",
            "Effect": "Allow",
            "Action": [
                "emr-serverless:CreateApplication",
                "emr-serverless:TagResource"
            ],
            "Resource": "arn:aws:emr-serverless:us-east-1:111122223333:/*",
            "Condition": {
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "sagemaker:domain-arn",
                        "sagemaker:user-profile-arn",
                        "sagemaker:space-arn"
                    ]
                },
                "Null": {
                    "aws:RequestTag/sagemaker:domain-arn": "false",
                    "aws:RequestTag/sagemaker:user-profile-arn": "false",
                    "aws:RequestTag/sagemaker:space-arn": "false"
                }
            }
        },
        {
            "Sid": "EMRServerlessDenyTaggingAction",
            "Effect": "Deny",
            "Action": [
                "emr-serverless:TagResource",
                "emr-serverless:UntagResource"
            ],
            "Resource": "arn:aws:emr-serverless:us-east-1:111122223333:/*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/sagemaker:domain-arn": "true",
                    "aws:ResourceTag/sagemaker:user-profile-arn": "true",
                    "aws:ResourceTag/sagemaker:space-arn": "true"
                }
            }
        },
        {
            "Sid": "EMRServerlessActions",
            "Effect": "Allow",
            "Action": [
                "emr-serverless:StartApplication",
                "emr-serverless:StopApplication",
                "emr-serverless:GetApplication",
                "emr-serverless:DeleteApplication",
                "emr-serverless:AccessLivyEndpoints",
                "emr-serverless:GetDashboardForJobRun"
            ],
            "Resource": "arn:aws:emr-serverless:us-east-1:111122223333:/applications/*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/sagemaker:domain-arn": "false",
                    "aws:ResourceTag/sagemaker:user-profile-arn": "false",
                    "aws:ResourceTag/sagemaker:space-arn": "false"
                }
            }
        }
    ]
}

Politica sulle azioni di aggiornamento del dominio, del profilo utente e dello spazio: la seguente politica concede le autorizzazioni per aggiornare i domini SageMaker AI, i profili utente e gli spazi all'interno della regione e dell'AWSaccount specificati.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Preparazione dei dati con EMR Serverless

Creazione di applicazioni EMR Serverless

Configura le autorizzazioni per abilitare la pubblicazione e l'avvio di applicazioni Amazon EMR da Studio SageMaker

Nota

Account singolo

Nota

Nota

Nota

Importante

Multi-account

Sull’account EMR Serverless

Nota

Nota

Sull’account Studio

Importante

Policy di riferimento