Permisos mínimos para usar las acciones de la API Permisos mínimos para usar etiquetas Permisos mínimos para admitir registros Permisos mínimos para usar los bloques de capacidad Permisos mínimos para un administrador de servicios

Permisos mínimos para PCS AWS

En esta sección se describen los permisos de IAM mínimos necesarios para que una identidad de IAM (usuario, grupo o rol) utilice el servicio.

Contenido

Permisos mínimos para usar las acciones de la API

Acción de la API	Permisos mínimos	Permisos adicionales para la consola
CreateCluster	`ec2:CreateNetworkInterface, ec2:DescribeVpcs, ec2:DescribeSubnets, ec2:DescribeSecurityGroups, ec2:GetSecurityGroupsForVpc, iam:CreateServiceLinkedRole, secretsmanager:CreateSecret, secretsmanager:TagResource, secretsmanager:RotateSecret, pcs:CreateCluster`
ListClusters	`pcs:ListClusters`
GetCluster	`pcs:GetCluster`	`ec2:DescribeSubnets`
DeleteCluster	`pcs:DeleteCluster`
CreateComputeNodeGroup	`ec2:DescribeVpcs, ec2:DescribeSubnets, ec2:DescribeSecurityGroups, ec2:DescribeLaunchTemplates, ec2:DescribeLaunchTemplateVersions, ec2:DescribeInstanceTypes, ec2:DescribeInstanceTypeOfferings, ec2:RunInstances, ec2:CreateFleet, ec2:CreateTags, iam:PassRole, iam:GetInstanceProfile, pcs:CreateComputeNodeGroup`	`iam:ListInstanceProfiles, ec2:DescribeImages, pcs:GetCluster`
ListComputerNodeGroups	`pcs:ListComputeNodeGroups`	`pcs:GetCluster`
GetComputeNodeGroup	`pcs:GetComputeNodeGroup`	`ec2:DescribeSubnets`
UpdateComputeNodeGroup	`ec2:DescribeVpcs, ec2:DescribeSubnets, ec2:DescribeSecurityGroups, ec2:DescribeLaunchTemplates, ec2:DescribeLaunchTemplateVersions, ec2:DescribeInstanceTypes, ec2:DescribeInstanceTypeOfferings, ec2:RunInstances, ec2:CreateFleet, ec2:CreateTags, iam:PassRole, iam:GetInstanceProfile, pcs:UpdateComputeNodeGroup`	`pcs:GetComputeNodeGroup, iam:ListInstanceProfiles, ec2:DescribeImages, pcs:GetCluster`
DeleteComputeNodeGroup	`pcs:DeleteComputeNodeGroup`
CreateQueue	`pcs:CreateQueue`	`pcs:ListComputeNodeGroups, pcs:GetCluster`
ListQueues	`pcs:ListQueues`	`pcs:GetCluster`
GetQueue	`pcs:GetQueue`
UpdateQueue	`pcs:UpdateQueue`	`pcs:ListComputeNodeGroups, pcs:GetQueue`
DeleteQueue	`pcs:DeleteQueue`

Permisos mínimos para usar etiquetas

Se requieren los siguientes permisos para usar etiquetas con sus recursos en AWS PCS.


pcs:ListTagsForResource,
pcs:TagResource,
pcs:UntagResource

Permisos mínimos para admitir registros

AWS PCS envía los datos de registro a Amazon CloudWatch Logs (CloudWatch Logs). Debe asegurarse de que su identidad tiene los permisos mínimos para usar CloudWatch Logs. Para obtener más información, consulte Descripción general de la gestión de los permisos de acceso a sus recursos de CloudWatch Logs en la Guía del usuario de Amazon CloudWatch Logs.

Para obtener información sobre los permisos necesarios para que un servicio envíe CloudWatch registros a Logs, consulte Habilitar el registro desde AWS los servicios en la Guía del usuario de Amazon CloudWatch Logs.

Permisos mínimos para usar los bloques de capacidad

Amazon EC2 Capacity Blocks for ML es una opción de EC2 compra de Amazon que le permite pagar por adelantado para reservar instancias de computación acelerada basadas en GPU dentro de un intervalo de fechas y horas específico para soportar cargas de trabajo de corta duración. Para obtener más información, consulte Uso de Amazon EC2 Capacity Blocks para aprendizaje automático con AWS PCS.

Puede elegir usar bloques de capacidad al crear o actualizar un grupo de nodos de cómputo. La identidad de IAM que utilice para crear o actualizar el grupo de nodos de cómputo debe tener el siguiente permiso:


ec2:DescribeCapacityReservations

Permisos mínimos para un administrador de servicios

La siguiente política de IAM especifica los permisos mínimos necesarios para que una identidad de IAM (usuario, grupo o rol) configure y administre el servicio AWS PCS.

nota

Los usuarios que no configuran ni administran el servicio no necesitan estos permisos. Los usuarios que solo ejecutan trabajos utilizan un shell seguro (SSH) para conectarse al clúster. AWS Identity and Access Management (IAM) no gestiona la autenticación ni la autorización de SSH.


{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PCSAccess",
      "Effect": "Allow",
      "Action": [
        "pcs:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "EC2Access",
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface",
        "ec2:DescribeImages",
        "ec2:GetSecurityGroupsForVpc",
        "ec2:DescribeSubnets",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeVpcs",
        "ec2:DescribeLaunchTemplates",
        "ec2:DescribeLaunchTemplateVersions",
        "ec2:DescribeInstanceTypes",
        "ec2:DescribeInstanceTypeOfferings",
        "ec2:RunInstances",
        "ec2:CreateFleet",
        "ec2:CreateTags",
        "ec2:DescribeCapacityReservations"
      ],
      "Resource": "*"
    },
    {
      "Sid": "IamInstanceProfile",
      "Effect": "Allow",
      "Action": [
        "iam:GetInstanceProfile"
      ],
      "Resource": "*"
    },
    {
      "Sid": "IamPassRole",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/*/AWSPCS*",
        "arn:aws:iam::*:role/AWSPCS*",
        "arn:aws:iam::*:role/aws-pcs/*",
        "arn:aws:iam::*:role/*/aws-pcs/*"
      ],
      "Condition": {
        "StringEquals": {
           "iam:PassedToService": [
             "ec2.amazonaws.com"
           ]
        }
      }
    },
    {
      "Sid": "SLRAccess",
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleFor*",
        "arn:aws:iam::*:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleFor*"
      ],
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": [
            "pcs.amazonaws.com",
            "spot.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "AccessKMSKey",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:GenerateDataKey",
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Sid": "SecretManagementAccess",
      "Effect": "Allow",
      "Action": [
        "secretsmanager:CreateSecret",
        "secretsmanager:TagResource",
        "secretsmanager:UpdateSecret",
        "secretsmanager:RotateSecret"
      ],
      "Resource": "*"
    },
    { 
       "Sid": "ServiceLogsDelivery",
       "Effect": "Allow",
       "Action": [
         "pcs:AllowVendedLogDeliveryForResource",
         "logs:PutDeliverySource",
         "logs:PutDeliveryDestination",
         "logs:CreateDelivery"
       ],
       "Resource": "*"
    }
  ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

EC2 Rol de Spot

Perfiles de instancias