Créez un rôle IAM pour le HyperPod dimensionnement automatique avec Karpenter - Amazon SageMaker AI

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez un rôle IAM pour le HyperPod dimensionnement automatique avec Karpenter

Dans les étapes suivantes, vous allez créer un rôle IAM qui permet SageMaker HyperPod de gérer les nœuds Kubernetes dans votre cluster via le dimensionnement automatique basé sur Karpenter. Ce rôle fournit les autorisations nécessaires pour HyperPod ajouter et supprimer automatiquement des nœuds de cluster en fonction de la charge de travail.

Ouverture de la console IAM

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse console.aws.amazon.com.

  2. Dans le panneau de navigation, choisissez Rôles.

  3. Choisissez Créer un rôle.

Configuration de la politique d’approbation

  1. Pour Type d’entité de confiance, choisissez Politique de confiance personnalisée.

  2. Dans l’éditeur de la Politique d’approbation personnalisée, remplacez la politique par défaut par la suivante :

    JSON
    {
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "hyperpod.sagemaker.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  3. Choisissez Suivant.

Création et attachement de la politique d’autorisations

Dans SageMaker HyperPod la mesure où des autorisations spécifiques ne sont pas disponibles dans les politiques AWS gérées, vous devez créer une politique personnalisée.

  1. Choisissez Create Policy (Créer une politique). Cela ouvre un nouvel onglet du navigateur.

  2. Choisissez l’onglet JSON.

  3. Remplacez la politique par défaut par le code suivant :

    JSON
    {
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:BatchAddClusterNodes",
                "sagemaker:BatchDeleteClusterNodes"
            ],
            "Resource": "arn:aws:sagemaker:*:*:cluster/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": "sagemaker.*.amazonaws.com"
                },
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                },
                "ForAllValues:StringEquals": {
                    "kms:GrantOperations": [
                        "CreateGrant",
                        "Decrypt",
                        "DescribeKey",
                        "GenerateDataKeyWithoutPlaintext",
                        "ReEncryptTo",
                        "ReEncryptFrom",
                        "RetireGrant"
                    ]
                }
            }
        }
    ]
}

  4. Choisissez Suivant.

  5. Pour Policy name (Nom de la politique), saisissez SageMakerHyperPodKarpenterPolicy.

  6. (Facultatif) Dans le champ Description, saisissez une description pour la politique.

  7. Sélectionnez Créer une politique.

  8. Retournez à l’onglet de création de rôle et actualisez la liste des politiques.

  9. Recherchez et sélectionnez SageMakerHyperPodKarpenterPolicycelui que vous venez de créer.

  10. Choisissez Suivant.

Création et nommage du rôle

  1. Pour le Nom du rôle, saisissez SageMakerHyperPodKarpenterRole.

  2. (Facultatif) Pour Description, saisissez la description du rôle.

  3. Dans la section Étape 1 : Sélection des entités de confiance, vérifiez que la politique d’approbation montre les principaux de service corrects.

  4. Dans la section Étape 2 : Ajout d’autorisations, vérifiez que SageMakerHyperPodKarpenterPolicy est attachée.

  5. Choisissez Créer un rôle.

Enregistrement de l’ARN du rôle

Une fois le rôle créé avec succès :

  1. Dans la liste Rôles, choisissez le nom de rôle SageMakerHyperPodKarpenterRole.

  2. Copiez l’ARN du rôle à partir de la section Récapitulatif. Vous aurez besoin de cet ARN lors de la création de votre HyperPod cluster.

L’ARN du rôle respecte le format suivant : arn:aws:iam::ACCOUNT-ID:role/SageMakerHyperPodKarpenterRole.