Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pengaturan Peran IAM
CloudFormation Tumpukan dalam Petunjuk Pengaturan mengotomatiskan pengaturan peran IAM untuk Anda. Jika Anda ingin menjalankannya secara manual, ikuti petunjuk di bawah ini:
Pengaturan Peran IAM untuk server MCP
Untuk mengakses server MCP Terkelola SMUS, diperlukan peran IAM dengan kebijakan inline berikut:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUseSagemakerUnifiedStudioMcpServer", "Effect": "Allow", "Action": [ "sagemaker-unified-studio-mcp:InvokeMcp", "sagemaker-unified-studio-mcp:CallReadOnlyTool", "sagemaker-unified-studio-mcp:CallPrivilegedTool" ], "Resource": [ "*" ] } ] }
Pada langkah selanjutnya, kami akan membuat profil untuk peran ini. Akun mana pun yang mengambil peran ini untuk mendapatkan kredensil harus ditambahkan ke kebijakan peran asumsi.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccountToAssumeRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<accountId>:root" }, "Action": "sts:AssumeRole" } ] }
Izin Tambahan dengan Mode Penerapan (EMR- /EMR-S) EC2
EMR- Aplikasi EC2
Ganti bucket pementasan Amazon S3 dalam kebijakan dengan bucket Amazon S3 tempat penyimpanan artefak yang ditingkatkan
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:DescribeStep", "elasticmapreduce:ListSteps", "elasticmapreduce:ListClusters", "elasticmapreduce:DescribeJobFlows", "elasticmapreduce:AddJobFlowSteps", "elasticmapreduce:CreatePersistentAppUI", "elasticmapreduce:DescribePersistentAppUI", "elasticmapreduce:GetPersistentAppUIPresignedURL" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetBucket*", "s3:GetObject*", "s3:List*", "s3:Put*" ], "Resource": [ "arn:aws:s3:::<s3-staging-bucket>", "arn:aws:s3:::<s3-staging-bucket>/*" ] } ] }
Izin KMS - Staging Bucket
Jika bucket staging dienkripsi dengan CMK, tambahkan kebijakan berikut. Layanan akan secara otomatis menggunakan CMK yang dikonfigurasi pada bucket saat mengunggah data.
{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": "arn:aws:kms:<region>:<account-id>:key/<cmk-key-id>" }
Aplikasi EMR Tanpa Server
Ganti bucket pementasan Amazon S3 dalam kebijakan dengan bucket Amazon S3 tempat penyimpanan artefak yang ditingkatkan
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "emr-serverless:StartJobRun", "emr-serverless:GetJobRun", "emr-serverless:GetApplication", "emr-serverless:ListApplications", "emr-serverless:GetDashboardForJobRun" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "emr-serverless.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "logs:GetLogEvents", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:*" }, { "Effect": "Allow", "Action": [ "s3:GetBucket*", "s3:GetObject*", "s3:List*", "s3:Put*" ], "Resource": [ "arn:aws:s3:::<s3-staging-bucket>", "arn:aws:s3:::<s3-staging-bucket>/*" ] } ] }
Izin KMS - Staging Bucket
Jika bucket staging dienkripsi dengan CMK, tambahkan kebijakan berikut. Layanan akan secara otomatis menggunakan CMK yang dikonfigurasi pada bucket saat mengunggah data
{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": "arn:aws:kms:<region>:<account-id>:key/<cmk-key-id>" }
Izin KMS - Log CloudWatch
Jika CloudWatch Log dienkripsi dengan CMK, tambahkan kebijakan berikut agar layanan dapat membaca log aplikasi EMR-Serverless.
{ "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:<region>:<account-id>:key/<cw-logs-cmk-id>" }
