Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione del ruolo IAM
Lo CloudFormation stack contenuto nelle istruzioni di installazione automatizza la configurazione dei ruoli IAM per te. Se desideri eseguirlo manualmente, segui le istruzioni riportate di seguito:
Configurazione dei ruoli IAM per il server MCP
Per accedere al server SMUS Managed MCP, è necessario un ruolo IAM con la seguente politica in linea:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUseSagemakerUnifiedStudioMcpServer", "Effect": "Allow", "Action": [ "sagemaker-unified-studio-mcp:InvokeMcp", "sagemaker-unified-studio-mcp:CallReadOnlyTool", "sagemaker-unified-studio-mcp:CallPrivilegedTool" ], "Resource": [ "*" ] } ] }
Nei passaggi successivi, creeremo un profilo per questo ruolo. L'account che assume questo ruolo per ottenere le credenziali deve essere aggiunto alla politica di assunzione del ruolo.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccountToAssumeRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<accountId>:root" }, "Action": "sts:AssumeRole" } ] }
Autorizzazioni aggiuntive per modalità di distribuzione (EMR- EC2 /EMR-S)
EMR- Applicazioni EC2
Sostituisci il bucket di staging Amazon S3 nella policy con il bucket Amazon S3 in cui desideri archiviare gli elementi aggiornati
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:DescribeStep", "elasticmapreduce:ListSteps", "elasticmapreduce:ListClusters", "elasticmapreduce:DescribeJobFlows", "elasticmapreduce:AddJobFlowSteps", "elasticmapreduce:CreatePersistentAppUI", "elasticmapreduce:DescribePersistentAppUI", "elasticmapreduce:GetPersistentAppUIPresignedURL" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetBucket*", "s3:GetObject*", "s3:List*", "s3:Put*" ], "Resource": [ "arn:aws:s3:::<s3-staging-bucket>", "arn:aws:s3:::<s3-staging-bucket>/*" ] } ] }
Autorizzazioni KMS - Staging Bucket
Se lo staging bucket è crittografato con un CMK, aggiungi la seguente politica. Il servizio utilizzerà automaticamente la CMK configurata nel bucket durante il caricamento dei dati.
{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": "arn:aws:kms:<region>:<account-id>:key/<cmk-key-id>" }
Applicazioni serverless EMR
Sostituisci il bucket di staging Amazon S3 nella policy con il bucket Amazon S3 in cui desideri archiviare gli elementi aggiornati
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "emr-serverless:StartJobRun", "emr-serverless:GetJobRun", "emr-serverless:GetApplication", "emr-serverless:ListApplications", "emr-serverless:GetDashboardForJobRun" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "emr-serverless.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "logs:GetLogEvents", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:*" }, { "Effect": "Allow", "Action": [ "s3:GetBucket*", "s3:GetObject*", "s3:List*", "s3:Put*" ], "Resource": [ "arn:aws:s3:::<s3-staging-bucket>", "arn:aws:s3:::<s3-staging-bucket>/*" ] } ] }
Autorizzazioni KMS - Staging Bucket
Se lo staging bucket è crittografato con un CMK, aggiungi la seguente politica. Il servizio utilizzerà automaticamente la CMK configurata nel bucket durante il caricamento dei dati
{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], "Resource": "arn:aws:kms:<region>:<account-id>:key/<cmk-key-id>" }
Autorizzazioni KMS - Registri CloudWatch
Se CloudWatch i log sono crittografati con una CMK, aggiungi la seguente policy in modo che il servizio possa leggere i log delle applicazioni EMR-Serverless.
{ "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:<region>:<account-id>:key/<cw-logs-cmk-id>" }
