Crea un ruolo IAM per la HyperPod scalabilità automatica con Karpenter - Amazon SageMaker AI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea un ruolo IAM per la HyperPod scalabilità automatica con Karpenter

Nei passaggi seguenti, creerai un ruolo IAM che consenta di gestire i nodi Kubernetes nel tuo cluster SageMaker HyperPod tramite la scalabilità automatica basata su Karpenter. Questo ruolo fornisce le autorizzazioni necessarie per aggiungere e rimuovere automaticamente i nodi del cluster in base HyperPod alla richiesta del carico di lavoro.

Apertura della console IAM

  1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo console.aws.amazon.com.

  2. Nel pannello di navigazione, seleziona Roles (Ruoli).

  3. Selezionare Create role (Crea ruolo).

Configurazione della policy di attendibilità

  1. Per Trusted entity type (Tipo di entità attendibile), scegli Custom trust policy (Policy di attendibilità personalizzata).

  2. Nell’editor Policy di attendibilità personalizzata, sostituisci la policy predefinita con la seguente:

    JSON
    {
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "hyperpod.sagemaker.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  3. Scegli Next (Successivo).

Creazione e collegamento della policy di autorizzazione

Poiché SageMaker HyperPod richiede autorizzazioni specifiche che non sono disponibili nelle politiche AWS gestite, devi creare una politica personalizzata.

  1. Scegli Crea policy. Si apre una nuova scheda del browser.

  2. Scegli la scheda JSON.

  3. Sostituisci la policy predefinita con la policy seguente:

    JSON
    {
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:BatchAddClusterNodes",
                "sagemaker:BatchDeleteClusterNodes"
            ],
            "Resource": "arn:aws:sagemaker:*:*:cluster/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": "sagemaker.*.amazonaws.com"
                },
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                },
                "ForAllValues:StringEquals": {
                    "kms:GrantOperations": [
                        "CreateGrant",
                        "Decrypt",
                        "DescribeKey",
                        "GenerateDataKeyWithoutPlaintext",
                        "ReEncryptTo",
                        "ReEncryptFrom",
                        "RetireGrant"
                    ]
                }
            }
        }
    ]
}

  4. Scegli Next (Successivo).

  5. In Policy name (Nome policy), inserisci SageMakerHyperPodKarpenterPolicy.

  6. (Facoltativo) In Descrizione, inserisci una descrizione per la policy.

  7. Scegliere Create Policy (Crea policy).

  8. Torna alla scheda di creazione del ruolo e aggiorna l’elenco delle policy.

  9. Cerca e seleziona SageMakerHyperPodKarpenterPolicyquello che hai appena creato.

  10. Scegli Next (Successivo).

Assegnazione di un nome e creazione del ruolo

  1. Per Nome ruolo, inserisci SageMakerHyperPodKarpenterRole.

  2. (Facoltativo) In Descrizione, inserisci una descrizione per il ruolo.

  3. Nella sezione Fase 1. Seleziona le entità attendibili, verifica che la policy di attendibilità indichi i principali dei servizi corretti.

  4. Nella sezione Fase 2. Aggiungi autorizzazioni, verifica che SageMakerHyperPodKarpenterPolicy sia collegato.

  5. Scegli Crea ruolo.

Registrazione dell’ARN del ruolo

Dopo aver creato correttamente il ruolo:

  1. Nell’elenco Ruoli, seleziona il ruolo chiamato SageMakerHyperPodKarpenterRole.

  2. Copia l’ARN del ruolo dalla sezione Riepilogo. Avrai bisogno di questo ARN per creare il tuo HyperPod cluster.

L’ARN del ruolo ha questo formato: arn:aws:iam::ACCOUNT-ID:role/SageMakerHyperPodKarpenterRole.