Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configurazione di un cluster Amazon EKS in Studio
<a name="sagemaker-hyperpod-studio-setup-eks"></a>

Nelle istruzioni seguenti viene descritto come configurare un cluster Amazon EKS in Studio.

1. Crea un dominio o tienine uno pronto. Per informazioni sulla creazione di un dominio, consulta [Guida alla configurazione con Amazon SageMaker AI](gs.md).

1. Aggiungi l’autorizzazione seguente al tuo ruolo di esecuzione. 

   Per informazioni sui ruoli di esecuzione dell' SageMaker IA e su come modificarli, consulta[Informazioni sulle autorizzazioni e sui ruoli di esecuzione dello spazio del dominio](execution-roles-and-spaces.md). 

   Per informazioni su come collegare le policy a un utente o a un gruppo IAM, consulta [Adding and removing IAM identity permissions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DescribeHyerpodClusterPermissions",
               "Effect": "Allow",
               "Action": [
                   "sagemaker:DescribeCluster"
               ],
               "Resource": "arn:aws:sagemaker:us-east-1:111122223333:cluster/cluster-name"
           },
           {
               "Effect": "Allow",
               "Action": "ec2:Describe*",
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ecr:CompleteLayerUpload",
                   "ecr:GetAuthorizationToken",
                   "ecr:UploadLayerPart",
                   "ecr:InitiateLayerUpload",
                   "ecr:BatchCheckLayerAvailability",
                   "ecr:PutImage"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
                   "Action": [
                       "cloudwatch:PutMetricData",
                       "cloudwatch:GetMetricData"
                       ],
               "Resource": "*"
           },
           {
               "Sid": "UseEksClusterPermissions",
               "Effect": "Allow",
               "Action": [
                   "eks:DescribeCluster",
                   "eks:AccessKubernetesApi",
                   "eks:DescribeAddon"
               ],
               "Resource": "arn:aws:eks:us-east-1:111122223333:cluster/cluster-name"
           },
           {
               "Sid": "ListClustersPermission",
               "Effect": "Allow",
               "Action": [
                   "sagemaker:ListClusters"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:StartSession",
                   "ssm:TerminateSession"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

------

1. [Concedi agli utenti IAM l’accesso a Kubernetes con le voci di accesso EKS](https://docs.aws.amazon.com/eks/latest/userguide/access-entries.html).

   1. Passa al cluster Amazon EKS associato al tuo HyperPod cluster.

   1. Scegli la scheda **Accesso** e [crea una voce di accesso](https://docs.aws.amazon.com/eks/latest/userguide/creating-access-entries.html) per il ruolo di esecuzione che hai creato. 

      1. Nella Fase 1, seleziona il ruolo di esecuzione che hai creato sopra nell’elenco a discesa del principale **IAM**.

      1. Nella Fase 2, seleziona il nome di una policy e la portata dell’accesso che intendi concedere agli utenti. 

1. (Facoltativo) Per garantire un’esperienza più fluida, ti consigliamo di aggiungere tag ai tuoi cluster. Per informazioni su come aggiungere tag, consulta come [Modifica un SageMaker HyperPod cluster](sagemaker-hyperpod-operate-slurm-console-ui.md#sagemaker-hyperpod-operate-slurm-console-ui-edit-clusters) aggiornare il cluster utilizzando la console SageMaker AI.

   1. Tagga lo spazio di lavoro [Grafana gestito da Amazon](https://docs.aws.amazon.com/grafana/latest/userguide/what-is-Amazon-Managed-Service-Grafana.html) al tuo dominio Studio. Così facendo, puoi collegare in modo rapido e diretto lo spazio di lavoro Grafana dal cluster in Studio. A tale scopo, aggiungi il tag seguente al cluster per identificarlo con l’ID dello spazio di lavoro Grafana, `ws-id`.

     Chiave tag = “`grafana-workspace`”, valore tag = “`ws-id`”.

1. (Facoltativo) [Limitazione della visualizzazione delle attività in Studio per i cluster EKS](#sagemaker-hyperpod-studio-setup-eks-restrict-tasks-view). Per informazioni sulle attività visibili in Studio, consulta [Processi](sagemaker-hyperpod-studio-tabs.md#sagemaker-hyperpod-studio-tabs-tasks).

## Limitazione della visualizzazione delle attività in Studio per i cluster EKS
<a name="sagemaker-hyperpod-studio-setup-eks-restrict-tasks-view"></a>

Puoi limitare le autorizzazioni dei namespace Kubernetes per gli utenti, in modo che possano visualizzare solo le attività appartenenti a un namespace specificato. Di seguito vengono fornite informazioni su come limitare la visualizzazione delle attività in Studio per i cluster EKS. Per informazioni sulle attività visibili in Studio, consulta [Processi](sagemaker-hyperpod-studio-tabs.md#sagemaker-hyperpod-studio-tabs-tasks). 

Per impostazione predefinita, gli utenti avranno visibilità su tutte le attività del cluster EKS. Puoi limitare la visibilità degli utenti sulle attività del cluster EKS in base a namespace specifici. In questo modo, gli utenti possono accedere alle risorse di cui hanno bisogno, ma al tempo stesso vengono garantiti rigorosi controlli di accesso. Per consentire la visualizzazione dei processi in un namespace a un utente, devi specificare il namespace dopo aver impostato quanto segue.

Una volta applicata la limitazione, dovrai fornire il namespace agli utenti che assumono il ruolo. Studio mostrerà i processi del namespace solo dopo che l’utente fornirà il namespace per il quale dispone delle autorizzazioni per la visualizzazione nella scheda **Attività**. 

La configurazione seguente consente agli amministratori di concedere un accesso specifico e limitato ai Data Scientist per la visualizzazione delle attività all’interno del cluster. La configurazione concede le autorizzazioni seguenti:
+ Elenca e ottieni i pod
+ Elenca e ottieni gli eventi
+ Ottieni definizioni di risorse personalizzate (CRDs)

Configurazione YAML

```
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: pods-events-crd-cluster-role
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list"]
- apiGroups: [""]
  resources: ["events"]
  verbs: ["get", "list"]
- apiGroups: ["apiextensions.k8s.io"]
  resources: ["customresourcedefinitions"]
  verbs: ["get"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: pods-events-crd-cluster-role-binding
subjects:
- kind: Group
  name: pods-events-crd-cluster-level
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: pods-events-crd-cluster-role
  apiGroup: rbac.authorization.k8s.io
```

1. Salva la configurazione YAML in un file denominato `cluster-role.yaml`.

1. Applica la configurazione utilizzando [https://kubernetes.io/docs/reference/kubectl/](https://kubernetes.io/docs/reference/kubectl/):

   ```
   kubectl apply -f cluster-role.yaml
   ```

1. Verifica la configurazione:

   ```
   kubectl get clusterrole pods-events-crd-cluster-role
   kubectl get clusterrolebinding pods-events-crd-cluster-role-binding
   ```

1. Assegna gli utenti al gruppo `pods-events-crd-cluster-level` tramite il tuo gestore dell’identità digitale o IAM.