Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configura le autorizzazioni per abilitare la pubblicazione e l'avvio di applicazioni Amazon EMR da Studio SageMaker
In questa sezione, descriviamo in dettaglio i ruoli e le autorizzazioni necessari per elencare e connettersi alle applicazioni SageMaker EMR Serverless di Studio, considerando gli scenari in cui Studio e le applicazioni EMR Serverless vengono distribuite nello stesso account o tra account diversi. AWS
*I ruoli a cui è necessario aggiungere le autorizzazioni necessarie dipendono dal fatto che Studio e le applicazioni EMR Serverless risiedano AWS nello stesso account *(Account singolo) o in account separati (*Cross Account).* Sono interessati due tipi di ruoli:
+ Ruoli di esecuzione:
+ Ruoli [di esecuzione in fase di esecuzione (ruoli](https://docs.aws.amazon.com/http://emr/latest/EMR-Serverless-UserGuide/jobs-spark.html#spark-defaults-executionRoleArn) Role-Based Access Control) utilizzati da EMR Serverless: questi sono i ruoli IAM utilizzati dagli ambienti di esecuzione dei lavori EMR Serverless per accedere ad altri AWS servizi e risorse necessari durante il runtime, come Amazon S3 per l'accesso ai dati, per la registrazione, CloudWatch l'accesso al Data Catalog o altri servizi in base ai requisiti del AWS Glue carico di lavoro. Consigliamo di creare questi ruoli nell’account in cui sono in esecuzione le applicazioni EMR Serverless.
Per ulteriori informazioni sui ruoli di runtime, consulta [Ruoli di runtime del processo](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-runtime-role.html) nella *Guida per l’utente di EMR Serverless*.
**Nota**
Puoi definire diversi ruoli RBAC per l’applicazione EMR Serverless. Questi ruoli possono essere basati sulle responsabilità e sui livelli di accesso necessari ai diversi utenti o gruppi all’interno dell’organizzazione. Per ulteriori informazioni sulle autorizzazioni RBAC, consulta [Best practice sulla sicurezza per Amazon EMR serverless](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-best-practices.html#security-practice-rbac).
+ SageMaker Ruolo di esecuzione AI: il ruolo di esecuzione che consente all' SageMaker IA di eseguire determinate attività come leggere dati dai bucket Amazon S3, scrivere log e accedere ad CloudWatch altri AWS servizi di cui il tuo flusso di lavoro potrebbe aver bisogno. Il ruolo di esecuzione SageMaker AI dispone anche dell'autorizzazione speciale chiamata `iam:PassRole` che consente all' SageMaker IA di passare ruoli di esecuzione temporanei in fase di esecuzione alle applicazioni EMR Serverless. Questi ruoli forniscono alle applicazioni EMR Serverless le autorizzazioni necessarie per interagire con altre AWS risorse mentre sono in esecuzione.
+ Ruoli assumibili (anche noti come *Ruoli di accesso al servizio*):
+ Questi sono i ruoli IAM che il ruolo di esecuzione di SageMaker AI può assumere per eseguire operazioni relative alla gestione delle applicazioni EMR Serverless. Questi ruoli definiscono le autorizzazioni e le policy di accesso necessarie per la visualizzazione, la connessione o la gestione delle applicazioni EMR Serverless. In genere vengono utilizzati in scenari tra account, in cui le applicazioni EMR Serverless si trovano in un account AWS diverso rispetto SageMaker al dominio AI. Avere un ruolo IAM dedicato per le tue applicazioni EMR Serverless aiuta a seguire il principio del privilegio minimo e garantisce che Amazon EMR disponga solo delle autorizzazioni necessarie per eseguire i tuoi lavori, proteggendo al contempo le altre risorse del tuo account. AWS
Comprendendo e configurando correttamente questi ruoli, è possibile garantire che SageMaker Studio disponga delle autorizzazioni necessarie per interagire con le applicazioni EMR Serverless, indipendentemente dal fatto che siano distribuite nello stesso account o su account diversi.
## Account singolo
I seguenti diagrammi illustrano i ruoli e le autorizzazioni necessari per elencare e connettersi alle applicazioni EMR Serverless da Studio quando Studio e le applicazioni vengono distribuite nello stesso account. AWS
![\[Il diagramma mostra i ruoli e le autorizzazioni necessari per elencare e connettere le applicazioni EMR Serverless di Studio quando Studio e le applicazioni hanno lo stesso account. AWS\]](http://docs.aws.amazon.com/it_it/sagemaker/latest/dg/images/studio/emr/studio-notebooks-emr-serverless-permissions-setup-singleaccount.png)
Se le applicazioni Amazon EMR e Studio sono distribuite nello stesso AWS account, procedi nel seguente modo:
1. **Fase 1.** Recupera l’ARN del bucket Amazon S3 che utilizzi per le origini dati e l’archiviazione dei dati di output nella [console di Amazon S3](https://console.aws.amazon.com/S3).
Per informazioni su come cercare un bucket in base al nome, consulta [Accesso e visualizzazione di un bucket Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-bucket-intro.html). Per informazioni su come creare un bucket Amazon S3, consulta [Creazione di un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html).
1. **Fase 2**. Crea almeno un ruolo di esecuzione di runtime del processo per l’applicazione EMR Serverless nel tuo account (`EMRServerlessRuntimeExecutionRoleA` nel diagramma del caso d’uso *Account singolo* riportato sopra). Scegli **Policy di attendibilità personalizzata** come entità attendibile. Aggiungi le autorizzazioni richieste dal tuo processo. Come minimo, è necessario l'accesso completo a un bucket Amazon S3 e l'accesso per la creazione e la lettura a AWS Glue Data Catalog.
Per istruzioni dettagliate su come creare un nuovo ruolo di esecuzione di runtime per le applicazioni EMR Serverless, procedi nel seguente modo:
1. Passare alla [IAM console](https://console.aws.amazon.com/iam) (Console IAM).
1. Nel riquadro di navigazione a sinistra, scegli **Policy**, quindi scegli **Crea policy**.
1. Aggiungi le autorizzazioni richieste dal tuo ruolo di runtime, assegna un nome alla policy, quindi scegli **Crea policy**.
Puoi fare riferimento a [Ruoli di runtime del processo per EMR Serverless](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-runtime-role.html) per trovare esempi di policy di runtime per un ruolo di runtime EMR Serverless.
1. Nel riquadro di navigazione a sinistra, scegli **Ruoli**, quindi **Crea ruolo**.
1. Nella pagina **Crea ruolo**, scegli **Policy di attendibilità personalizzata** come entità attendibile.
1. Incolla il documento JSON seguente nella sezione **Policy di attendibilità personalizzata**, quindi scegli **Avanti**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "emr-serverless.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Nella pagina **Aggiungi autorizzazioni**, aggiungi la policy creata, quindi scegli **Avanti**.
1. Nella pagina **Verifica**, inserisci un nome per il ruolo, ad esempio `EMRServerlessAppRuntimeRoleA` e una descrizione facoltativa.
1. Verifica i dettagli del ruolo e scegli **Create role (Crea ruolo)**.
Grazie a questi ruoli, tu e i tuoi colleghi potete connettervi alla stessa applicazione, utilizzando un ruolo di runtime ciascuno con autorizzazioni corrispondenti al livello individuale di accesso ai dati.
**Nota**
Le sessioni Spark funzionano in modo diverso. Le sessioni Spark vengono isolate in base al ruolo di esecuzione utilizzato da Studio, quindi gli utenti con ruoli di esecuzione diversi avranno sessioni Spark separate e isolate. Inoltre, se hai abilitato l’identità di origine per il tuo dominio, le sessioni Spark sono ulteriormente isolate nelle varie identità di origine.
1. **Passaggio 3**: recupera l'ARN del ruolo di esecuzione SageMaker dell'IA utilizzato dal tuo spazio privato.
Per informazioni sugli spazi e sui ruoli di esecuzione nell' SageMaker IA, consulta. [Informazioni sulle autorizzazioni e sui ruoli di esecuzione dello spazio del dominio](execution-roles-and-spaces.md)
Per ulteriori informazioni su come recuperare l'ARN del ruolo di esecuzione SageMaker dell'IA, vedere. [Acquisizione del ruolo di esecuzione](sagemaker-roles.md#sagemaker-roles-get-execution-role)
**Nota**
In alternativa, gli utenti che non conoscono l' SageMaker intelligenza artificiale possono semplificare il processo di configurazione creando automaticamente un nuovo ruolo di esecuzione dell' SageMaker IA con le autorizzazioni appropriate. In questo caso, salta le fasi 3 e 4. Puoi procedere come descritto di seguito:
Scegli l'opzione **Configura per le organizzazioni** quando crei un nuovo dominio dal menu **Dominio** nella barra di navigazione a sinistra della [console SageMaker AI](https://console.aws.amazon.com/sagemaker).
Crea un nuovo ruolo di esecuzione dal menu **Gestione dei ruoli** della console, quindi collega il ruolo a un dominio o a un profilo utente esistente.
Durante la creazione del ruolo, scegli l’opzione **Esecuzione delle applicazioni EMR Serverless in Studio** in **Quali attività di ML eseguiranno gli utenti?** Quindi, fornisci il nome del bucket Amazon S3 e il ruolo di esecuzione di runtime del processo che desideri che l’applicazione EMR Serverless utilizzi (Fase 2).
Il SageMaker Role Manager aggiunge automaticamente le autorizzazioni necessarie per l'esecuzione e la connessione alle applicazioni EMR Serverless al nuovo ruolo di esecuzione. Utilizzando [SageMaker Role Manager, è possibile assegnare solo un ruolo]() di runtime all'applicazione EMR Serverless e l'applicazione deve essere eseguita nello stesso account in cui è distribuito Studio, utilizzando un ruolo di runtime creato all'interno dello stesso account.
1. **Passaggio 4**: Associa le seguenti autorizzazioni al ruolo di esecuzione SageMaker AI che accede alla tua applicazione EMR Serverless.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Scegli **Ruoli**, quindi cerca il tuo ruolo di esecuzione per nome nel campo di **ricerca**. Il nome del ruolo è l’ultima parte dell’ARN, dopo l’ultima barra (/).
1. Segui il link per il tuo ruolo.
1. Scegli **Aggiungi autorizzazioni**, quindi seleziona **Crea policy inline**.
1. Nella scheda **JSON**, aggiungi le autorizzazioni Amazon EMR serverless che consentono l’accesso e le operazioni EMR Serverless. Per dettagli sul documento di policy, consulta *Policy EMR Serverless* in [Policy di riferimento](#studio-set-up-emr-serverless-permissions-reference). Sostituisci *region*, *accountID* e i valori passati *EMRServerlessAppRuntimeRole* con i relativi valori effettivi prima di copiare l’elenco delle istruzioni nella policy inline del tuo ruolo.
**Nota**
Puoi includere tutte le stringhe ARN dei ruoli di runtime necessarie all’interno dell’autorizzazione, separandole con le virgole.
1. Scegli **Avanti**, quindi assegna un **nome alla policy**.
1. Scegli **Crea policy**.
1. Ripeti la fase **Crea policy inline** per aggiungere un’altra policy inline che conceda al ruolo le autorizzazioni per aggiornare i domini, i profili utente e gli spazi. Per dettagli sul documento di policy `SageMakerUpdateResourcesPolicy`, consulta *Policy relativa alle azioni di aggiornamento dello spazio, del profilo utente e del dominio* in [Policy di riferimento](#studio-set-up-emr-serverless-permissions-reference). Sostituisci *region* e *accountID* con i relativi valori effettivi prima di copiare l’elenco delle istruzioni nella policy inline del tuo ruolo.
1. **Fase 5**.
Associa l'elenco dei ruoli di runtime al tuo profilo utente o dominio in modo da poter sfogliare visivamente l'elenco dei ruoli e selezionare quello da utilizzare per la [connessione a un'applicazione EMR Serverless](connect-emr-serverless-application.md). JupyterLab È possibile utilizzare la console SageMaker AI o il seguente script. Tutti i processi Apache Spark, Apache Hive o Presto creati dal notebook avranno accesso solo ai dati e alle risorse consentiti dalle policy collegate al ruolo di runtime.
**Importante**
Il mancato completamento di questo passaggio impedirà di collegare un JupyterLab notebook a un'applicazione EMR Serverless.
------
#### [ SageMaker AI console ]
Per associare i ruoli di runtime al profilo utente o al dominio utilizzando la console SageMaker AI:
1. Vai alla console SageMaker AI all'indirizzo [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Nel riquadro di navigazione a sinistra, scegli **dominio**, quindi seleziona il dominio utilizzando il ruolo di esecuzione SageMaker AI di cui hai aggiornato le autorizzazioni.
1.
+ Per aggiungere i ruoli di runtime al dominio: nella scheda **Configurazioni app** della pagina dei **dettagli del dominio**, vai alla **JupyterLab**sezione.
+ Per aggiungere i ruoli di runtime al tuo profilo utente: nella pagina dei **dettagli del dominio**, scegli la scheda **Profili utente**, seleziona il profilo utente che utilizza il ruolo di esecuzione SageMaker AI di cui hai aggiornato le autorizzazioni. Nella scheda **Configurazioni dell'app**, vai alla **JupyterLab**sezione.
1. Scegli **Modifica** e aggiungi i tuoi ARNs ruoli di esecuzione runtime EMR Serverless.
1. Seleziona **Invia**.
Alla successiva connessione a un'applicazione EMR Serverless tramite JupyterLab, i ruoli di runtime dovrebbero apparire in un menu a discesa per la selezione.
------
#### [ Python script ]
In un' JupyterLab applicazione avviata da uno spazio privato utilizzando il ruolo di esecuzione SageMaker AI di cui hai aggiornato le autorizzazioni, esegui il seguente comando in un terminale. Sostituisci `domainID`, `user-profile-name`, `studio-accountID` e `EMRServerlessRuntimeExecutionRole` con i valori corretti. Questo frammento di codice aggiorna le impostazioni per uno specifico profilo utente (`client.update_user_profile`) o le impostazioni del dominio (`client.update_domain`), associando in particolare i ruoli di esecuzione di runtime EMR Serverless creati in precedenza.
```
import botocore.session
import json
sess = botocore.session.get_session()
client = sess.create_client('sagemaker')
client.update_user_profile(
DomainId="domainID",
UserProfileName="user-profile-name",
DefaultUserSettings={
'JupyterLabAppSettings': {
'EmrSettings': {
'ExecutionRoleArns': ["arn:aws:iam::studio-accountID:role/EMRServerlessRuntimeExecutionRoleA",
"arn:aws:iam::studio-accountID:role/EMRServerlessRuntimeExecutionRoleAA"]
}
}
})
resp = client.describe_domain(DomainId="domainID")
resp['CreationTime'] = str(resp['CreationTime'])
resp['LastModifiedTime'] = str(resp['LastModifiedTime'])
print(json.dumps(resp, indent=2))
```
------
## Multi-account
I seguenti diagrammi illustrano i ruoli e le autorizzazioni necessari per elencare e connettersi alle applicazioni EMR Serverless di Studio quando Studio e le applicazioni vengono distribuite in account diversi. AWS
![\[Il diagramma mostra i ruoli e le autorizzazioni necessari per elencare e connettere le applicazioni EMR Serverless di Studio quando Studio e le applicazioni si trovano in account diversi. AWS\]](http://docs.aws.amazon.com/it_it/sagemaker/latest/dg/images/studio/emr/studio-notebooks-emr-serverless-permissions-setup-crossaccount.png)
Per ulteriori informazioni sulla creazione di un ruolo su un AWS account, consulta [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) Creazione di un ruolo IAM (console).
Prima di iniziare:
+ Recupera l'ARN del ruolo di esecuzione SageMaker dell'IA utilizzato dal tuo spazio privato. Per informazioni sugli spazi e sui ruoli di esecuzione nell' SageMaker IA, consulta. [Informazioni sulle autorizzazioni e sui ruoli di esecuzione dello spazio del dominio](execution-roles-and-spaces.md) Per ulteriori informazioni su come recuperare l'ARN del ruolo di esecuzione SageMaker dell'IA, vedere. [Acquisizione del ruolo di esecuzione](sagemaker-roles.md#sagemaker-roles-get-execution-role)
+ Recupera l’ARN del bucket Amazon S3 che utilizzerai per le origini dati e l’archiviazione dei dati di output nella [console di Amazon S3](https://console.aws.amazon.com/S3).
Per informazioni su come creare un bucket Amazon S3, consulta [Creazione di un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html). Per informazioni su come cercare un bucket in base al nome, consulta [Accesso e visualizzazione di un bucket Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-bucket-intro.html).
Se le applicazioni EMR Serverless e Studio sono implementati in account AWS distinti, configura le autorizzazioni su entrambi gli account.
### Sull’account EMR Serverless
Segui questa procedura per creare i ruoli e le policy necessari sull’account su cui è in esecuzione l’applicazione EMR Serverless, noto anche come *account che concede l’attendibilità*:
1. **Fase 1.** Crea almeno un ruolo di esecuzione di runtime del processo per l’applicazione EMR Serverless nel tuo account (`EMRServerlessRuntimeExecutionRoleB` nel diagramma *multi-account* riportato sopra). Scegli **Policy di attendibilità personalizzata** come entità attendibile. Aggiungi le autorizzazioni richieste dal tuo processo. Come minimo, è necessario l'accesso completo a un bucket Amazon S3 e l'accesso per la creazione e la lettura a AWS Glue Data Catalog.
Per istruzioni dettagliate su come creare un nuovo ruolo di esecuzione di runtime per le applicazioni EMR Serverless, procedi nel seguente modo:
1. Passare alla [IAM console](https://console.aws.amazon.com/iam) (Console IAM).
1. Nel riquadro di navigazione a sinistra, scegli **Policy**, quindi scegli **Crea policy**.
1. Aggiungi le autorizzazioni richieste dal tuo ruolo di runtime, assegna un nome alla policy, quindi scegli **Crea policy**.
Per esempi di policy di runtime per un ruolo di runtime EMR Serverless, consulta [Ruoli di runtime del processo per Amazon EMR serverless](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-runtime-role.html).
1. Nel riquadro di navigazione a sinistra, scegli **Ruoli**, quindi **Crea ruolo**.
1. Nella pagina **Crea ruolo**, scegli **Policy di attendibilità personalizzata** come entità attendibile.
1. Incolla il documento JSON seguente nella sezione **Policy di attendibilità personalizzata**, quindi scegli **Avanti**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "emr-serverless.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Nella pagina **Aggiungi autorizzazioni**, aggiungi la policy creata, quindi scegli **Avanti**.
1. Nella pagina **Verifica**, inserisci un nome per il ruolo, ad esempio `EMRServerlessAppRuntimeRoleB` e una descrizione facoltativa.
1. Verifica i dettagli del ruolo e scegli **Create role (Crea ruolo)**.
Grazie a questi ruoli, tu e i tuoi colleghi potete connettervi alla stessa applicazione, utilizzando un ruolo di runtime ciascuno con autorizzazioni corrispondenti al livello individuale di accesso ai dati.
**Nota**
Le sessioni Spark funzionano in modo diverso. Le sessioni Spark vengono isolate in base al ruolo di esecuzione utilizzato da Studio, quindi gli utenti con ruoli di esecuzione diversi avranno sessioni Spark separate e isolate. Inoltre, se hai abilitato l’identità di origine per il tuo dominio, le sessioni Spark sono ulteriormente isolate nelle varie identità di origine.
1. **Fase 2**. Crea un ruolo IAM personalizzato denominato `AssumableRole` con la seguente configurazione:
+ Autorizzazioni: concedi le autorizzazioni necessarie (policy Amazon EMR serverless) a `AssumableRole` per consentire l’accesso alle risorse EMR Serverless. Questo ruolo è noto anche come *ruolo di accesso*.
+ Relazione di attendibilità: configura la policy di attendibilità per `AssumableRole` per consentire l’assunzione del ruolo di esecuzione (`SageMakerExecutionRole` nel diagramma multi-account) dall’account Studio che richiede l’accesso.
Assumendo il ruolo, Studio può ottenere l’accesso temporaneo alle autorizzazioni necessarie nell’account EMR Serverless.
Per istruzioni dettagliate su come creare un nuovo `AssumableRole` AWS account EMR Serverless, segui questi passaggi:
1. Passare alla [IAM console](https://console.aws.amazon.com/iam) (Console IAM).
1. Nel riquadro di navigazione a sinistra, scegli **Policy**, quindi scegli **Crea policy**.
1. Nella scheda **JSON**, aggiungi le autorizzazioni Amazon EMR serverless che consentono l’accesso e le operazioni EMR Serverless. Per dettagli sul documento di policy, consulta *Policy EMR Serverless* in [Policy di riferimento](#studio-set-up-emr-serverless-permissions-reference). Sostituisci `region`, `accountID` e i valori passati `EMRServerlessAppRuntimeRole` con i relativi valori effettivi prima di copiare l’elenco delle istruzioni nella policy inline del tuo ruolo.
**Nota**
`EMRServerlessAppRuntimeRole` in questo caso è il ruolo di esecuzione di runtime del processo creato nella Fase 1 (`EMRServerlessAppRuntimeRoleB` nel diagramma *multi-account* riportato sopra). Puoi includere tutte le stringhe ARN dei ruoli di runtime necessarie all’interno dell’autorizzazione, separandole con le virgole.
1. Scegli **Avanti**, quindi assegna un **nome alla policy**.
1. Scegli **Crea policy**.
1. Nel riquadro di navigazione a sinistra, scegli **Ruoli**, quindi **Crea ruolo**.
1. Nella pagina **Crea ruolo**, scegli **Policy di attendibilità personalizzata** come entità attendibile.
1. Incolla il documento JSON seguente nella sezione **Policy di attendibilità personalizzata**, quindi scegli **Avanti**.
Sostituiscilo `studio-account` con l'ID dell'account Studio e `AmazonSageMaker-ExecutionRole` con il ruolo di esecuzione utilizzato dal tuo JupyterLab spazio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/service-role/AmazonSageMaker-ExecutionRole"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Nella pagina **Aggiungi autorizzazioni**, aggiungi l’autorizzazione `EMRServerlessAppRuntimeRoleB` creata nella Fase 2, quindi scegli **Avanti**.
1. Nella pagina **Verifica**, inserisci un nome per il ruolo, ad esempio `AssumableRole` e una descrizione facoltativa.
1. Verifica i dettagli del ruolo e scegli **Create role (Crea ruolo)**.
Per ulteriori informazioni sulla creazione di un ruolo su un AWS account, consulta [Creazione di un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html).
### Sull’account Studio
Sull'account in cui è distribuito Studio, noto anche come *account affidabile*, aggiorna il ruolo di esecuzione SageMaker AI accedendo alle applicazioni EMR Serverless con le autorizzazioni necessarie per accedere alle risorse nell'account affidabile.
1. **Passaggio 1**: recupera l'ARN del ruolo di esecuzione SageMaker dell'IA utilizzato dal tuo spazio.
Per informazioni sugli spazi e sui ruoli di esecuzione nell' SageMaker intelligenza artificiale, consulta. [Informazioni sulle autorizzazioni e sui ruoli di esecuzione dello spazio del dominio](execution-roles-and-spaces.md)
Per ulteriori informazioni su come recuperare l'ARN del ruolo di esecuzione SageMaker dell'IA, vedere. [Acquisizione del ruolo di esecuzione](sagemaker-roles.md#sagemaker-roles-get-execution-role)
1. **Fase 2**: Associare le seguenti autorizzazioni al ruolo di esecuzione SageMaker AI che accede all'applicazione EMR Serverless.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Scegli **Ruoli**, quindi cerca il tuo ruolo di esecuzione per nome nel campo di **ricerca**. Il nome del ruolo è l’ultima parte dell’ARN, dopo l’ultima barra (/).
1. Segui il link per il tuo ruolo.
1. Scegli **Aggiungi autorizzazioni**, quindi seleziona **Crea policy inline**.
1. Nella scheda **JSON**, aggiungi la policy inline che concede al ruolo le autorizzazioni per aggiornare i domini, i profili utente e gli spazi. Per dettagli sul documento di policy `SageMakerUpdateResourcesPolicy`, consulta *Policy relativa alle azioni di aggiornamento dello spazio, del profilo utente e del dominio* in [Policy di riferimento](#studio-set-up-emr-serverless-permissions-reference). Sostituisci `region` e `accountID` con i relativi valori effettivi prima di copiare l’elenco delle istruzioni nella policy inline del tuo ruolo.
1. Scegli **Avanti**, quindi assegna un **nome alla policy**.
1. Scegli **Crea policy**.
1. Ripeti la fase **Crea policy inline** per aggiungere un’altra policy che conceda al ruolo di esecuzione le autorizzazioni necessarie per assumere `AssumableRole` e quindi eseguire le azioni consentite dalla policy di accesso del ruolo.
Sostituisci `emr-account` con l’ID dell’account Amazon EMR serverless e `AssumableRole` con il nome del ruolo assumibile creato nell’account Amazon EMR serverless.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "AllowSTSToAssumeAssumableRole",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111122223333:role/AssumableRole"
}
}
```
------
1. **Fase 3**.
Associa l'elenco dei ruoli di runtime al tuo dominio o profilo utente in modo da poter sfogliare visivamente l'elenco dei ruoli e selezionare quello da utilizzare per la [connessione a un'applicazione EMR Serverless](connect-emr-serverless-application.md). JupyterLab È possibile utilizzare la console SageMaker AI o il seguente script. Tutti i processi Apache Spark, Apache Hive o Presto creati dal notebook avranno accesso solo ai dati e alle risorse consentiti dalle policy collegate al ruolo di runtime.
**Importante**
Il mancato completamento di questo passaggio impedirà di collegare un JupyterLab notebook a un'applicazione EMR Serverless.
------
#### [ SageMaker AI console ]
Per associare i ruoli di runtime al profilo utente o al dominio utilizzando la console SageMaker AI:
1. Vai alla console SageMaker AI all'indirizzo [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Nel riquadro di navigazione a sinistra, scegli **dominio**, quindi seleziona il dominio utilizzando il ruolo di esecuzione SageMaker AI di cui hai aggiornato le autorizzazioni.
1.
+ Per aggiungere i ruoli di runtime al dominio: nella scheda **Configurazioni app** della pagina dei **dettagli del dominio**, vai alla **JupyterLab**sezione.
+ Per aggiungere i ruoli di runtime al tuo profilo utente: nella pagina dei **dettagli del dominio**, scegli la scheda **Profili utente**, seleziona il profilo utente che utilizza il ruolo di esecuzione SageMaker AI di cui hai aggiornato le autorizzazioni. Nella scheda **Configurazioni dell'app**, vai alla **JupyterLab**sezione.
1. Scegli **Modifica** e aggiungi il tuo ruolo assumibile e i ruoli ARNs di esecuzione runtime EMR Serverless.
1. Seleziona **Invia**.
Alla successiva connessione a un'applicazione EMR Serverless tramite JupyterLab, i ruoli di runtime dovrebbero apparire in un menu a discesa per la selezione.
------
#### [ Python script ]
In un' JupyterLab applicazione avviata da uno spazio privato utilizzando il ruolo di esecuzione SageMaker AI di cui hai aggiornato le autorizzazioni, esegui il seguente comando in un terminale. Sostituisci `domainID`, `user-profile-name`, `studio-accountID` e `EMRServerlessRuntimeExecutionRole` con i valori corretti. Questo frammento di codice aggiorna le impostazioni del profilo utente per uno specifico profilo utente (`client.update_user_profile`) o impostazioni di dominio (`client.update_domain`) all'interno di un SageMaker dominio AI. In particolare, imposta i ruoli di esecuzione di runtime per Amazon EMR serverless creati in precedenza. Consente inoltre all' JupyterLab applicazione di assumere un ruolo IAM particolare (`AssumableRole`) per l'esecuzione di applicazioni EMR Serverless all'interno dell'account Amazon EMR.
```
import botocore.session
import json
sess = botocore.session.get_session()
client = sess.create_client('sagemaker')
client.update_user_profile(
DomainId="domainID",
UserProfileName="user-profile-name",
DefaultUserSettings={
'JupyterLabAppSettings': {
'EmrSettings': {
'AssumableRoleArns': ["arn:aws:iam::emr-accountID:role/AssumableRole"],
'ExecutionRoleArns': ["arn:aws:iam::emr-accountID:role/EMRServerlessRuntimeExecutionRoleA",
"arn:aws:iam::emr-accountID:role/AnotherRuntimeExecutionRole"]
}
}
})
resp = client.describe_user_profile(DomainId="domainID", UserProfileName=user-profile-name")
resp['CreationTime'] = str(resp['CreationTime'])
resp['LastModifiedTime'] = str(resp['LastModifiedTime'])
print(json.dumps(resp, indent=2))
```
------
## Policy di riferimento
+ Policy **EMR Serverless: questa policy consente di** gestire le applicazioni EMR Serverless, tra cui l'elenco, la creazione (con i tag SageMaker AI richiesti), l'avvio, l'arresto, l'acquisizione di dettagli, l'eliminazione, l'accesso agli endpoint Livy e l'esecuzione dei dashboard. Consente inoltre di passare al servizio il ruolo di runtime dell’applicazione EMR Serverless richiesto.
+ `EMRServerlessListApplications`: consente l' ListApplications azione su tutte le risorse EMR Serverless nella regione e nell'account specificati. AWS
+ `EMRServerlessPassRole`: Consente il passaggio dei ruoli di runtime specificati nell' AWS account fornito, ma solo quando il ruolo viene passato a. `emr-serverless.amazonaws.com service`
+ `EMRServerlessCreateApplicationAction`: consente l'esecuzione CreateApplication di TagResource azioni sulle risorse EMR Serverless nella regione e nell'account specificati. AWS Tuttavia, richiede che le risorse create o taggate abbiano chiavi di tag specifiche (`sagemaker:domain-arn`, `sagemaker:user-profile-arn` e `sagemaker:space-arn`) impostate con valori non nulli.
+ `EMRServerlessDenyTaggingAction`: le UntagResource azioni TagResource e sulle risorse EMR Serverless nella regione specificata e l' AWS account se le risorse non hanno nessuna delle chiavi di tag specificate (`sagemaker:domain-arn``sagemaker:user-profile-arn`, e`sagemaker:space-arn`) impostate.
+ `EMRServerlessActions`: consente varie azioni (`StartApplication`, `StopApplication`, `GetApplication`, `DeleteApplication`, `AccessLivyEndpoints` e `GetDashboardForJobRun`) sulle risorse EMR Serverless, ma solo se le risorse hanno le chiavi di tag specificate (`sagemaker:domain-arn`, `sagemaker:user-profile-arn` e `sagemaker:space-arn`) impostate con valori non nulli.
La policy IAM definita nel documento JSON fornito concede tali autorizzazioni, ma limita tale accesso alla presenza di tag SageMaker AI specifici sulle applicazioni EMR Serverless per garantire che possano essere gestite solo le risorse Amazon EMR Serverless associate a un particolare dominio SageMaker AI, profilo utente e spazio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EMRServerlessListApplications",
"Effect": "Allow",
"Action": [
"emr-serverless:ListApplications"
],
"Resource": "arn:aws:emr-serverless:us-east-1:111122223333:/*"
},
{
"Sid": "EMRServerlessPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/EMRServerlessAppRuntimeRole",
"Condition": {
"StringLike": {
"iam:PassedToService": "emr-serverless.amazonaws.com"
}
}
},
{
"Sid": "EMRServerlessCreateApplicationAction",
"Effect": "Allow",
"Action": [
"emr-serverless:CreateApplication",
"emr-serverless:TagResource"
],
"Resource": "arn:aws:emr-serverless:us-east-1:111122223333:/*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"sagemaker:domain-arn",
"sagemaker:user-profile-arn",
"sagemaker:space-arn"
]
},
"Null": {
"aws:RequestTag/sagemaker:domain-arn": "false",
"aws:RequestTag/sagemaker:user-profile-arn": "false",
"aws:RequestTag/sagemaker:space-arn": "false"
}
}
},
{
"Sid": "EMRServerlessDenyTaggingAction",
"Effect": "Deny",
"Action": [
"emr-serverless:TagResource",
"emr-serverless:UntagResource"
],
"Resource": "arn:aws:emr-serverless:us-east-1:111122223333:/*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:domain-arn": "true",
"aws:ResourceTag/sagemaker:user-profile-arn": "true",
"aws:ResourceTag/sagemaker:space-arn": "true"
}
}
},
{
"Sid": "EMRServerlessActions",
"Effect": "Allow",
"Action": [
"emr-serverless:StartApplication",
"emr-serverless:StopApplication",
"emr-serverless:GetApplication",
"emr-serverless:DeleteApplication",
"emr-serverless:AccessLivyEndpoints",
"emr-serverless:GetDashboardForJobRun"
],
"Resource": "arn:aws:emr-serverless:us-east-1:111122223333:/applications/*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:domain-arn": "false",
"aws:ResourceTag/sagemaker:user-profile-arn": "false",
"aws:ResourceTag/sagemaker:space-arn": "false"
}
}
}
]
}
```
------
+ **Politica sulle azioni di aggiornamento del dominio, del profilo utente e dello spazio**: la seguente politica concede le autorizzazioni per aggiornare i domini SageMaker AI, i profili utente e gli spazi all'interno della regione e dell' AWS account specificati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerUpdateResourcesPolicy",
"Effect": "Allow",
"Action": [
"sagemaker:UpdateDomain",
"sagemaker:UpdateUserprofile",
"sagemaker:UpdateSpace"
],
"Resource": [
"arn:aws:sagemaker:us-east-1:111122223333:domain/*",
"arn:aws:sagemaker:us-east-1:111122223333:user-profile/*"
]
}
]
}
```
------