Studio에서 Amazon EKS 클러스터 설정 - Amazon SageMaker AI
Studio에서 EKS 클러스터에 대한 작업 보기 제한

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Studio에서 Amazon EKS 클러스터 설정

다음 지침에서는 Studio에서 Amazon EKS 클러스터를 설정하는 방법을 설명합니다.

  1. 도메인을 생성하거나 도메인을 준비합니다. 도메인 생성에 대한 자세한 내용은 Amazon SageMaker AI 설정 가이드 섹션을 참조하세요.

  2. 실행 역할에 다음 권한을 추가합니다.

    SageMaker AI 실행 역할과 편집 방법에 대한 자세한 내용은 도메인 공간 권한 및 실행 역할 이해 섹션을 참조하세요.

    IAM 사용자 또는 그룹에 정책을 연결하는 방법을 알아보려면 IAM 자격 증명 권한 추가 및 제거를 참조하세요.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DescribeHyerpodClusterPermissions",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribeCluster"
            ],
            "Resource": "arn:aws:sagemaker:us-east-1:111122223333:cluster/cluster-name"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:Describe*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr:CompleteLayerUpload",
                "ecr:GetAuthorizationToken",
                "ecr:UploadLayerPart",
                "ecr:InitiateLayerUpload",
                "ecr:BatchCheckLayerAvailability",
                "ecr:PutImage"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
                "Action": [
                    "cloudwatch:PutMetricData",
                    "cloudwatch:GetMetricData"
                    ],
            "Resource": "*"
        },
        {
            "Sid": "UseEksClusterPermissions",
            "Effect": "Allow",
            "Action": [
                "eks:DescribeCluster",
                "eks:AccessKubernetesApi",
                "eks:DescribeAddon"
            ],
            "Resource": "arn:aws:eks:us-east-1:111122223333:cluster/cluster-name"
        },
        {
            "Sid": "ListClustersPermission",
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListClusters"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
                "ssm:TerminateSession"
            ],
            "Resource": "*"
        }
    ]
}

  3. EKS 액세스 항목을 사용한 IAM 사용자에게 Kubernetes에 대한 액세스 권한을 부여합니다.

    1. HyperPod 클러스터와 연결된 Amazon EKS 클러스터로 이동합니다.

    2. 액세스 탭을 선택하고 생성한 실행 역할에 대한 액세스 항목을 생성합니다.

      1. 1단계의 IAM 위탁자 드롭다운에서 위에서 생성한 실행 역할을 선택합니다.

      2. 2단계에서 정책 이름을 선택하고 사용자에게 액세스 권한을 부여할 액세스 범위를 선택합니다.

  4. (선택 사항) 보다 원활한 경험을 보장하려면 클러스터에 태그를 추가하는 것이 좋습니다. 태그를 추가하는 방법에 대한 자세한 내용은 SageMaker HyperPod 클러스터 편집 섹션을 참조하고 SageMaker AI 콘솔을 사용하여 클러스터를 업데이트하세요.

    1. Studio 도메인에 Amazon Managed Grafana 작업 영역 태그를 지정합니다. 이는 Studio의 클러스터에서 직접 Grafana 작업 영역에 빠르게 연결하는 데 사용됩니다. 이렇게 하려면 클러스터에 다음 태그를 추가하여 Grafana 작업 영역 ID ws-id로 식별합니다.

      태그 키 = 'grafana-workspace', 태그 값 = 'ws-id'.

  5. (선택 사항) Studio에서 EKS 클러스터에 대한 작업 보기 제한. Studio에서 볼 수 있는 작업에 대한 자세한 내용은 작업 섹션을 참조하세요.

Studio에서 EKS 클러스터에 대한 작업 보기 제한

사용자가 지정된 네임스페이스에 속한 작업만 볼 수 있도록 사용자의 Kubernetes 네임스페이스 권한을 제한할 수 있습니다. 다음은 Studio에서 EKS 클러스터에 대한 작업 보기를 제한하는 방법에 대한 정보를 제공합니다. Studio에서 볼 수 있는 작업에 대한 자세한 내용은 작업 섹션을 참조하세요.

사용자는 기본적으로 모든 EKS 클러스터 작업을 볼 수 있습니다. EKS 클러스터 작업에 대한 사용자의 가시성을 지정된 네임스페이스로 제한하여 엄격한 액세스 제어를 유지하면서 사용자가 필요한 리소스에 액세스할 수 있도록 할 수 있습니다. 다음이 설정되면 사용자가 해당 네임스페이스의 작업을 표시할 수 있도록 네임스페이스를 제공해야 합니다.

제한이 적용되면 역할을 수임하는 사용자에게 네임스페이스를 제공해야 합니다. Studio는 사용자가 작업 탭에서 볼 수 있는 권한이 있는 네임스페이스를 제공한 경우에만 네임스페이스의 작업을 표시합니다.

다음 구성을 통해 관리자는 클러스터 내에서 작업을 볼 수 있도록 데이터 과학자에게 특정하고 제한된 액세스 권한을 부여할 수 있습니다. 이 구성은 다음 권한을 부여합니다.

  • 포드 나열 및 가져오기

  • 이벤트 나열 및 가져오기

  • 사용자 지정 리소스 정의(CRD) 가져오기

YAML 구성

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: pods-events-crd-cluster-role
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list"]
- apiGroups: [""]
  resources: ["events"]
  verbs: ["get", "list"]
- apiGroups: ["apiextensions.k8s.io"]
  resources: ["customresourcedefinitions"]
  verbs: ["get"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: pods-events-crd-cluster-role-binding
subjects:
- kind: Group
  name: pods-events-crd-cluster-level
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: pods-events-crd-cluster-role
  apiGroup: rbac.authorization.k8s.io

  1. YAML 구성을 cluster-role.yaml이라는 파일에 저장합니다.

  2. kubectl을 사용하여 이 구성을 적용합니다.

    kubectl apply -f cluster-role.yaml

  3. 구성을 확인합니다.

    kubectl get clusterrole pods-events-crd-cluster-role
kubectl get clusterrolebinding pods-events-crd-cluster-role-binding

  4. ID 제공업체 또는 IAM을 통해 pods-events-crd-cluster-level 그룹에 사용자를 할당합니다.