Configurar um cluster do Amazon EKS no Studio - SageMaker IA da Amazon
Restringir a visualização de tarefas no Studio para clusters do EKS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar um cluster do Amazon EKS no Studio

As instruções a seguir descrevem como configurar um cluster do Amazon EKS no Studio.

  1. Crie um domínio ou tenha um pronto. Para ter informações sobre como criar um domínio, consulte Guia para se configurar com o Amazon SageMaker AI.

  2. Adicione a permissão a seguir ao seu perfil de execução.

    Para obter informações sobre funções de execução de SageMaker IA e como editá-las, consulteCompreendendo as permissões de espaço e os perfis de execução do domínio.

    Para saber como anexar políticas a um grupo ou usuário do IAM, consulte Adicionar e remover permissões de identidade do IAM.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DescribeHyerpodClusterPermissions",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribeCluster"
            ],
            "Resource": "arn:aws:sagemaker:us-east-1:111122223333:cluster/cluster-name"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:Describe*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr:CompleteLayerUpload",
                "ecr:GetAuthorizationToken",
                "ecr:UploadLayerPart",
                "ecr:InitiateLayerUpload",
                "ecr:BatchCheckLayerAvailability",
                "ecr:PutImage"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
                "Action": [
                    "cloudwatch:PutMetricData",
                    "cloudwatch:GetMetricData"
                    ],
            "Resource": "*"
        },
        {
            "Sid": "UseEksClusterPermissions",
            "Effect": "Allow",
            "Action": [
                "eks:DescribeCluster",
                "eks:AccessKubernetesApi",
                "eks:DescribeAddon"
            ],
            "Resource": "arn:aws:eks:us-east-1:111122223333:cluster/cluster-name"
        },
        {
            "Sid": "ListClustersPermission",
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListClusters"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
                "ssm:TerminateSession"
            ],
            "Resource": "*"
        }
    ]
}

  3. Conceda aos usuários do IAM acesso ao Kubernetes com entradas de acesso ao EKS.

    1. Navegue até o cluster Amazon EKS associado ao seu HyperPod cluster.

    2. Escolha a guia Acesso e crie uma entrada de acesso para o perfil de execução que você criou.

      1. Na Etapa 1, selecione o perfil de execução que você criou acima no menu suspenso de entidade principal do IAM.

      2. Na Etapa 2, selecione um nome de política e um escopo de acesso ao qual você deseja que os usuários tenham acesso.

  4. (Opcional) Para garantir uma experiência mais tranquila, recomendamos que você adicione tags aos seus clusters. Para obter informações sobre como adicionar tags, consulte Como Editar um SageMaker HyperPod cluster atualizar seu cluster usando o console de SageMaker IA.

    1. Associe seu espaço de trabalho do Amazon Managed Grafana ao seu domínio do Studio. Isso será usado para você se vincular rapidamente ao seu espaço de trabalho do Grafana diretamente do seu cluster no Studio. Para fazer isso, adicione a seguinte tag ao seu cluster para identificá-lo com o ID do seu espaço de trabalho no Grafana: ws-id.

      Chave da tag = “grafana-workspace”; valor da tag = “ws-id”.

  5. (Opcional) Restringir a visualização de tarefas no Studio para clusters do EKS. Para ter informações sobre tarefas visíveis no Studio, consulte Tarefas.

Restringir a visualização de tarefas no Studio para clusters do EKS

Você pode restringir as permissões de namespace do Kubernetes para os usuários, para que eles tenham acesso apenas para visualizar tarefas pertencentes a um namespace especificado. Veja a seguir informações sobre como restringir a visualização de tarefas no Studio para clusters do EKS. Para ter informações sobre tarefas visíveis no Studio, consulte Tarefas.

Por padrão, os usuários terão visibilidade de todas as tarefas de cluster do EKS. Você pode restringir a visibilidade dos usuários sobre tarefas de clusters do EKS a namespaces especificados, a fim de garantir que os usuários possam acessar os recursos de que precisam e, ao mesmo tempo, manter controles de acesso rígidos. Você precisará fornecer o namespace para que o usuário exiba os trabalhos desse namespace após a definição da configuração a seguir.

Depois que a restrição for aplicada, você precisará fornecer o namespace aos usuários que assumirem o perfil. O Studio só exibirá as tarefas do namespace quando o usuário fornecer o namespace de entradas que ele possa visualizar na guia Tarefas.

A configuração a seguir permite que os administradores concedam acesso específico e limitado aos cientistas de dados para visualizar tarefas dentro do cluster. Esta configuração concede as seguintes permissões:

  • Listar e obter pods.

  • Listar e receber eventos.

  • Obter definições de recursos personalizadas (CRDs)

Configuração YAML

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: pods-events-crd-cluster-role
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list"]
- apiGroups: [""]
  resources: ["events"]
  verbs: ["get", "list"]
- apiGroups: ["apiextensions.k8s.io"]
  resources: ["customresourcedefinitions"]
  verbs: ["get"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: pods-events-crd-cluster-role-binding
subjects:
- kind: Group
  name: pods-events-crd-cluster-level
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: pods-events-crd-cluster-role
  apiGroup: rbac.authorization.k8s.io

  1. Salve a configuração YAML em um arquivo denominado cluster-role.yaml.

  2. Aplique a configuração usando o kubectl:

    kubectl apply -f cluster-role.yaml

  3. Verifique a configuração:

    kubectl get clusterrole pods-events-crd-cluster-role
kubectl get clusterrolebinding pods-events-crd-cluster-role-binding

  4. Atribua usuários ao grupo pods-events-crd-cluster-level por meio do seu provedor de identidades ou do IAM.