View a markdown version of this page

Buat peran IAM untuk HyperPod penskalaan otomatis dengan Karpenter - Amazon SageMaker AI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat peran IAM untuk HyperPod penskalaan otomatis dengan Karpenter

Pada langkah-langkah berikut, Anda akan membuat peran IAM yang memungkinkan SageMaker HyperPod untuk mengelola node Kubernetes di klaster Anda melalui penskalaan otomatis berbasis Karpenter. Peran ini memberikan izin yang diperlukan HyperPod untuk menambah dan menghapus node cluster secara otomatis berdasarkan permintaan beban kerja.

Buka konsol IAM

  1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di console.aws.amazon.com.

  2. Di panel navigasi, pilih Peran.

  3. Pilih Buat peran.

Konfigurasikan kebijakan kepercayaan

  1. Untuk jenis entitas Tepercaya, pilih Kebijakan kepercayaan khusus.

  2. Di editor kebijakan kepercayaan kustom, ganti kebijakan default dengan yang berikut ini:

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "hyperpod.sagemaker.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  3. Pilih Berikutnya.

Membuat dan melampirkan kebijakan izin

Karena SageMaker HyperPod memerlukan izin khusus yang tidak tersedia dalam kebijakan AWS terkelola, Anda harus membuat kebijakan khusus.

  1. Pilih Buat kebijakan. Ini membuka tab browser baru.

  2. Pilih tab JSON.

  3. Ganti kebijakan default dengan yang berikut:

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:BatchAddClusterNodes",
                "sagemaker:BatchDeleteClusterNodes"
            ],
            "Resource": "arn:aws:sagemaker:*:*:cluster/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": "sagemaker.*.amazonaws.com"
                },
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                },
                "ForAllValues:StringEquals": {
                    "kms:GrantOperations": [
                        "CreateGrant",
                        "Decrypt",
                        "DescribeKey",
                        "GenerateDataKeyWithoutPlaintext",
                        "ReEncryptTo",
                        "ReEncryptFrom",
                        "RetireGrant"
                    ]
                }
            }
        }
    ]
}

  4. Pilih Berikutnya.

  5. Untuk Nama kebijakan, masukkan SageMakerHyperPodKarpenterPolicy.

  6. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk kebijakan.

  7. Pilih Buat kebijakan.

  8. Kembali ke tab pembuatan peran dan segarkan daftar kebijakan.

  9. Cari dan pilih SageMakerHyperPodKarpenterPolicyyang baru saja Anda buat.

  10. Pilih Berikutnya.

Beri nama dan buat peran

  1. Untuk Nama peran, masukkan SageMakerHyperPodKarpenterRole.

  2. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk peran tersebut.

  3. Di bagian Langkah 1: Pilih entitas tepercaya, verifikasi bahwa kebijakan kepercayaan menunjukkan prinsip layanan yang benar.

  4. Di Langkah 2: Tambahkan izin bagian, verifikasi yang SageMakerHyperPodKarpenterPolicy terlampir.

  5. Pilih Buat peran.

Catat peran ARN

Setelah peran berhasil dibuat:

  1. Dalam daftar Peran, pilih nama peranSageMakerHyperPodKarpenterRole.

  2. Salin ARN Peran dari bagian Ringkasan. Anda akan membutuhkan ARN ini saat membuat cluster Anda HyperPod.

Peran ARN mengikuti format ini:. arn:aws:iam::ACCOUNT-ID:role/SageMakerHyperPodKarpenterRole