Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Konfigurasikan CloudFormation template Amazon EMR di Service Catalog
[Topik ini mengasumsikan administrator akrab dengan [CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html), [portofolio dan produk di AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/getstarted-portfolio.html), serta Amazon EMR.](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-gs.html)
Untuk menyederhanakan pembuatan cluster EMR Amazon dari Studio, administrator dapat mendaftarkan template [ CloudFormation EMR Amazon](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-elasticmapreduce-cluster.html) sebagai produk dalam portofolio. [AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html) Untuk membuat template tersedia bagi ilmuwan data, mereka harus mengaitkan portofolio dengan peran eksekusi SageMaker AI yang digunakan di Studio atau Studio Classic. Terakhir, untuk memungkinkan pengguna menemukan templat, menyediakan kluster, dan terhubung ke kluster EMR Amazon dari Studio atau Studio Classic, administrator perlu menetapkan izin akses yang sesuai.
CloudFormation Template EMR Amazon dapat memungkinkan pengguna akhir untuk menyesuaikan berbagai aspek cluster. Misalnya, administrator dapat menentukan daftar jenis instans yang disetujui yang dapat dipilih pengguna saat membuat klaster.
Petunjuk berikut menggunakan end-to-end [CloudFormation tumpukan](https://github.com/aws-samples/sagemaker-studio-emr/tree/main/cloudformation/getting_started) untuk menyiapkan domain Studio atau Studio Classic, profil pengguna, portofolio Service Catalog, dan mengisi template peluncuran Amazon EMR. Langkah-langkah berikut menyoroti setelan spesifik yang harus diterapkan administrator di end-to-end tumpukan mereka untuk mengaktifkan Studio atau Studio Classic untuk mengakses produk Service Catalog dan menyediakan kluster Amazon EMR.
**catatan**
GitHub Repositori [aws-samples/ sagemaker-studio-emr](https://github.com/aws-samples/sagemaker-studio-emr/tree/main/cloudformation/getting_started) berisi contoh end-to-end CloudFormation tumpukan yang menerapkan peran IAM yang diperlukan, jaringan, domain, profil SageMaker pengguna, portofolio Service Catalog, dan menambahkan template peluncuran Amazon EMR. CloudFormation Template menyediakan opsi otentikasi yang berbeda antara Studio atau Studio Classic dan klaster EMR Amazon. Dalam contoh templat ini, CloudFormation tumpukan induk meneruskan parameter SageMaker AI VPC, grup keamanan, dan subnet ke template cluster EMR Amazon.
Repositori [sagemaker-studio-emr/cloudformation/emr\$1servicecatalog\$1templates berisi berbagai contoh templat](https://github.com/aws-samples/sagemaker-studio-emr/tree/main/cloudformation/emr_servicecatalog_templates) peluncuran EMR Amazon, termasuk opsi untuk penerapan akun tunggal dan lintas akun. CloudFormation
Lihat detail tentang metode otentikasi yang dapat Anda gunakan untuk terhubung ke klaster EMR Amazon. [Connect ke kluster EMR Amazon dari SageMaker Studio atau Studio Classic](connect-emr-clusters.md)
Untuk memungkinkan ilmuwan data menemukan CloudFormation templat EMR Amazon dan klaster penyediaan dari Studio atau Studio Classic, ikuti langkah-langkah berikut.
## Langkah 0: Periksa jaringan Anda dan siapkan CloudFormation tumpukan Anda
Sebelum Anda mulai:
+ Pastikan Anda telah meninjau persyaratan jaringan dan keamanan di[Konfigurasikan akses jaringan untuk kluster EMR Amazon Anda](studio-notebooks-emr-networking.md).
+ Anda harus memiliki end-to-end CloudFormation tumpukan yang ada yang mendukung metode otentikasi pilihan Anda. Anda dapat menemukan contoh CloudFormation template tersebut di [sagemaker-studio-emr GitHub aws-samples/](https://github.com/aws-samples/sagemaker-studio-emr/tree/main/cloudformation/getting_started) repositori. Langkah-langkah berikut menyoroti konfigurasi spesifik di end-to-end tumpukan Anda untuk mengaktifkan penggunaan templat EMR Amazon dalam Studio atau Studio Classic.
## Langkah 1: Kaitkan portofolio Service Catalog Anda dengan SageMaker AI
**Dalam portofolio Service Catalog** Anda, kaitkan ID portofolio Anda dengan peran eksekusi SageMaker AI yang mengakses klaster Anda.
Untuk melakukannya, tambahkan bagian berikut (di sini dalam format YAMAL) ke tumpukan Anda. Ini memberikan akses peran eksekusi SageMaker AI ke portofolio Service Catalog tertentu yang berisi produk seperti template Amazon EMR. Ini memungkinkan peran yang diasumsikan oleh SageMaker AI untuk meluncurkan produk tersebut.
Ganti *SageMakerExecutionRole.Arn* dan *SageMakerStudioEMRProductPortfolio.ID* dengan nilai aktualnya.
```
SageMakerStudioEMRProductPortfolioPrincipalAssociation:
Type: AWS::ServiceCatalog::PortfolioPrincipalAssociation
Properties:
PrincipalARN: SageMakerExecutionRole.Arn
PortfolioId: SageMakerStudioEMRProductPortfolio.ID
PrincipalType: IAM
```
Untuk detail tentang set izin IAM yang diperlukan, lihat bagian [izin](#studio-emr-permissions).
## Langkah 2: Referensi template EMR Amazon dalam produk Service Catalog
**Dalam produk Service Catalog portofolio Anda**, rujuk sumber daya template EMR Amazon dan pastikan visibilitasnya di Studio atau Studio Classic.
Untuk melakukannya, rujuk sumber daya template Amazon EMR dalam definisi produk Service Catalog, lalu tambahkan kunci tag berikut yang `"sagemaker:studio-visibility:emr"` disetel ke nilai `"true"` (lihat contoh dalam format YAMM).
Dalam definisi produk Service Catalog, CloudFormation template cluster direferensikan melalui URL. Tag tambahan yang disetel ke true memastikan visibilitas template EMR Amazon di Studio atau Studio Classic.
**catatan**
Template EMR Amazon yang direferensikan oleh URL yang disediakan dalam contoh tidak memberlakukan persyaratan otentikasi apa pun saat diluncurkan. Opsi ini dimaksudkan untuk tujuan demonstrasi dan pembelajaran. Hal ini tidak direkomendasikan dalam lingkungan produksi.
```
SMStudioEMRNoAuthProduct:
Type: AWS::ServiceCatalog::CloudFormationProduct
Properties:
Owner: AWS
Name: SageMaker Studio Domain No Auth EMR
ProvisioningArtifactParameters:
- Name: SageMaker Studio Domain No Auth EMR
Description: Provisions a SageMaker domain and No Auth EMR Cluster
Info:
LoadTemplateFromURL: Link to your CloudFormation template. For example, https://aws-blogs-artifacts-public.s3.amazonaws.com/artifacts/astra-m4-sagemaker/end-to-end/CFN-EMR-NoStudioNoAuthTemplate-v3.yaml
Tags:
- Key: "sagemaker:studio-visibility:emr"
Value: "true"
```
## Langkah 3: Parameterisasi template EMR Amazon CloudFormation
** CloudFormation Template yang digunakan untuk menentukan klaster EMR Amazon dalam produk Service Catalog** memungkinkan administrator menentukan parameter yang dapat dikonfigurasi. Administrator dapat menentukan `Default` nilai dan `AllowedValues` rentang untuk parameter ini dalam `Parameters` bagian template. Selama proses peluncuran cluster, ilmuwan data dapat memberikan input khusus atau membuat pilihan dari opsi yang telah ditentukan untuk menyesuaikan aspek tertentu dari cluster EMR Amazon mereka.
Contoh berikut menggambarkan parameter input tambahan yang administrator dapat mengatur saat membuat template Amazon EMR.
```
"Parameters": {
"EmrClusterName": {
"Type": "String",
"Description": "EMR cluster Name."
},
"MasterInstanceType": {
"Type": "String",
"Description": "Instance type of the EMR master node.",
"Default": "m5.xlarge",
"AllowedValues": [
"m5.xlarge",
"m5.2xlarge",
"m5.4xlarge"
]
},
"CoreInstanceType": {
"Type": "String",
"Description": "Instance type of the EMR core nodes.",
"Default": "m5.xlarge",
"AllowedValues": [
"m5.xlarge",
"m5.2xlarge",
"m5.4xlarge",
"m3.medium",
"m3.large",
"m3.xlarge",
"m3.2xlarge"
]
},
"CoreInstanceCount": {
"Type": "String",
"Description": "Number of core instances in the EMR cluster.",
"Default": "2",
"AllowedValues": [
"2",
"5",
"10"
]
},
"EmrReleaseVersion": {
"Type": "String",
"Description": "The release version of EMR to launch.",
"Default": "emr-5.33.1",
"AllowedValues": [
"emr-5.33.1",
"emr-6.4.0"
]
}
}
```
Setelah administrator membuat templat CloudFormation EMR Amazon tersedia di Studio, ilmuwan data dapat menggunakannya untuk menyediakan sendiri kluster EMR Amazon. `Parameters`Bagian yang didefinisikan dalam template diterjemahkan ke dalam bidang input pada formulir pembuatan cluster dalam Studio atau Studio Classic. Untuk setiap parameter, ilmuwan data dapat memasukkan nilai khusus ke dalam kotak input atau memilih dari opsi yang telah ditentukan yang tercantum dalam menu tarik-turun, yang sesuai dengan yang `AllowedValues` ditentukan dalam templat.
Ilustrasi berikut menunjukkan bentuk dinamis yang dirakit dari template EMR CloudFormation Amazon untuk membuat cluster EMR Amazon di Studio atau Studio Classic.
![\[Ilustrasi bentuk dinamis yang dirakit dari template EMR CloudFormation Amazon untuk membuat cluster EMR Amazon dari Studio atau Studio Classic.\]](http://docs.aws.amazon.com/id_id/sagemaker/latest/dg/images/studio/emr/studio-notebooks-emr-cluster-creation.png)
Kunjungi [Luncurkan kluster EMR Amazon dari Studio atau Studio Classic](studio-notebooks-launch-emr-cluster-from-template.md) untuk mempelajari cara meluncurkan klaster dari Studio atau Studio Classic menggunakan template Amazon EMR tersebut.
## Langkah 4: Siapkan izin untuk mengaktifkan daftar dan meluncurkan kluster EMR Amazon dari Studio
Terakhir, lampirkan izin IAM yang diperlukan untuk mengaktifkan daftar kluster EMR Amazon yang sedang berjalan dan menyediakan sendiri cluster baru dari Studio atau Studio Classic.
*Peran yang harus Anda tambahkan izin tersebut bergantung pada apakah Studio atau Studio Classic dan Amazon EMR digunakan di akun yang sama (pilih Akun *Tunggal) atau di akun yang berbeda (pilih* Akun Lintas).*
**penting**
Anda hanya dapat menemukan dan terhubung ke cluster EMR Amazon untuk JupyterLab dan aplikasi Studio Classic yang diluncurkan dari ruang pribadi. Pastikan bahwa kluster EMR Amazon berada di AWS wilayah yang sama dengan lingkungan Studio Anda.
### Akun tunggal
Jika klaster EMR Amazon dan Studio atau Studio Classic digunakan di AWS akun yang sama, lampirkan izin berikut ke peran eksekusi SageMaker AI yang mengakses klaster Anda.
1. **Langkah 1**: Ambil ARN dari peran eksekusi AI SageMaker yang digunakan oleh ruang pribadi Anda.
Untuk informasi tentang spasi dan peran eksekusi di SageMaker AI, lihat[Memahami izin ruang domain dan peran eksekusi](execution-roles-and-spaces.md).
Untuk informasi lebih lanjut tentang cara mengambil ARN SageMaker peran eksekusi AI, lihat. [Dapatkan peran eksekusi Anda](sagemaker-roles.md#sagemaker-roles-get-execution-role)
1. **Langkah 2**: Lampirkan izin berikut ke peran eksekusi SageMaker AI yang mengakses kluster EMR Amazon Anda.
1. Arahkan ke [konsol IAM](https://console.aws.amazon.com/iam).
1. Pilih **Peran** dan kemudian cari peran eksekusi berdasarkan nama di kolom **Pencarian**. Nama peran adalah bagian terakhir dari ARN, setelah garis miring terakhir (/).
1. Ikuti tautan ke peran Anda.
1. Pilih **Tambahkan izin**, lalu **Buat kebijakan sebaris**.
1. Di tab **JSON**, tambahkan izin EMR Amazon yang memungkinkan akses dan operasi EMR Amazon. Untuk detail tentang dokumen kebijakan, lihat *Daftar kebijakan EMR Amazon* di. [Kebijakan referensi](studio-set-up-emr-permissions-reference.md) Ganti`region`, dan `accountID` dengan nilai aktualnya sebelum menyalin daftar pernyataan ke kebijakan inline peran Anda.
1. Pilih **Berikutnya** dan kemudian berikan **nama Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Ulangi langkah **Buat kebijakan sebaris** untuk menambahkan kebijakan lain yang memberikan izin kepada peran eksekusi untuk menyediakan kluster EMR Amazon baru menggunakan templat. CloudFormation Untuk detail tentang dokumen kebijakan, lihat *Membuat EMRclusters kebijakan Amazon* di[Kebijakan referensi](studio-set-up-emr-permissions-reference.md). Ganti `region` dan `accountID` dengan nilai aktualnya sebelum menyalin daftar pernyataan ke kebijakan inline peran Anda.
**catatan**
Pengguna konektivitas kontrol akses berbasis peran (RBAC) ke kluster EMR Amazon juga harus merujuk. [Konfigurasikan autentikasi peran runtime saat klaster EMR Amazon dan Studio berada di akun yang sama](studio-notebooks-emr-cluster-rbac.md#studio-notebooks-emr-cluster-iam-same)
### Lintas akun
Sebelum Anda memulai, ambil ARN dari peran eksekusi AI SageMaker yang digunakan oleh ruang pribadi Anda.
Untuk informasi tentang spasi dan peran eksekusi di SageMaker AI, lihat[Memahami izin ruang domain dan peran eksekusi](execution-roles-and-spaces.md).
Untuk informasi lebih lanjut tentang cara mengambil ARN SageMaker peran eksekusi AI, lihat. [Dapatkan peran eksekusi Anda](sagemaker-roles.md#sagemaker-roles-get-execution-role)
Jika klaster EMR Amazon dan Studio atau Studio Classic digunakan di AWS akun terpisah, Anda mengonfigurasi izin di kedua akun.
**catatan**
Pengguna konektivitas kontrol akses berbasis peran (RBAC) ke kluster EMR Amazon juga harus merujuk. [Konfigurasikan autentikasi peran runtime saat klaster dan Studio Anda berada di akun yang berbeda](studio-notebooks-emr-cluster-rbac.md#studio-notebooks-emr-cluster-iam-diff)
#### Di akun cluster Amazon EMR
*Ikuti langkah-langkah ini untuk membuat peran dan kebijakan yang diperlukan pada akun tempat Amazon EMR digunakan, juga disebut sebagai akun kepercayaan:*
1. **Langkah 1**: Ambil ARN dari [peran layanan cluster EMR Amazon Anda](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-iam-role.html).
Untuk mempelajari cara menemukan ARN peran layanan klaster, lihat [Mengonfigurasi peran layanan IAM untuk izin EMR Amazon ke layanan](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-iam-roles.html#emr-iam-role-landing) dan sumber daya. AWS
1. **Langkah 2**: Buat peran IAM kustom bernama `AssumableRole` dengan konfigurasi berikut:
+ Izin: Berikan izin yang diperlukan `AssumableRole` untuk mengizinkan mengakses sumber daya EMR Amazon. Peran ini juga dikenal sebagai *peran Access* dalam skenario yang melibatkan akses lintas akun.
+ Hubungan kepercayaan: Konfigurasikan kebijakan kepercayaan `AssumableRole` untuk mengizinkan asumsi peran eksekusi (`SageMakerExecutionRole`Dalam diagram lintas akun) dari akun Studio yang memerlukan akses.
Dengan mengasumsikan peran tersebut, Studio atau Studio Classic dapat memperoleh akses sementara ke izin yang dibutuhkan di Amazon EMR.
Untuk petunjuk terperinci tentang cara membuat yang baru `AssumableRole` di AWS akun EMR Amazon Anda, ikuti langkah-langkah berikut:
1. Arahkan ke [konsol IAM](https://console.aws.amazon.com/iam).
1. Di panel navigasi kiri, pilih **Kebijakan**, lalu **Buat kebijakan**.
1. Di tab **JSON**, tambahkan izin EMR Amazon yang memungkinkan akses dan operasi EMR Amazon. Untuk detail tentang dokumen kebijakan, lihat *Daftar kebijakan EMR Amazon* di. [Kebijakan referensi](studio-set-up-emr-permissions-reference.md) Ganti`region`, dan `accountID` dengan nilai aktualnya sebelum menyalin daftar pernyataan ke kebijakan inline peran Anda.
1. Pilih **Berikutnya** dan kemudian berikan **nama Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Di panel navigasi kiri, pilih **Peran** dan kemudian **Buat peran**.
1. Pada halaman **Buat peran**, pilih **Kebijakan kepercayaan khusus** sebagai entitas tepercaya.
1. Tempel dokumen JSON berikut di bagian **Kebijakan kepercayaan kustom** dan kemudian pilih **Berikutnya**.
------
#### [ For users of Studio and JupyterLab ]
Ganti `studio-account` dengan ID akun Studio, dan `AmazonSageMaker-ExecutionRole` dengan peran eksekusi yang digunakan oleh JupyterLab spasi Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/service-role/AmazonSageMaker-ExecutionRole"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
------
#### [ For users of Studio Classic ]
Ganti `studio-account` dengan ID akun Studio Classic.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
------
1. Di halaman **Tambahkan izin**, tambahkan izin yang baru saja Anda buat lalu pilih **Berikutnya**.
1. Pada halaman **Ulasan**, masukkan nama untuk peran seperti `AssumableRole` dan deskripsi opsional.
1. Tinjau detail peran dan pilih **Buat peran**.
Untuk informasi selengkapnya tentang membuat peran di AWS akun, lihat [Membuat peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html).
#### Di akun Studio
Pada akun tempat Studio digunakan, juga disebut sebagai *akun tepercaya*, perbarui peran eksekusi SageMaker AI yang mengakses kluster Anda dengan izin yang diperlukan untuk mengakses sumber daya di akun kepercayaan.
1. **Langkah 1**: Ambil ARN dari peran eksekusi AI SageMaker yang digunakan oleh ruang pribadi Anda.
Untuk informasi tentang spasi dan peran eksekusi di SageMaker AI, lihat[Memahami izin ruang domain dan peran eksekusi](execution-roles-and-spaces.md).
Untuk informasi lebih lanjut tentang cara mengambil ARN SageMaker peran eksekusi AI, lihat. [Dapatkan peran eksekusi Anda](sagemaker-roles.md#sagemaker-roles-get-execution-role)
1. **Langkah 2**: Lampirkan izin berikut ke peran eksekusi SageMaker AI yang mengakses kluster EMR Amazon Anda.
1. Arahkan ke [konsol IAM](https://console.aws.amazon.com/iam).
1. Pilih **Peran** dan kemudian cari peran eksekusi berdasarkan nama di kolom **Pencarian**. Nama peran adalah bagian terakhir dari ARN, setelah garis miring terakhir (/).
1. Ikuti tautan ke peran Anda.
1. Pilih **Tambahkan izin**, lalu **Buat kebijakan sebaris**.
1. Di tab **JSON**, tambahkan kebijakan sebaris yang memberikan izin peran untuk memperbarui domain, profil pengguna, dan spasi. Untuk detail tentang dokumen kebijakan, lihat *Kebijakan tindakan pembaruan domain, profil pengguna, dan ruang* di[Kebijakan referensi](studio-set-up-emr-permissions-reference.md). Ganti `region` dan `accountID` dengan nilai aktualnya sebelum menyalin daftar pernyataan ke kebijakan inline peran Anda.
1. Pilih **Berikutnya** dan kemudian berikan **nama Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Ulangi langkah **Buat kebijakan sebaris** untuk menambahkan kebijakan lain yang memberikan peran eksekusi izin untuk mengambil alih `AssumableRole` dan kemudian melakukan tindakan yang diizinkan oleh kebijakan akses peran. Ganti `emr-account` dengan ID akun EMR Amazon, dan `AssumableRole` dengan nama peran yang dapat diasumsikan dibuat di akun EMR Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRoleAssumptionForCrossAccountDiscovery",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::111122223333:role/AssumableRole"
]
}
]
}
```
------
1. Ulangi langkah **Buat kebijakan sebaris** untuk menambahkan kebijakan lain yang memberikan izin kepada peran eksekusi untuk menyediakan kluster EMR Amazon baru menggunakan templat. CloudFormation Untuk detail tentang dokumen kebijakan, lihat *Membuat EMRclusters kebijakan Amazon* di[Kebijakan referensi](studio-set-up-emr-permissions-reference.md). Ganti `region` dan `accountID` dengan nilai aktualnya sebelum menyalin daftar pernyataan ke kebijakan inline peran Anda.
1. (Opsional) Untuk mengizinkan pencantuman klaster EMR Amazon yang diterapkan di akun yang sama dengan Studio, tambahkan kebijakan sebaris tambahan ke peran eksekusi Studio Anda seperti yang ditentukan dalam Daftar kebijakan EMR *Amazon* di. [Kebijakan referensi](studio-set-up-emr-permissions-reference.md)
1. **Langkah 3**: Kaitkan peran yang dapat diasumsikan (peran akses) Anda dengan domain atau profil pengguna Anda. JupyterLab pengguna di Studio dapat menggunakan konsol SageMaker AI atau skrip yang disediakan.
Pilih tab yang sesuai dengan kasus penggunaan Anda.
------
#### [ Associate your assumable roles in JupyterLab using the SageMaker AI console ]
Untuk mengaitkan peran yang dapat diasumsikan dengan profil pengguna atau domain Anda menggunakan konsol SageMaker AI:
1. Arahkan ke konsol SageMaker AI di [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Di panel navigasi kiri, pilih **domain**, lalu pilih domain menggunakan peran eksekusi SageMaker AI yang izinnya Anda perbarui.
1.
+ Untuk menambahkan peran yang dapat diasumsikan (peran akses) ke domain Anda: Di tab **Konfigurasi Aplikasi** pada halaman **detail Domain**, navigasikan ke bagian tersebut **JupyterLab**.
+ Untuk menambahkan peran yang dapat diasumsikan (peran akses) ke profil pengguna: Pada halaman **Detail domain**, pilih tab **Profil pengguna, pilih profil** pengguna menggunakan peran eksekusi SageMaker AI yang izinnya Anda perbarui. Di tab **Konfigurasi Aplikasi**, arahkan ke **JupyterLab**bagian tersebut.
1. Pilih **Edit** dan tambahkan peran ARNs yang dapat diasumsikan (peran akses).
1. Pilih **Kirim**.
------
#### [ Associate your assumable roles in JupyterLab using a Python script ]
Dalam JupyterLab aplikasi yang dimulai dari ruang menggunakan peran eksekusi SageMaker AI yang izinnya Anda perbarui, jalankan perintah berikut di terminal. Ganti`domainID`,, `user-profile-name``emr-accountID`, dan `AssumableRole` (`EMRServiceRole`untuk [peran runtime RBAC]()) dengan nilai yang tepat. Cuplikan kode ini memperbarui pengaturan profil pengguna untuk profil pengguna tertentu (penggunaan`client.update_userprofile`) atau pengaturan domain (penggunaan`client.update_domain`) dalam domain SageMaker AI. Secara khusus, ini memungkinkan JupyterLab aplikasi untuk mengambil peran IAM tertentu (`AssumableRole`) untuk menjalankan cluster EMR Amazon dalam akun EMR Amazon.
```
import botocore.session
import json
sess = botocore.session.get_session()
client = sess.create_client('sagemaker')
client.update_userprofile(
DomainId="domainID",
UserProfileName="user-profile-name",
DefaultUserSettings={
'JupyterLabAppSettings': {
'EmrSettings': {
'AssumableRoleArns': ["arn:aws:iam::emr-accountID:role/AssumableRole"],
'ExecutionRoleArns': ["arn:aws:iam::emr-accountID:role/EMRServiceRole",
"arn:aws:iam::emr-accountID:role/AnotherServiceRole"]
}
}
})
resp = client.describe_user_profile(DomainId="domainID", UserProfileName=user-profile-name")
resp['CreationTime'] = str(resp['CreationTime'])
resp['LastModifiedTime'] = str(resp['LastModifiedTime'])
print(json.dumps(resp, indent=2))
```
------
#### [ For users of Studio Classic ]
Berikan ARN `AssumableRole` untuk peran eksekusi Studio Classic Anda. ARN dimuat oleh server Jupyter saat diluncurkan. *Peran eksekusi yang digunakan oleh Studio mengasumsikan peran lintas akun untuk menemukan dan terhubung ke klaster EMR Amazon di akun kepercayaan.*
Anda dapat menentukan informasi ini dengan menggunakan skrip Lifecycle Configuration (LCC). Anda dapat melampirkan LCC ke domain Anda atau profil pengguna tertentu. Skrip LCC yang Anda gunakan harus berupa JupyterServer konfigurasi. Untuk informasi selengkapnya tentang cara membuat skrip LCC, lihat [Menggunakan Konfigurasi Siklus Hidup](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-lcc.html) dengan Studio Classic.
Berikut ini adalah contoh skrip LCC. Untuk memodifikasi skrip, ganti `AssumableRole` dan `emr-account` dengan nilainya masing-masing. Jumlah akun silang dibatasi hingga lima.
```
# This script creates the file that informs Studio Classic that the role "arn:aws:iam::emr-account:role/AssumableRole" in remote account "emr-account" must be assumed to list and describe Amazon EMR clusters in the remote account.
#!/bin/bash
set -eux
FILE_DIRECTORY="/home/sagemaker-user/.cross-account-configuration-DO_NOT_DELETE"
FILE_NAME="emr-discovery-iam-role-arns-DO_NOT_DELETE.json"
FILE="$FILE_DIRECTORY/$FILE_NAME"
mkdir -p $FILE_DIRECTORY
cat > "$FILE" <<- "EOF"
{
emr-cross-account1: "arn:aws:iam::emr-cross-account1:role/AssumableRole",
emr-cross-account2: "arn:aws:iam::emr-cross-account2:role/AssumableRole"
}
EOF
```
Setelah LCC berjalan dan file ditulis, server membaca file `/home/sagemaker-user/.cross-account-configuration-DO_NOT_DELETE/emr-discovery-iam-role-arns-DO_NOT_DELETE.json` dan menyimpan ARN lintas akun.
------