Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione del ruolo IAM
Lo CloudFormation stack contenuto nelle istruzioni di installazione automatizza la configurazione dei ruoli IAM per te. Se desideri eseguirlo manualmente, segui le istruzioni riportate di seguito:
## Configurazione dei ruoli IAM per il server MCP
**Modifica imminente in vigore dal 29 maggio 2026**
Le `sagemaker-unified-studio-mcp` autorizzazioni mostrate di seguito non saranno più necessarie dopo il 29 maggio 2026. L'autorizzazione avverrà invece a livello di AWS servizio utilizzando le policy IAM esistenti. Se utilizzi queste autorizzazioni per negare l'accesso, consulta l'articolo [Prossima modifica delle autorizzazioni (29 maggio 2026)](#spark-troubleshooting-agent-mcp-permissions-change) per aggiornare le policy prima di tale data.
Per accedere al server SMUS Managed MCP, è necessario un ruolo IAM con la seguente politica in linea:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowUseSagemakerUnifiedStudioMcpServer",
"Effect": "Allow",
"Action": [
"sagemaker-unified-studio-mcp:InvokeMcp",
"sagemaker-unified-studio-mcp:CallReadOnlyTool",
"sagemaker-unified-studio-mcp:CallPrivilegedTool"
],
"Resource": [
"*"
]
}
]
}
```
Nei passaggi successivi, creeremo un profilo per questo ruolo. L'account che assume questo ruolo per ottenere le credenziali deve essere aggiunto alla politica di assunzione del ruolo.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccountToAssumeRole",
"Effect": "Allow",
"Principal": { "AWS": "arn:aws:iam:::root" },
"Action": "sts:AssumeRole"
}
]
}
```
## Autorizzazioni aggiuntive in base alla modalità di distribuzione () EMR-EC2/EMR-S/Glue
### EMR-EC2 Applicazioni
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EMREC2ReadAccess",
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:ListSteps",
"elasticmapreduce:ListClusters",
"elasticmapreduce:DescribeJobFlows"
],
"Resource": [
"*"
]
},
{
"Sid": "EMRS3LogAccess",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "*"
},
{
"Sid": "EMRPersistentApp",
"Effect": "Allow",
"Action": [
"elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:GetPersistentAppUIPresignedURL"
],
"Resource": [
"*"
]
}
]
}
```
### Glue Jobs
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "GlueReadAccess",
"Effect": "Allow",
"Action": [
"glue:GetJob",
"glue:GetJobRun",
"glue:GetJobRuns",
"glue:GetJobs",
"glue:BatchGetJobs"
],
"Resource": [
"arn:aws:glue:*::job/*"
]
},
{
"Sid": "GlueCloudWatchLogsAccess",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents",
"logs:FilterLogEvents"
],
"Resource": [
"arn:aws:logs:*::log-group:/aws/glue/*"
]
},
{
"Sid": "GlueSparkWebUI",
"Effect": "Allow",
"Action": [
"glue:RequestLogParsing",
"glue:GetLogParsingStatus",
"glue:GetEnvironment",
"glue:GetStage",
"glue:GetStages",
"glue:GetStageFiles",
"glue:BatchGetStageFiles",
"glue:GetStageAttempt",
"glue:GetStageAttemptTaskList",
"glue:GetStageAttemptTaskSummary",
"glue:GetExecutors",
"glue:GetExecutorsThreads",
"glue:GetStorage",
"glue:GetStorageUnit",
"glue:GetQueries",
"glue:GetQuery",
"glue:GetDashboardUrl"
],
"Resource": [
"arn:aws:glue:*::job/*"
]
},
{
"Sid": "GluePassRoleAccess",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "glue.amazonaws.com"
}
}
}
]
}
```
### Applicazioni serverless EMR
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EMRServerlessReadAccess",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:GetApplication",
"emr-serverless:ListApplications",
"emr-serverless:ListJobRuns",
"emr-serverless:ListJobRunAttempts",
"emr-serverless:GetDashboardForJobRun",
"emr-serverless:ListTagsForResource"
],
"Resource": [
"*"
]
},
{
"Sid": "EMRServerlessCloudWatchLogsAccess",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents",
"logs:FilterLogEvents"
],
"Resource": [
"arn:aws:logs:*::log-group:/aws/emr-serverless/*"
]
},
{
"Sid": "EMRServerlessS3LogsAccess",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "*"
}
]
}
```
### Autorizzazioni KMS - Registri CloudWatch
Se CloudWatch i log sono crittografati con una CMK, aggiungi la seguente politica in modo che il servizio possa leggere i log dell'applicazione. EMR-Serverless
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:::key/"
}
```
## Prossima modifica delle autorizzazioni (29 maggio 2026)
A partire dal 29 maggio 2026, il server AWS SMUS MCP non richiederà più autorizzazioni IAM separate per autorizzare le operazioni del server MCP. L'autorizzazione avverrà invece a livello di AWS servizio utilizzando i ruoli e le policy IAM esistenti.
Due chiavi di condizione verranno aggiunte automaticamente a tutte le richieste effettuate tramite il server SMUS MCP:
+ `aws:ViaAWSMCPService`— Impostato su `true` per qualsiasi richiesta effettuata tramite un server AWS MCP gestito.
+ `aws:CalledViaAWSMCP`— Impostato sul principale del servizio del server MCP (ad esempio,`sagemaker-unified-studio-mcp.amazonaws.com`).
Se attualmente utilizzi le `sagemaker-unified-studio-mcp` autorizzazioni per negare l'accesso al server SMUS MCP o se non desideri consentire alcuna azione avviata dal server MCP AWS gestito sul tuo account, devi aggiornare le politiche prima del 29 maggio 2026. Utilizzate invece le nuove chiavi di condizione.
**Nega tutte le operazioni tramite qualsiasi server MCP AWS gestito:**
```
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"Bool": {
"aws:ViaAWSMCPService": "true"
}
}
}
```
**Nega operazioni specifiche tramite uno specifico server MCP AWS gestito:**
```
{
"Effect": "Deny",
"Action": ["glue:GetJobRun", "glue:StartJobRun"],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaAWSMCP": "sagemaker-unified-studio-mcp.amazonaws.com"
}
}
}
```
Per ulteriori informazioni sulle chiavi di condizione, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.