IAM 信頼関係の問題

HyperPod 推論演算子は STS AssumeRoleWithWebIdentity エラーで開始できず、IAM 信頼関係設定の問題を示します。

エラーメッセージ:


failed to enable inference watcher for HyperPod cluster *****: operation error SageMaker: UpdateClusterInference, 
get identity: get credentials: failed to refresh cached credentials, failed to retrieve credentials, 
operation error STS: AssumeRoleWithWebIdentity, https response error StatusCode: 403, RequestID: ****, 
api error AccessDenied: Not authorized to perform sts:AssumeRoleWithWebIdentity

解決策:

推論演算子の IAM 実行ロールの信頼関係を次の設定で更新します。

次のプレースホルダーを置き換えます。

<ACCOUNT_ID>: AWS アカウント ID
<REGION>: AWS リージョン
<OIDC_ID>: Amazon EKS クラスターの OIDC プロバイダー ID


{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
            "Federated": "arn:aws:iam::<ACCOUNT_ID>:oidc-provider/oidc.eks.<REGION>.amazonaws.com/id/<OIDC_ID>"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringLike": {
                    "oidc.eks.<REGION>.amazonaws.com/id/<OIDC_ID>:sub": "system:serviceaccount:<namespace>:<service-account-name>",
                    "oidc.eks.<REGION>.amazonaws.com/id/<OIDC_ID>:aud": "sts.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "sagemaker.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

検証:

信頼関係を更新した後:

IAM コンソールでロール設定を確認する
必要に応じて推論演算子を再起動する
オペレーターログをモニタリングして正常に起動する

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

VPC ENI アクセス許可の問題

NVIDIA GPU プラグインの欠落エラー