Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für Benutzerzugriffsrichtlinien für Serverless EMR
Sie können detaillierte Richtlinien für Ihre Benutzer einrichten, je nachdem, welche Aktionen jeder Benutzer bei der Interaktion mit serverlosen Anwendungen ausführen soll. EMR Die folgenden Richtlinien sind Beispiele, die Ihnen dabei helfen können, die richtigen Berechtigungen für Ihre Benutzer einzurichten. Dieser Abschnitt konzentriert sich nur auf EMR serverlose Richtlinien. Beispiele für EMR Studio-Benutzerrichtlinien finden Sie unter EMR Studio-Benutzerberechtigungen konfigurieren. Informationen zum Anhängen von Richtlinien an IAM Benutzer (Prinzipale) finden Sie im IAM Benutzerhandbuch unter IAMRichtlinien verwalten.
Richtlinie für Hauptbenutzer
Um alle erforderlichen Aktionen für EMR Serverless zu gewähren, erstellen Sie eine AmazonEMRServerlessFullAccess Richtlinie und fügen Sie sie dem erforderlichen IAM Benutzer, der Rolle oder der Gruppe hinzu.
Im Folgenden finden Sie eine Beispielrichtlinie, die es Hauptbenutzern ermöglicht, EMR serverlose Anwendungen zu erstellen und zu ändern sowie andere Aktionen wie das Senden und Debuggen von Jobs auszuführen. Sie zeigt alle Aktionen, die EMR Serverless für andere Dienste benötigt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EMRServerlessActions", "Effect": "Allow", "Action": [ "emr-serverless:CreateApplication", "emr-serverless:UpdateApplication", "emr-serverless:DeleteApplication", "emr-serverless:ListApplications", "emr-serverless:GetApplication", "emr-serverless:StartApplication", "emr-serverless:StopApplication", "emr-serverless:StartJobRun", "emr-serverless:CancelJobRun", "emr-serverless:ListJobRuns", "emr-serverless:GetJobRun" ], "Resource": "*" } ] }
Wenn Sie die Netzwerkkonnektivität für Ihre EMR serverlosen Anwendungen aktivierenVPC, erstellen Sie Amazon EC2 Elastic Network Interfaces (ENIs) für die Kommunikation mit VPC Ressourcen. Die folgende Richtlinie stellt sicher, dass neue EC2 ENIs Anwendungen nur im Kontext EMR serverloser Anwendungen erstellt werden.
Anmerkung
Es wird dringend empfohlen, diese Richtlinie festzulegen, um sicherzustellen, dass Benutzer EC2 ENIs nur dann etwas erstellen können, wenn EMR serverlose Anwendungen gestartet werden.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowEC2ENICreationWithEMRTags", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "ops.emr-serverless.amazonaws.com" } } } }
Wenn Sie den EMR serverlosen Zugriff auf bestimmte Subnetze einschränken möchten, können Sie jedes Subnetz mit einer Tag-Bedingung kennzeichnen. Diese IAM Richtlinie stellt sicher, dass EMR serverlose Anwendungen nur innerhalb der zulässigen Subnetze erstellt EC2 ENIs werden können.
{ "Sid": "AllowEC2ENICreationInSubnetAndSecurityGroupWithEMRTags", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/KEY": "VALUE" } } }
Wichtig
Wenn Sie Administrator oder Poweruser sind und Ihre erste Anwendung erstellen, müssen Sie Ihre Berechtigungsrichtlinien so konfigurieren, dass Sie eine EMR serverlose, dienstverknüpfte Rolle erstellen können. Weitere Informationen hierzu finden Sie unter Verwenden von serviceverknüpften Rollen für Serverless EMR.
Die folgende IAM Richtlinie ermöglicht es Ihnen, eine EMR serverlose, dienstverknüpfte Rolle für Ihr Konto zu erstellen.
{ "Sid":"AllowEMRServerlessServiceLinkedRoleCreation", "Effect":"Allow", "Action":"iam:CreateServiceLinkedRole", "Resource":"arn:aws:iam::account-id:role/aws-service-role/ops.emr-serverless.amazonaws.com/AWSServiceRoleForAmazonEMRServerless" }
Richtlinie für Dateningenieure
Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die Benutzern nur Leseberechtigungen für EMR serverlose Anwendungen sowie die Möglichkeit bietet, Jobs zu senden und zu debuggen. Hinweis: Da diese Richtlinie Aktionen nicht ausdrücklich verweigert, kann dennoch eine andere Richtlinienanweisung verwendet werden, um den Zugriff auf bestimmte Aktionen zu gewähren.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EMRServerlessActions", "Effect": "Allow", "Action": [ "emr-serverless:ListApplications", "emr-serverless:GetApplication", "emr-serverless:StartApplication", "emr-serverless:StartJobRun", "emr-serverless:CancelJobRun", "emr-serverless:ListJobRuns", "emr-serverless:GetJobRun" ], "Resource": "*" } ] }
Verwenden von Tags für die Zugriffskontrolle
Sie können Tag-Bedingungen für eine differenzierte Zugriffskontrolle verwenden. Sie können beispielsweise Benutzer aus einem Team so einschränken, dass sie nur Jobs an EMR serverlose Anwendungen senden können, die mit ihrem Teamnamen gekennzeichnet sind.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EMRServerlessActions", "Effect": "Allow", "Action": [ "emr-serverless:ListApplications", "emr-serverless:GetApplication", "emr-serverless:StartApplication", "emr-serverless:StartJobRun", "emr-serverless:CancelJobRun", "emr-serverless:ListJobRuns", "emr-serverless:GetJobRun" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Team": "team-name" } } } ] }
