Dienstbezogene Rollenberechtigungen für Serverless EMR Eine dienstverknüpfte Rolle für Serverless erstellen EMR Eine dienstverknüpfte Rolle für Serverless bearbeiten EMR Löschen einer dienstverknüpften Rolle für Serverless EMR Unterstützte Regionen für EMR serverlose dienstverknüpfte Rollen

Verwenden von serviceverknüpften Rollen für Serverless EMR

Amazon EMR Serverless verwendet AWS Identity and Access Management (IAM) Rollen, die mit Diensten verknüpft sind. Eine dienstgebundene Rolle ist ein einzigartiger Rollentyp, der IAM direkt mit Serverless verknüpft ist. EMR Dienstbezogene Rollen sind von EMR Serverless vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere Rollen aufzurufen AWS Dienste in Ihrem Namen.

Eine dienstbezogene Rolle erleichtert die Einrichtung von EMR Serverless, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. EMRServerless definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, kann nur EMR Serverless seine Rollen übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen Entität zugeordnet werden. IAM

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre EMR serverlosen Ressourcen geschützt, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entfernen können.

Informationen zu anderen Diensten, die dienstbezogene Rollen unterstützen, finden Sie unter AWS Dienste, die mit Diensten funktionieren, IAM und suchen nach den Diensten, für die in der Spalte Dienstbezogene Rollen die Option Ja steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Dienstbezogene Rollenberechtigungen für Serverless EMR

EMRServerless verwendet die benannte dienstverknüpfte Rolle, um das Aufrufen AWSServiceRoleForAmazonEMRServerlesszu ermöglichen AWS APIsin Ihrem Namen.

Die AWSServiceRoleForAmazonEMRServerless dienstbezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:

ops.emr-serverless.amazonaws.com

Die genannte Rollenberechtigungsrichtlinie AmazonEMRServerlessServiceRolePolicy ermöglicht es EMR Serverless, die folgenden Aktionen an den angegebenen Ressourcen durchzuführen.

Anmerkung

Der Inhalt der verwalteten Richtlinie ändert sich, sodass die hier gezeigte Richtlinie möglicherweise veraltet ist. Sehen Sie sich die meisten up-to-date Richtlinien A mazonEMRServerless ServiceRolePolicy in der AWS Management Console.

Aktion: ec2:CreateNetworkInterface
Aktion: ec2:DeleteNetworkInterface
Aktion: ec2:DescribeNetworkInterfaces
Aktion: ec2:DescribeSecurityGroups
Aktion: ec2:DescribeSubnets
Aktion: ec2:DescribeVpcs
Aktion: ec2:DescribeDhcpOptions
Aktion: ec2:DescribeRouteTables
Aktion: cloudwatch:PutMetricData

Im Folgenden finden Sie die vollständige AmazonEMRServerlessServiceRolePolicy Richtlinie.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EC2PolicyStatement",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeRouteTables"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchPolicyStatement",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [                        
                        "AWS/EMRServerless",
                        "AWS/Usage"
                    ]
                }
            }
        }
    ]
}

Die folgende Vertrauensrichtlinie ist dieser Rolle zugeordnet, damit der EMR Serverless Principal diese Rolle übernehmen kann.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ops.emr-serverless.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Berechtigungen für dienstbezogene Rollen im IAMBenutzerhandbuch.

Eine dienstverknüpfte Rolle für Serverless erstellen EMR

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine neue EMR serverlose Anwendung in der AWS Management Console (mit EMR Studio) AWS CLI, oder das AWS API, EMR Serverless erstellt die serviceverknüpfte Rolle für Sie. Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann.

Um die AWSServiceRoleForAmazonEMRServerless dienstverknüpfte Rolle zu erstellen, verwenden Sie IAM

Fügen Sie der Berechtigungsrichtlinie für die IAM Entität, die die dienstverknüpfte Rolle erstellen muss, die folgende Anweisung hinzu.


{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/ops.emr-serverless.amazonaws.com/AWSServiceRoleForAmazonEMRServerless*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "ops.emr-serverless.amazonaws.com"}}
}

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie eine neue EMR serverlose Anwendung erstellen, erstellt EMR Serverless die dienstverknüpfte Rolle erneut für Sie.

Sie können die IAM Konsole auch verwenden, um eine dienstverknüpfte Rolle für den Serverless-Anwendungsfall zu erstellen. EMR Im AWS CLI oder das AWS API, erstellen Sie eine dienstbezogene Rolle mit dem ops.emr-serverless.amazonaws.com Dienstnamen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Erstellen einer dienstbezogenen Rolle. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.

Eine dienstverknüpfte Rolle für Serverless bearbeiten EMR

EMRServerless ermöglicht es Ihnen nicht, die AWSServiceRoleForAmazonEMRServerless dienstverknüpfte Rolle zu bearbeiten, da verschiedene Entitäten möglicherweise auf die Rolle verweisen. Sie können die nicht bearbeiten AWS-eigene IAM Richtlinie, die von der Rolle EMR „Serverless Service Linked“ verwendet wird, da sie alle erforderlichen Berechtigungen EMR enthält, die Serverless benötigt. Sie können die Beschreibung der Rolle jedoch mithilfe von bearbeiten. IAM

Um die Beschreibung der AWSServiceRoleForAmazonEMRServerless serviceverknüpften Rolle zu bearbeiten, verwenden Sie IAM

Fügen Sie der Berechtigungsrichtlinie für die IAM Entität, die die Beschreibung einer dienstbezogenen Rolle bearbeiten muss, die folgende Anweisung hinzu.


{
    "Effect": "Allow",
    "Action": [
        "iam: UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/ops.emr-serverless.amazonaws.com/AWSServiceRoleForAmazonEMRServerless*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "ops.emr-serverless.amazonaws.com"}}
}

Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Bearbeiten einer dienstbezogenen Rolle.

Löschen einer dienstverknüpften Rolle für Serverless EMR

Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch alle EMR serverlosen Anwendungen in allen Regionen löschen, bevor Sie die dienstverknüpfte Rolle löschen können.

Anmerkung

Wenn der EMR serverlose Dienst die Rolle verwendet, wenn Sie versuchen, die mit der Rolle verknüpften Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

Um die mit dem AWSServiceRoleForAmazonEMRServerless Dienst verknüpfte Rolle zu löschen, verwenden Sie IAM

Fügen Sie der Berechtigungsrichtlinie für die IAM Entität, die eine dienstverknüpfte Rolle löschen muss, die folgende Anweisung hinzu.


{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/ops.emr-serverless.amazonaws.com/AWSServiceRoleForAmazonEMRServerless*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "ops.emr-serverless.amazonaws.com"}}
}

Um die dienstverknüpfte Rolle manuell zu löschen, verwenden Sie IAM

Verwenden Sie die IAM Konsole, die AWS CLI, oder das AWS APIum die mit dem AWSServiceRoleForAmazonEMRServerless Dienst verknüpfte Rolle zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstbezogenen Rolle.

Unterstützte Regionen für EMR serverlose dienstverknüpfte Rollen

EMRServerless unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter AWS Regionen und Endpunkte.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

So funktioniert EMR Serverless mit IAM

Job-Runtime-Rollen für Amazon EMR Serverless