Gewähren Sie Benutzern Zugriff EMR auf Amazon auf EKS - Amazon EMR
Eine neue IAM Richtlinie erstellen und sie einem Benutzer in der IAM Konsole anhängenBerechtigungen zum Verwalten virtueller ClusterBerechtigungen für das Einreichen von AufträgeBerechtigungen für das Debuggen und Überwachen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Gewähren Sie Benutzern Zugriff EMR auf Amazon auf EKS

Für alle Aktionen, die Sie bei EMR Amazon ausführenEKS, benötigen Sie eine entsprechende IAM Genehmigung für diese Aktion. Sie müssen eine IAM Richtlinie erstellen, mit der Sie Amazon EKS On-Aktionen EMR ausführen können, und die Richtlinie dem IAM Benutzer oder der Rolle zuordnen, die Sie verwenden.

Dieses Thema enthält Schritte zum Erstellen einer neuen Richtlinie und zum Anhängen dieser an einen Benutzer. Es behandelt auch die grundlegenden Berechtigungen, die Sie für die Einrichtung Ihrer EMR Amazon EKS On-Umgebung benötigen. Wir empfehlen Ihnen, die Berechtigungen für bestimmte Ressourcen nach Möglichkeit an Ihre Geschäftsanforderungen anzupassen.

Eine neue IAM Richtlinie erstellen und sie einem Benutzer in der IAM Konsole anhängen

Eine neue IAM Richtlinie erstellen

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im linken Navigationsbereich der IAM Konsole Richtlinien aus.

  3. Wählen Sie auf der Seite Policies (Richtlinien) die Option Create a policy (Richtlinie erstellen).

  4. Navigieren Sie im Fenster „Richtlinie erstellen“ zur JSON Registerkarte Bearbeiten. Erstellen Sie ein Richtliniendokument mit einer oder mehreren JSON Aussagen, wie in den Beispielen nach diesem Verfahren gezeigt. Wählen Sie als Nächstes die Option Richtlinie überprüfen aus.

  5. Geben Sie auf Bildschirm Review Policy (Richtlinie überprüfen) Ihren Policy Name (Richtlinienname) ein, z. B. AmazonEMROnEKSPolicy. Geben Sie eine optionale Beschreibung für Ihre Richtlinie ein und wählen Sie dann Richtlinie erstellen aus.

Die Richtlinie an einen Benutzer oder eine Rolle anhängen

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich Richtlinien.

  3. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben der im vorherigen Abschnitt erstellten Richtlinie. Über das Menü Filter und das Suchfeld können Sie die Richtlinienliste filtern.

  4. Klicken Sie auf Policy actions und anschließend auf Attach.

  5. Wählen Sie den Benutzer oder die Rolle aus, an den Sie die Richtlinie anfügen möchten. Über das Menü Filter und das Suchfeld können Sie die Liste der Prinzipal-Entitäten filtern. Nachdem Sie den Benutzer oder die Rolle zum Anfügen der Richtlinie ausgewählt haben, klicken Sie auf Richtlinie anfügen.

Berechtigungen zum Verwalten virtueller Cluster

Um virtuelle Cluster in Ihrem AWS Konto zu verwalten, erstellen Sie eine IAM Richtlinie mit den folgenden Berechtigungen. Mit diesen Berechtigungen können Sie virtuelle Cluster in Ihrem AWS Konto erstellen, auflisten, beschreiben und löschen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "emr-containers.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "emr-containers:CreateVirtualCluster",
                "emr-containers:ListVirtualClusters",
                "emr-containers:DescribeVirtualCluster",
                "emr-containers:DeleteVirtualCluster"
            ],
            "Resource": "*"
        }
    ]
}

Amazon EMR ist in Amazon EKS Cluster Access Management (CAM) integriert, sodass Sie die Konfiguration der erforderlichen AuthN- und AuthZ-Richtlinien automatisieren können, um Amazon EMR Spark-Jobs in Namespaces von Amazon-Clustern auszuführen. EKS Dazu benötigen Sie die folgenden Berechtigungen:

{
  "Effect": "Allow",
  "Action": [
    "eks:CreateAccessEntry"
  ],
  "Resource": "arn:<AWS_PARTITION>:eks:<AWS_REGION>:<AWS_ACCOUNT_ID>:cluster/<EKS_CLUSTER_NAME>"
}, 
{
  "Effect": "Allow",
  "Action": [
    "eks:DescribeAccessEntry",
    "eks:DeleteAccessEntry",
    "eks:ListAssociatedAccessPolicies",
    "eks:AssociateAccessPolicy",
    "eks:DisassociateAccessPolicy"
  ],
  "Resource": "arn:<AWS_PARTITION>:eks:<AWS_REGION>:<AWS_ACCOUNT_ID>:access-entry/<EKS_CLUSTER_NAME>/role/<AWS_ACCOUNT_ID>/AWSServiceRoleForAmazonEMRContainers/*"
}

Weitere Informationen finden Sie unter Automatisieren der Aktivierung des Clusterzugriffs für Amazon EMR on EKS.

Wenn der CreateVirtualCluster Vorgang zum ersten Mal von einem AWS Konto aus aufgerufen wird, benötigen Sie auch die CreateServiceLinkedRole Berechtigungen, um die serviceverknüpfte Rolle für Amazon EMR on zu erstellen. EKS Weitere Informationen finden Sie unter Verwendung von serviceverknüpften Rollen für Amazon EMR in EKS.

Berechtigungen für das Einreichen von Aufträge

Um Jobs für die virtuellen Cluster in Ihrem AWS Konto einzureichen, erstellen Sie eine IAM Richtlinie mit den folgenden Berechtigungen. Mit diesen Berechtigungen können Sie Auftragsausführungen für alle virtuellen Cluster in Ihrem Konto starten, auflisten, beschreiben und abbrechen. Sie sollten in Betracht ziehen, Berechtigungen hinzuzufügen, um virtuelle Cluster aufzulisten oder zu beschreiben, sodass Sie den Status des virtuellen Clusters überprüfen können, bevor Sie Aufträge einreichen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "emr-containers:StartJobRun",
                "emr-containers:ListJobRuns",
                "emr-containers:DescribeJobRun",
                "emr-containers:CancelJobRun"
            ],
            "Resource": "*"
        }
    ]
}

Berechtigungen für das Debuggen und Überwachen

Um Zugriff auf an Amazon S3 übertragene Protokolle zu erhalten oder um Anwendungsereignisprotokolle in der EMR Amazon-Konsole anzuzeigen, erstellen Sie eine IAM Richtlinie mit den folgenden Berechtigungen. CloudWatch Wir empfehlen Ihnen, die Berechtigungen für bestimmte Ressourcen nach Möglichkeit an Ihre Geschäftsanforderungen anzupassen.

Wichtig

Wenn Sie keinen Amazon-S3-Bucket erstellt haben, müssen Sie der Richtlinienerklärung s3:CreateBucket-Berechtigungen hinzufügen. Wenn Sie keine Protokollgruppe erstellt haben, müssen Sie logs:CreateLogGroup der Richtlinienerklärung hinzufügen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "emr-containers:DescribeJobRun",
                "elasticmapreduce:CreatePersistentAppUI",
                "elasticmapreduce:DescribePersistentAppUI",
                "elasticmapreduce:GetPersistentAppUIPresignedURL"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:Get*",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams"
            ],
            "Resource": "*"
        }
    ]
}

Weitere Informationen zur Konfiguration einer Auftragsausführung für die Übertragung von Protokollen an Amazon S3 finden Sie unter Konfiguration einer Auftragsausführung zur Verwendung von S3-Protokollen und Konfiguration einer Auftragsausführung zur Verwendung von CloudWatch Protokollen. CloudWatch