Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Von Amazon EMR verwaltete Richtlinien
Der einfachste Weg, vollen Zugriff oder nur Lesezugriff auf erforderliche EMR Amazon-Aktionen zu gewähren, besteht darin, die IAM verwalteten Richtlinien für Amazon zu verwenden. EMR Verwaltete Richtlinien haben den Vorteil, automatisch aktualisiert zu werden, wenn sich die Berechtigungsanforderungen ändern. Wenn Sie eingebundene Richtlinien verwenden, können Service-Veränderungen auftreten, die zu Berechtigungsfehlern führen.
Amazon EMR wird bestehende verwaltete Richtlinien (v1-Richtlinien) zugunsten neuer verwalteter Richtlinien (v2-Richtlinien) ablehnen. Die neuen verwalteten Richtlinien wurden im Hinblick auf bewährte Verfahren heruntergestuft. AWS Sobald die bestehenden verwalteten Richtlinien der Version 1 veraltet sind, können Sie diese Richtlinien keinen neuen Rollen oder Benutzern mehr zuordnen. IAM Bestehende Rollen und Benutzer, die veraltete Richtlinien verwenden, können diese weiterhin verwenden. Die verwalteten v2-Richtlinien schränken den Zugriff mithilfe von Tags ein. Sie lassen nur bestimmte EMR Amazon-Aktionen zu und benötigen Cluster-Ressourcen, die mit einem EMR -spezifischen Schlüssel gekennzeichnet sind. Wir empfehlen Ihnen, die Dokumentation sorgfältig zu lesen, bevor Sie die neuen v2-Richtlinien verwenden.
Die v1-Richtlinien werden in der Richtlinienliste in der Konsole mit einem Warnsymbol neben ihnen als veraltet markiert. IAM Die veralteten Richtlinien werden die folgenden Merkmale aufweisen:
-
Sie werden unverändert für alle gegenwärtig angefügten Benutzer, Gruppen und Rollen funktionsfähig. Alles funktioniert normal.
-
Sie können nicht neuen Benutzern, Gruppen oder Rollen angefügt werden. Wenn Sie eine der Richtlinien von einer gegenwärtigen Entität trennen, können Sie sie nicht wieder anfügen.
-
Nachdem Sie eine v1-Richtlinie von allen aktuellen Entitäten getrennt haben, ist die Richtlinie nicht mehr sichtbar und kann nicht mehr verwendet werden.
In der folgenden Tabelle werden die Änderungen zwischen den aktuellen Richtlinien (v1) und v2-Richtlinien zusammengefasst.
Richtlinientyp | Richtliniennamen | Zweck der Richtlinie | Änderungen der v2-Richtlinie |
---|---|---|---|
EMRStandard-Servicerolle und angehängte verwaltete Richtlinie |
Rollenname: EMR_ DefaultRole V1-Richtlinie (wird nicht mehr unterstützt): AmazonElasticMapReduceRole(EMRServicerolle) V2-Richtlinienname (mit eingeschränktem Geltungsbereich): AmazonEMRServicePolicy_v2 |
Ermöglicht AmazonEMR, andere AWS Services in Ihrem Namen aufzurufen, wenn Ressourcen bereitgestellt und Service-Level-Aktionen ausgeführt werden. Diese Rolle ist für alle Cluster erforderlich. |
Die Richtlinie fügt die neue Berechtigung hinzu. |
IAMverwaltete Richtlinie für vollen EMR Amazon-Zugriff nach angehängtem Benutzer, Rolle oder Gruppe |
V2-Richtlinienname (mit Geltungsbereich): AmazonEMRServicePolicy_v2 |
Erlaubt Benutzern volle Berechtigungen für EMR Aktionen. Beinhaltet iam: PassRole -Berechtigungen für Ressourcen. |
Die Richtlinie setzt voraus, dass Benutzer Benutzer-Tags zu Ressourcen hinzufügen müssen, bevor sie diese Richtlinie verwenden können. Siehe Taggen von Ressourcen zur Verwendung verwalteter Richtlinien. Für die PassRole Aktion iam: muss die PassedToService Bedingung iam: auf den angegebenen Dienst gesetzt sein. Der Zugriff auf AmazonEC2, Amazon S3 und andere Dienste ist standardmäßig nicht erlaubt. Siehe IAMVerwaltete Richtlinie für vollen Zugriff (verwaltete Standardrichtlinie v2). |
IAMverwaltete Richtlinie für schreibgeschützten Zugriff durch zugeordnete Benutzer, Rollen oder Gruppen |
V1-Richtlinie (wird veraltet): AmazonElasticMapReduceReadOnlyAccess V2-Richtlinienname (mit Geltungsbereich): AmazonEMRReadOnlyAccessPolicy_v2 |
Erlaubt Benutzern nur Leseberechtigungen für EMR Amazon-Aktionen. |
Mit Berechtigungen können nur bestimmte schreibgeschützte ElasticMapReduce-Aktionen ausgeführt werden. Der Zugriff auf Amazon S3 ist standardmäßig nicht zulässig. Siehe IAMVerwaltete Richtlinie für schreibgeschützten Zugriff (v2 Verwaltete Standardrichtlinie). |
EMRStandard-Servicerolle und angehängte verwaltete Richtlinie |
Rollenname: EMR_ DefaultRole V1-Richtlinie (wird nicht mehr unterstützt): AmazonElasticMapReduceRole(EMRServicerolle) V2-Richtlinienname (mit eingeschränktem Geltungsbereich): AmazonEMRServicePolicy_v2 |
Ermöglicht AmazonEMR, andere AWS Services in Ihrem Namen aufzurufen, wenn Ressourcen bereitgestellt und Service-Level-Aktionen ausgeführt werden. Diese Rolle ist für alle Cluster erforderlich. |
Die v2-Servicerolle und die v2-Standardrichtlinie ersetzen die veraltete Rolle und Richtlinie. Die Richtlinie setzt voraus, dass Benutzer Benutzer-Tags zu Ressourcen hinzufügen müssen, bevor sie diese Richtlinie verwenden können. Siehe Taggen von Ressourcen zur Verwendung verwalteter Richtlinien. Siehe Servicerolle für Amazon EMR (EMRRolle). |
Servicerolle für EC2 Cluster-Instances (EC2Instance-Profil) |
Rollenname: EMR_ EC2 _ DefaultRole Veralteter Richtlinienname: AmazonElasticMapReduceforEC2Role |
Ermöglicht Anwendungen, die auf einem EMR Cluster ausgeführt werden, auf andere AWS Ressourcen wie Amazon S3 zuzugreifen. Wenn Sie beispielsweise Apache-Spark-Aufträge ausführen, die Daten von Amazon S3 verarbeiten, muss die Richtlinie den Zugriff auf solche Ressourcen zulassen. |
Sowohl die Standardrolle als auch die Standardrichtlinie werden demnächst veraltet sein. Es gibt keinen Ersatz für eine verwaltete AWS Standardrolle oder -richtlinie. Sie müssen eine ressourcen- oder identitätsbasierte Richtlinie bereitstellen. Das bedeutet, dass Anwendungen, die auf einem EMR Cluster ausgeführt werden, standardmäßig keinen Zugriff auf Amazon S3 oder andere Ressourcen haben, es sei denn, Sie fügen diese manuell zur Richtlinie hinzu. Siehe Standardrolle und verwaltete Richtlinie. |
Andere Richtlinien EC2 für Servicerollen |
Aktuelle Richtliniennamen: AmazonElasticMapReduceforAutoScalingRole AmazonElasticMapReduceEditorsRole,, mazonEMRCleanup A-Richtlinie |
Stellt Berechtigungen bereit, die Amazon EMR benötigt, um auf andere AWS Ressourcen zuzugreifen und Aktionen auszuführen, wenn Auto Scaling, Notebooks oder EC2 Ressourcen bereinigt werden. |
Keine Änderungen für Version 2. |
Sicherung von iam: PassRole
Die standardmäßigen verwalteten Richtlinien von Amazon mit EMR vollen Berechtigungen beinhalten iam:PassRole
Sicherheitskonfigurationen, darunter die folgenden:
iam:PassRole
Berechtigungen nur für bestimmte EMR Amazon-Standardrollen.iam:PassedToService
Bedingungen, die es Ihnen ermöglichen, die Richtlinie nur mit bestimmten AWS Diensten zu verwenden, z. B.elasticmapreduce.amazonaws.com
undec2.amazonaws.com
.
Sie können die JSON Version der Richtlinien A mazonEMRFull AccessPolicy _v2 und A mazonEMRService
Wenn Sie benutzerdefinierte Richtlinien erstellen müssen, empfehlen wir ihnen, mit verwalteten Richtlinien zu beginnen und diese entsprechend Ihren Anforderungen zu bearbeiten.
Informationen zum Anhängen von Richtlinien an Benutzer (Prinzipale) finden Sie unter Arbeiten mit verwalteten Richtlinien mithilfe von AWS Management Console im Benutzerhandbuch. IAM
Taggen von Ressourcen zur Verwendung verwalteter Richtlinien
A mazonEMRService Policy_v2 und A mazonEMRFull AccessPolicy _v2 hängen vom begrenzten Zugriff auf Ressourcen ab, die Amazon bereitstellt oder verwendet. EMR Der eingeschränkte Umfang wird dadurch erreicht, dass der Zugriff nur auf die Ressourcen beschränkt wird, denen ein vordefiniertes Benutzer-Tag zugeordnet ist. Wenn Sie eine dieser beiden Richtlinien verwenden, müssen Sie bei der Bereitstellung des Clusters das vordefinierte Benutzer-Tag for-use-with-amazon-emr-managed-policies =
true
übergeben. Amazon EMR verbreitet dieses Tag dann automatisch. Darüber hinaus müssen Sie den im folgenden Abschnitt aufgelisteten Ressourcen ein Benutzer-Tag hinzufügen. Wenn Sie die EMR Amazon-Konsole verwenden, um Ihren Cluster zu starten, finden Sie weitere Informationen unterÜberlegungen zur Verwendung der EMR Amazon-Konsole zum Starten von Clustern mit verwalteten v2-Richtlinien.
Um verwaltete Richtlinien zu verwenden, übergeben Sie das Benutzer-Tag, for-use-with-amazon-emr-managed-policies = true
wenn Sie einen Cluster mit der CLISDK, oder einer anderen Methode bereitstellen.
Wenn Sie das Tag übergeben, gibt Amazon das EMR Tag an das private SubnetzENI, die EC2 Instance und die von Amazon erstellten EBS Volumes weiter. Amazon EMR markiert auch automatisch Sicherheitsgruppen, die es erstellt. Wenn Sie jedoch möchten, dass Amazon EMR mit einer bestimmten Sicherheitsgruppe startet, müssen Sie sie taggen. Für Ressourcen, die nicht von Amazon erstellt wurdenEMR, müssen Sie diesen Ressourcen Tags hinzufügen. Sie müssen beispielsweise EC2 Amazon-Subnetze, EC2 Sicherheitsgruppen (falls nicht von Amazon erstelltEMR) und VPCs (wenn Amazon Sicherheitsgruppen erstellen EMR soll) taggen. Um Cluster mit verwalteten v2-Richtlinien zu startenVPCs, müssen Sie diese VPCs mit dem vordefinierten Benutzertag kennzeichnen. Siehe Überlegungen zur Verwendung der EMR Amazon-Konsole zum Starten von Clustern mit verwalteten v2-Richtlinien.
Weiterverbreitetes benutzerdefiniertes Tagging
Amazon EMR kennzeichnet Ressourcen, die es mit den EMR Amazon-Tags erstellt, die Sie bei der Erstellung eines Clusters angeben. Amazon EMR wendet Tags auf die Ressourcen an, die es während der Lebensdauer des Clusters erstellt.
Amazon EMR verbreitet Benutzer-Tags für die folgenden Ressourcen:
-
Privates Subnetz ENI (elastische Netzwerkschnittstellen für Servicezugriff)
-
EC2Instanzen
-
EBSVolumen
-
EC2Vorlage starten
Automatisch getaggte Sicherheitsgruppen
Amazon EMR EC2 kennzeichnet Sicherheitsgruppen, die es erstellt, mit dem Tag, das für verwaltete v2-Richtlinien für Amazon erforderlich ist EMRfor-use-with-amazon-emr-managed-policies
, unabhängig davon, welche Tags Sie im Befehl create cluster angeben. Für eine Sicherheitsgruppe, die vor der Einführung der verwalteten v2-Richtlinien erstellt wurde, kennzeichnet Amazon die Sicherheitsgruppe EMR nicht automatisch. Wenn Sie verwaltete v2-Richtlinien mit den Standardsicherheitsgruppen verwenden möchten, die bereits im Konto vorhanden sind, müssen Sie die Sicherheitsgruppen manuell mit for-use-with-amazon-emr-managed-policies = true
taggen.
Manuell getaggte Clusterressourcen
Sie müssen einige Cluster-Ressourcen manuell taggen, damit auf sie mit EMR Amazon-Standardrollen zugegriffen werden kann.
-
Sie müssen EC2 Sicherheitsgruppen und EC2 Subnetze manuell mit dem von Amazon EMR verwalteten Richtlinien-Tag kennzeichnen
for-use-with-amazon-emr-managed-policies
. -
Sie müssen a manuell kennzeichnen, VPC wenn Amazon Standardsicherheitsgruppen erstellen EMR soll. EMRwird versuchen, eine Sicherheitsgruppe mit dem spezifischen Tag zu erstellen, falls die Standardsicherheitsgruppe noch nicht existiert.
Amazon EMR kennzeichnet automatisch die folgenden Ressourcen:
-
EMR-erstellte EC2 Sicherheitsgruppen
Sie müssen die folgenden Ressourcen manuell taggen:
-
EC2Subnetz
-
EC2Sicherheitsgruppen
Optional können Sie die folgenden Ressourcen manuell taggen:
-
VPC- nur wenn Sie möchtenEMR, dass Amazon Sicherheitsgruppen erstellt
Überlegungen zur Verwendung der EMR Amazon-Konsole zum Starten von Clustern mit verwalteten v2-Richtlinien
Sie können Cluster mit verwalteten v2-Richtlinien mithilfe der EMR Amazon-Konsole bereitstellen. Im Folgenden finden Sie einige Überlegungen, wenn Sie die Konsole zum Starten von EMR Amazon-Clustern verwenden.
-
Sie müssen das vordefinierte Tag nicht übergeben. Amazon fügt das Tag EMR automatisch hinzu und leitet es an die entsprechenden Komponenten weiter.
-
Bei Komponenten, die manuell markiert werden müssen, versucht die alte EMR Amazon-Konsole, sie automatisch zu kennzeichnen, sofern Sie über die erforderlichen Berechtigungen zum Taggen von Ressourcen verfügen. Wenn Sie nicht über die Berechtigungen verfügen, Ressourcen zu taggen, oder wenn Sie die Konsole verwenden möchten, bitten Sie Ihren Administrator, diese Ressourcen zu taggen.
-
Sie können Cluster mit verwalteten v2-Richtlinien nur starten, wenn alle Voraussetzungen erfüllt sind.
-
Die alte EMR Amazon-Konsole zeigt Ihnen, welche Ressourcen (VPC/Subnetze) markiert werden müssen.
AWS verwaltete Richtlinien für Amazon EMR
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie kundenverwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien.