Führen Sie einen EMR Studio-Workspace mit einer Runtime-Rolle aus - Amazon EMR
Erteilen Sie BerechtigungenStarten Sie einen Cluster.Verwenden Sie den Cluster mit Ihrem WorkspaceÜberlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Führen Sie einen EMR Studio-Workspace mit einer Runtime-Rolle aus

Anmerkung

Die auf dieser Seite beschriebene Runtime-Rollenfunktionalität gilt nur für Amazon, die auf Amazon EMR ausgeführt wirdEC2, und bezieht sich nicht auf die Runtime-Rollenfunktionalität in EMR serverlosen interaktiven Anwendungen. Weitere Informationen zur Verwendung von Runtime-Rollen in EMR Serverless finden Sie unter Job Runtime Roles im Amazon EMR Serverless User Guide.

Eine Runtime-Rolle ist eine AWS Identity and Access Management (IAM) -Rolle, die Sie angeben können, wenn Sie einen Job oder eine Anfrage an einen EMR Amazon-Cluster senden. Der Job oder die Abfrage, die Sie an Ihren EMR Cluster senden, verwendet die Runtime-Rolle, um auf AWS Ressourcen wie Objekte in Amazon S3 zuzugreifen.

Wenn Sie einen EMR Studio-Arbeitsbereich an einen EMR Cluster anhängen, der Amazon EMR 6.11 oder höher verwendet, können Sie eine Runtime-Rolle für den Job oder die Abfrage auswählen, die Sie einreichen, um sie beim Zugriff auf Ressourcen zu verwenden. AWS Wenn der EMR Cluster jedoch keine Runtime-Rollen unterstützt, übernimmt der EMR Cluster die Rolle nicht, wenn er auf Ressourcen zugreift AWS .

Bevor Sie eine Runtime-Rolle mit einem Amazon EMR Studio-Workspace verwenden können, muss ein Administrator Benutzerberechtigungen so konfigurieren, dass der Studio-Benutzer die elasticmapreduce:GetClusterSessionCredentials API On-the-Runtime-Rolle aufrufen kann. Starten Sie dann einen neuen Cluster mit einer Runtime-Rolle, die Sie mit Ihrem Amazon EMR Studio Workspace verwenden können.

Konfigurieren Sie Benutzerberechtigungen für die Laufzeit-Rolle

Konfigurieren Sie Benutzerberechtigungen, sodass der Studio-Benutzer die elasticmapreduce:GetClusterSessionCredentials API Runtime-Rolle aufrufen kann, die der Benutzer verwenden möchte. Sie müssen auch EMRStudio-Benutzerberechtigungen für Amazon EC2 oder Amazon konfigurieren EKS konfigurieren, bevor der Benutzer Studio verwenden kann.

Warnung

Um diese Berechtigung zu erteilen, erstellen Sie eine auf dem elasticmapreduce:ExecutionRoleArn Kontextschlüssel basierende Bedingung, wenn Sie einem Anrufer Zugriff auf den GetClusterSessionCredentials APIs gewähren. Das folgende Beispiel veranschaulicht die Vorgehensweise hierfür.

{
      "Sid": "AllowSpecificExecRoleArn",
      "Effect": "Allow",
      "Action": [
          "elasticmapreduce:GetClusterSessionCredentials"
      ],
      "Resource": "*",
      "Condition": {
          "StringEquals": {
              "elasticmapreduce:ExecutionRoleArn": [
                  "arn:aws:iam::111122223333:role/test-emr-demo1",
                  "arn:aws:iam::111122223333:role/test-emr-demo2"
              ]
          }
      }
  }

Das folgende Beispiel zeigt, wie einem IAM Prinzipal die Verwendung einer IAM Rolle mit dem Namen test-emr-demo3 Runtime-Rolle ermöglicht wird. Darüber hinaus kann der Versicherungsnehmer nur mit der Cluster-ID auf EMR Amazon-Cluster zugreifenj-123456789.

{
    "Sid":"AllowSpecificExecRoleArn",
    "Effect":"Allow",
    "Action":[
        "elasticmapreduce:GetClusterSessionCredentials"
    ],
    "Resource": [
          "arn:aws:elasticmapreduce:<region>:111122223333:cluster/j-123456789"
     ],
    "Condition":{
        "StringEquals":{
            "elasticmapreduce:ExecutionRoleArn":[
                "arn:aws:iam::111122223333:role/test-emr-demo3"
            ]
        }
    }
}

Im folgenden Beispiel kann ein IAM Principal jede IAM Rolle, deren Name mit der Zeichenfolge beginnt, test-emr-demo4 als Laufzeitrolle verwenden. Darüber hinaus kann der Versicherungsnehmer nur auf EMR Amazon-Cluster zugreifen, die mit dem Schlüssel-Wert-Paar gekennzeichnet sind. tagKey: tagValue

{
    "Sid":"AllowSpecificExecRoleArn",
    "Effect":"Allow",
    "Action":[
        "elasticmapreduce:GetClusterSessionCredentials"
    ],
    "Resource": "*",
    "Condition":{
        "StringEquals":{
             "elasticmapreduce:ResourceTag/tagKey": "tagValue"
        },
        "StringLike":{
            "elasticmapreduce:ExecutionRoleArn":[
                "arn:aws:iam::111122223333:role/test-emr-demo4*"
            ]
        }
    }
}

Starten Sie einen neuen Cluster mit einer Laufzeit-Rolle

Nachdem Sie über die erforderlichen Berechtigungen verfügen, starten Sie einen neuen Cluster mit einer Runtime-Rolle, die Sie mit Ihrem Amazon EMR Studio Workspace verwenden können.

Wenn Sie bereits einen neuen Cluster mit einer Laufzeit-Rolle gestartet haben, können Sie mit dem Abschnitt Verwenden Sie den EMR Cluster mit einer Runtime-Rolle in Workspaces fortfahren.

  1. Erfüllen Sie zunächst die Voraussetzungen im Abschnitt EMRSchritte zu Runtime-Rollen für Amazon.

  2. Starten Sie dann einen Cluster mit den folgenden Einstellungen, um Runtime-Rollen mit Amazon EMR Studio Workspaces zu verwenden. Anweisungen zum Start Ihres Clusters finden Sie unter Angabe einer Sicherheitskonfiguration für einen Cluster.

    • Wählen Sie für Release die Option emr-6.11.0 oder höher aus.

    • Wählen Sie Spark, Livy und Jupyter Enterprise Gateway als Ihre Cluster-Anwendungen aus.

    • Verwenden Sie die Sicherheitskonfiguration, die Sie im vorherigen Schritt erstellt haben.

    • Optional können Sie Lake Formation für Ihren EMR Cluster aktivieren. Weitere Informationen finden Sie unter Aktivieren Sie Lake Formation mit Amazon EMR.

Nachdem Sie Ihren Cluster gestartet haben, können Sie den Runtime-Cluster mit aktivierter Rolle und einem EMR Studio-Arbeitsbereich verwenden.

Anmerkung

Der ExecutionRoleArnWert wird derzeit bei der StartNotebookExecutionAPIOperation nicht unterstützt, obwohl der ExecutionEngineConfig.Type Wert EMR

Verwenden Sie den EMR Cluster mit einer Runtime-Rolle in Workspaces

Sobald Sie Ihren Cluster eingerichtet und gestartet haben, können Sie den rollenfähigen Runtime-Cluster mit Ihrem Studio Workspace verwenden. EMR

  1. Erstellen Sie einen neuen Workspace oder starten Sie einen vorhandenen Workspace. Weitere Informationen finden Sie unter Erstellen Sie einen EMR Studio-Arbeitsbereich.

  2. Wählen Sie in der linken Seitenleiste Ihres geöffneten Workspace die Registerkarte EMRCluster, erweitern Sie den Abschnitt Compute-Typ und wählen Sie Ihren Cluster aus dem EC2 Cluster-On-Menü und die EMR Runtime-Rolle aus dem Runtime-Rollenmenü aus.

    Die EMR Studio Workspace-Benutzeroberfläche basiert auf der JupyterLab Benutzeroberfläche und verfügt über mit Symbolen versehene Tabs in der linken Seitenleiste.

  3. Wählen Sie Anhängen, um den Cluster mit der Laufzeit-Rolle an Ihren Workspace anzuhängen.

Überlegungen

Beachten Sie die folgenden Überlegungen, wenn Sie einen rollenfähigen Runtime-Cluster mit Ihrem Amazon EMR Studio Workspace verwenden:

  • Sie können eine Runtime-Rolle nur auswählen, wenn Sie einen EMR Studio-Workspace an einen EMR Cluster anhängen, der Amazon EMR Version 6.11 oder höher verwendet.

  • Die auf dieser Seite beschriebene Runtime-Rollenfunktionalität wird nur unterstützt, wenn Amazon auf Amazon EMR läuftEC2, und nicht für EMR serverlose interaktive Anwendungen. Weitere Informationen zu Runtime-Rollen für EMR Serverless finden Sie unter Job Runtime Roles im Amazon EMR Serverless User Guide.

  • Sie müssen zwar zusätzliche Berechtigungen konfigurieren, bevor Sie eine Runtime-Rolle angeben können, wenn Sie einen Job an einen Cluster senden, aber Sie benötigen keine zusätzlichen Berechtigungen, um auf die von einem EMR Studio-Workspace generierten Dateien zuzugreifen. Die Berechtigungen für solche Dateien sind dieselben wie für Dateien, die aus Clustern ohne Laufzeit-Rollen generiert wurden.

  • Sie können SQL Explorer nicht in einem EMR Studio-Arbeitsbereich mit einem Cluster verwenden, der über eine Runtime-Rolle verfügt. Amazon EMR deaktiviert SQL Explorer in der Benutzeroberfläche, wenn ein Workspace an einen Runtime-Cluster mit aktivierter Rolle EMR angehängt ist.

  • Sie können den Kollaborationsmodus nicht in einem EMR Studio-Arbeitsbereich mit einem Cluster verwenden, der über eine Runtime-Rolle verfügt. Amazon EMR deaktiviert die Workspace-Kollaborationsfunktionen, wenn ein Workspace an einen rollenfähigen EMR Runtime-Cluster angehängt ist. Der Workspace bleibt nur für den Benutzer zugänglich, der den Workspace angehängt hat.

  • Sie können Runtime-Rollen nicht in einem Studio verwenden, in dem IAM Identity Center Trusted Identity Propagation aktiviert ist.

  • Möglicherweise wird die Warnung Die Seite ist möglicherweise nicht sicher! angezeigt von der Spark-Benutzeroberfläche für einen Laufzeit-Cluster mit aktivierter Rolle. In diesem Fall umgehen Sie die Warnung, um weiterhin die Spark-Benutzeroberfläche zu sehen.