Verwenden von serviceverknüpften Rollen für Amazon EMR zur Bereinigung - Amazon EMR
Verwenden von Rollen, die mit Services verknüpft sind, für die BereinigungEine servicebezogene Rolle für Amazon erstellen EMRBearbeitung einer serviceverknüpften Rolle für Amazon EMRLöschen einer serviceverknüpften Rolle für Amazon EMRUnterstützte Regionen für AWSServiceRoleForEMRCleanup

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für Amazon EMR zur Bereinigung

Amazon EMR verwendet serviceverknüpfte Rollen AWS Identity and Access Management (IAM). Eine servicebezogene Rolle ist ein einzigartiger IAM Rollentyp, der direkt mit Amazon EMR verknüpft ist. Servicebezogene Rollen sind von Amazon vordefiniert EMR und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Serviceverknüpfte Rollen arbeiten mit der EMR Amazon-Servicerolle und dem EC2 Amazon-Instanzprofil für Amazon EMR zusammen. Weitere Informationen über die Service-Rolle und das Instance-Profil finden Sie unter IAMServicerollen für EMR Amazon-Berechtigungen für AWS Dienste und Ressourcen konfigurieren.

Eine serviceverknüpfte Rolle EMR erleichtert die Einrichtung von Amazon, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon EMR definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, EMR kann nur Amazon seine Rollen übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen IAM Entität zugeordnet werden.

Sie können diese serviceverknüpfte Rolle für Amazon EMR erst löschen, nachdem Sie alle zugehörigen Ressourcen gelöscht und alle EMR Cluster im Konto beendet haben. Dadurch werden Ihre EMR Amazon-Ressourcen geschützt, sodass Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.

Verwenden von Rollen, die mit Services verknüpft sind, für die Bereinigung

Amazon EMR verwendet die servicebasierte AWSServiceRoleForEMRCleanupRolle, um Amazon die EMR Erlaubnis zu erteilen, EC2 Amazon-Ressourcen in Ihrem Namen zu beenden und zu löschen, falls die mit dem EMR Amazon-Dienst verknüpfte Rolle diese Funktion verliert. Amazon EMR erstellt die serviceverknüpfte Rolle automatisch während der Clustererstellung, sofern sie noch nicht vorhanden ist.

Die AWSServiceRoleForEMRCleanup serviceverknüpfte Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:

  • elasticmapreduce.amazonaws.com

Die Richtlinie für AWSServiceRoleForEMRCleanup servicebezogene Rollenberechtigungen ermöglicht es AmazonEMR, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:

  • Aktion: DescribeInstances für ec2

  • Aktion: DescribeSpotInstanceRequests für ec2

  • Aktion: ModifyInstanceAttribute für ec2

  • Aktion: TerminateInstances für ec2

  • Aktion: CancelSpotInstanceRequests für ec2

  • Aktion: DeleteNetworkInterface für ec2

  • Aktion: DescribeInstanceAttribute für ec2

  • Aktion: DescribeVolumeStatus für ec2

  • Aktion: DescribeVolumes für ec2

  • Aktion: DetachVolume für ec2

  • Aktion: DeleteVolume für ec2

Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann.

Eine servicebezogene Rolle für Amazon erstellen EMR

Sie müssen die AWSServiceRoleForEMRCleanup Rolle nicht manuell erstellen. Wenn Sie einen Cluster starten, entweder zum ersten Mal oder wenn die AWSServiceRoleForEMRCleanup serviceverknüpfte Rolle nicht vorhanden ist, EMR erstellt Amazon die AWSServiceRoleForEMRCleanup serviceverknüpfte Rolle für Sie. Sie müssen über die erforderlichen Berechtigungen verfügen, um eine serviceverknüpfte Rolle zu erstellen. Eine Beispielanweisung, mit der diese Funktion zur Berechtigungsrichtlinie einer IAM Entität (z. B. eines Benutzers, einer Gruppe oder Rolle) hinzugefügt wird, finden Sie unterVerwenden von serviceverknüpften Rollen für Amazon EMR zur Bereinigung.

Wichtig

Wenn Sie Amazon EMR vor dem 24. Oktober 2017 verwendet haben, als serviceverknüpfte Rollen nicht unterstützt wurden, EMR hat Amazon die AWSServiceRoleForEMRCleanup serviceverknüpfte Rolle in Ihrem Konto erstellt. Weitere Informationen finden Sie unter Eine neue Rolle wurde in meinem IAM Konto angezeigt.

Bearbeitung einer serviceverknüpften Rolle für Amazon EMR

Amazon erlaubt Ihnen EMR nicht, die AWSServiceRoleForEMRCleanup serviceverknüpfte Rolle zu bearbeiten. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der serviceverknüpften Rolle nicht mehr ändern, da verschiedene Entitäten möglicherweise auf die serviceverknüpfte Rolle verweisen. Sie können die Beschreibung der dienstbezogenen Rolle jedoch mithilfe von bearbeiten. IAM

Beschreibung einer dienstbezogenen Rolle bearbeiten (Konsole) IAM

Sie können die IAM Konsole verwenden, um die Beschreibung einer dienstbezogenen Rolle zu bearbeiten.

So bearbeiten Sie die Beschreibung einer serviceverknüpften Rolle (Konsole)

  1. Wählen Sie im Navigationsbereich der IAM Konsole die Option Rollen aus.

  2. Wählen Sie den Namen der zu ändernden Rolle.

  3. Wählen Sie neben Rollenbeschreibung rechts Bearbeiten aus.

  4. Geben Sie eine neue Beschreibung im Dialogfeld ein und wählen Sie Save changes (Änderungen speichern).

Bearbeiten einer mit einem Dienst verknüpften Rollenbeschreibung () IAM CLI

Sie können IAM Befehle von verwenden AWS Command Line Interface , um die Beschreibung einer dienstbezogenen Rolle zu bearbeiten.

Um die Beschreibung einer dienstbezogenen Rolle zu ändern () CLI

  1. (Optional) Um die aktuelle Beschreibung einer Rolle anzuzeigen, verwenden Sie die folgenden Befehle:

    $ aws iam get-role --role-name role-name

    Verwenden Sie den Rollennamen, nicht denARN, um mit den CLI Befehlen auf Rollen zu verweisen. Wenn eine Rolle beispielsweise Folgendes hatARN:arn:aws:iam::123456789012:role/myrole, bezeichnen Sie die Rolle alsmyrole.

  2. Um die Beschreibung einer serviceverknüpften Rolle zu aktualisieren, verwenden Sie einen der folgenden Befehle:

    $ aws iam update-role-description --role-name role-name --description description

Bearbeiten einer mit einem Dienst verknüpften Rollenbeschreibung () IAM API

Sie können den verwenden IAMAPI, um die Beschreibung einer dienstbezogenen Rolle zu bearbeiten.

Um die Beschreibung einer dienstbezogenen Rolle zu ändern () API

  1. (Optional) Um die aktuelle Beschreibung einer Rolle anzuzeigen, verwenden Sie den folgenden Befehl:

    IAM API: GetRole

  2. Um die Beschreibung einer Rolle zu aktualisieren, verwenden Sie den folgenden Befehl:

    IAM API: UpdateRoleDescription

Löschen einer serviceverknüpften Rolle für Amazon EMR

Wenn Sie eine Funktion oder einen Dienst nicht mehr verwenden müssen, für den eine dienstbezogene Rolle erforderlich ist, empfehlen wir Ihnen, diese dienstbezogene Rolle zu löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie löschen können.

Bereinigen einer serviceverknüpften Rolle

Bevor Sie eine dienstverknüpfte Rolle löschen könnenIAM, müssen Sie zunächst sicherstellen, dass die dienstverknüpfte Rolle keine aktiven Sitzungen hat, und alle Ressourcen entfernen, die von der dienstbezogenen Rolle verwendet werden.

Um zu überprüfen, ob die dienstverknüpfte Rolle über eine aktive Sitzung in der Konsole verfügt IAM

  1. Öffnen Sie die IAM Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich Rollen aus. Wählen Sie den Namen (nicht das Kontrollkästchen) der AWSServiceRoleForEMRCleanup serviceverknüpften Rolle aus.

  3. Wählen Sie auf der Übersichtsseite für die ausgewählte dienstverknüpfte Rolle Access Advisor aus.

  4. Überprüfen Sie auf der Registerkarte Access Advisor (Advisor aufrufen) die jüngsten Aktivitäten für die serviceverknüpfte Rolle.

    Anmerkung

    Wenn Sie sich nicht sicher sind, ob Amazon EMR die AWSServiceRoleForEMRCleanup serviceverknüpfte Rolle verwendet, können Sie versuchen, die serviceverknüpfte Rolle zu löschen. Wenn der Service die serviceverknüpfte Rolle verwendet, schlägt das Löschen fehl und Sie können die Regionen anzeigen, in denen die serviceverknüpfte Rolle verwendet wird. Wenn die dienstverknüpfte Rolle verwendet wird, müssen Sie warten, bis die Sitzung beendet ist, bevor Sie die dienstverknüpfte Rolle löschen können. Die Sitzung für eine serviceverknüpfte Rolle können Sie nicht widerrufen.

Um EMR Amazon-Ressourcen zu entfernen, die verwendet werden von AWSServiceRoleForEMRCleanup

Löschen einer serviceverknüpften Rolle (IAMKonsole)

Sie können die IAM Konsole verwenden, um eine dienstverknüpfte Rolle zu löschen.

So löschen Sie eine serviceverknüpfte Rolle (Konsole)

  1. Öffnen Sie die IAM Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich Rollen aus. Aktivieren Sie das Kontrollkästchen neben AWSServiceRoleForEMRCleanup, nicht den Namen oder die Zeile selbst.

  3. Wählen Sie für Role actions oben auf der Seite Delete role aus.

  4. Überprüfen Sie im Bestätigungsdialogfeld die Daten, auf die der Dienst zuletzt zugegriffen hat. Aus diesen Daten geht hervor, wann jede der ausgewählten Rollen zuletzt auf einen AWS Dienst zugegriffen hat. Auf diese Weise können Sie leichter bestätigen, ob die Rolle derzeit aktiv ist. Wählen Sie Yes, Delete, um fortzufahren.

  5. Sehen Sie sich die IAM Konsolenbenachrichtigungen an, um den Fortschritt beim Löschen der dienstbezogenen Rolle zu verfolgen. Da das Löschen der IAM dienstbezogenen Rolle asynchron erfolgt, kann die Löschaufgabe erfolgreich sein oder fehlschlagen, nachdem Sie die dienstverknüpfte Rolle zum Löschen eingereicht haben. Wenn der Vorgang fehlschlägt, können Sie in den Benachrichtigungen View details oder View Resources auswählen, um zu erfahren, warum die Löschung fehlgeschlagen ist. Wenn das Löschen fehlschlägt, weil der Service Ressourcen enthält, die von der Rolle verwendet werden, enthält die Angabe des Fehlergrundes eine Liste der Ressourcen.

Löschen einer serviceverknüpften Rolle () IAM CLI

Sie können IAM Befehle von verwenden, AWS Command Line Interface um eine dienstverknüpfte Rolle zu löschen. Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Wenn diese Bedingungen nicht erfüllt sind, kann diese Anforderung verweigert werden.

Um eine dienstverknüpfte Rolle zu löschen () CLI

  1. Sie benötigen die deletion-task-id aus der Antwort, um den Status der Löschaufgabe zu überprüfen. Geben Sie den folgenden Befehl ein, um eine Löschanforderung für eine serviceverknüpfte Rolle zu übermitteln:

    $ aws iam delete-service-linked-role --role-name AWSServiceRoleForEMRCleanup

  2. Geben Sie den folgenden Befehl ein, um den Status der Löschaufgabe zu überprüfen:

    $ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id

    Der Status der Löschaufgabe kann NOT_STARTED, IN_PROGRESS, SUCCEEDED oder FAILED lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können.

Löschen einer dienstverknüpften Rolle () IAM API

Sie können die verwenden IAMAPI, um eine dienstverknüpfte Rolle zu löschen. Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Wenn diese Bedingungen nicht erfüllt sind, kann diese Anforderung verweigert werden.

Um eine dienstverknüpfte Rolle zu löschen () API

  1. Rufen Sie an, um eine Löschanfrage für eine dienstverknüpfte Rolle einzureichen. DeleteServiceLinkedRole Geben Sie in der Anfrage den AWSServiceRoleForEMRCleanup Rollennamen an.

    Sie benötigen die DeletionTaskId aus der Antwort, um den Status der Löschaufgabe zu überprüfen.

  2. Rufen Sie an, um den Status des Löschvorgangs zu überprüfen GetServiceLinkedRoleDeletionStatus. Geben Sie in der Anforderung die DeletionTaskId an.

    Der Status der Löschaufgabe kann NOT_STARTED, IN_PROGRESS, SUCCEEDED oder FAILED lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können.

Unterstützte Regionen für AWSServiceRoleForEMRCleanup

Amazon EMR unterstützt die Nutzung der AWSServiceRoleForEMRCleanup serviceverknüpften Rolle in den folgenden Regionen.

Name der Region Regions-ID Support bei Amazon EMR
USA Ost (Nord-Virginia) us-east-1 Ja
USA Ost (Ohio) us-east-2 Ja
USA West (Nordkalifornien) us-west-1 Ja
USA West (Oregon) us-west-2 Ja
Asien-Pazifik (Mumbai) ap-south-1 Ja
Asien-Pazifik (Osaka) ap-northeast-3 Ja
Asien-Pazifik (Seoul) ap-northeast-2 Ja
Asien-Pazifik (Singapore) ap-southeast-1 Ja
Asien-Pazifik (Sydney) ap-southeast-2 Ja
Asien-Pazifik (Tokyo) ap-northeast-1 Ja
Kanada (Zentral) ca-central-1 Ja
Europa (Frankfurt) eu-central-1 Ja
Europa (Ireland) eu-west-1 Ja
Europa (London) eu-west-2 Ja
Europa (Paris) eu-west-3 Ja
Südamerika (São Paulo) sa-east-1 Ja