Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Roles en tiempo de ejecución de trabajo para Amazon EMR sin servidor
Puede especificar los permisos del rol de IAM que una ejecución de trabajo de EMR sin servidor puede asumir cuando llame a otros servicios en su nombre. Esto incluye el acceso a Amazon S3 para cualquier fuente de datos, destino y otros AWS recursos, como los clústeres de Amazon Redshift y las tablas de DynamoDB. Para obtener más información acerca de cómo crear un rol, consulte Crear un rol de tiempo de ejecución del trabajo.
Políticas de tiempo de ejecución de ejemplo
Puede adjuntar una política de tiempo de ejecución, como la siguiente, a un rol de tiempo de ejecución de un trabajo. La siguiente política de tiempo de ejecución de trabajos permite:
-
Acceso de lectura a los buckets de Amazon S3 con ejemplos de EMR.
-
Acceso completo a los buckets de S3.
-
Cree y lea el acceso al catálogo de datos de AWS Glue.
Para añadir acceso a otros AWS recursos, como DynamoDB, tendrá que incluir sus permisos en la política al crear el rol de tiempo de ejecución.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadAccessForEMRSamples", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::*.elasticmapreduce", "arn:aws:s3:::*.elasticmapreduce/*" ] }, { "Sid": "FullAccessToS3Bucket", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::
amzn-s3-demo-bucket
", "arn:aws:s3:::amzn-s3-demo-bucket
/*" ] }, { "Sid": "GlueCreateAndReadDataCatalog", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:CreateDatabase", "glue:GetDataBases", "glue:CreateTable", "glue:GetTable", "glue:UpdateTable", "glue:DeleteTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:CreatePartition", "glue:BatchCreatePartition", "glue:GetUserDefinedFunctions" ], "Resource": ["*"] } ] }
Transferencia de los privilegios del rol
Puede asociar políticas de permisos de IAM al rol de usuario para permitir al usuario que transfiera solo los roles aprobados. Esto permite a los administradores controlar qué usuarios pueden transferir roles específicos de tiempo de ejecución de trabajos a trabajos de EMR sin servidor. Para obtener más información sobre la configuración de permisos, consulte Conceder permisos a un usuario para transferir un rol a un AWS servicio.
El siguiente es un ejemplo de política que permite transferir un rol de tiempo de ejecución de un trabajo a la entidad principal del servicio EMR sin servidor.
{ "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::1234567890:role/JobRuntimeRoleForEMRServerless", "Condition": { "StringLike": { "iam:PassedToService": "emr-serverless.amazonaws.com" } } }
Políticas de permisos gestionadas asociadas a los roles de tiempo de ejecución
Cuando envía ejecuciones de trabajos a EMR sin servidor a través de la consola de EMR Studio, hay un paso en el que elige un rol de tiempo de ejecución para asociarlo a su aplicación. Hay políticas gestionadas subyacentes asociadas a cada selección de la consola que es importante conocer. Las tres selecciones son las siguientes:
Todos los depósitos: si eliges esta opción, se especifica la política FullAccess AWS gestionada de AmazonS3, que proporciona acceso total a todos los depósitos.
Depósitos específicos: especifica el identificador del nombre de recurso de Amazon (ARN) de cada depósito que elijas. No se incluye una política gestionada subyacente.
Ninguno: no se incluye ningún permiso de política administrada.
Recomendamos añadir depósitos específicos. Si eliges todos los cubos, ten en cuenta que se establece el acceso total a todos los cubos.