Configuración del acceso entre cuentas - Amazon EMR

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del acceso entre cuentas

Para configurar el acceso multicuenta para EMR Serverless, complete los siguientes pasos. En el ejemplo, AccountA es la cuenta en la que creó la aplicación Amazon EMR Serverless y AccountB es la cuenta en la que se encuentra su Amazon DynamoDB.

  1. Cree una tabla DynamoDB en AccountB. Para obtener más información, consulte el Paso 1: cree una tabla.

  2. Cree un Cross-Account-Role-B IAM rol AccountB que pueda acceder a la tabla de DynamoDB.

    1. Inicie sesión en AWS Management Console y abra la IAM consola en. https://console.aws.amazon.com/iam/

    2. Elija Roles y cree un nuevo rol llamado Cross-Account-Role-B. Para obtener más información sobre cómo crear IAM roles, consulte Creación de IAM roles en la guía del usuario.

    3. Cree una IAM política que conceda permisos para acceder a la tabla multicuenta de DynamoDB. A continuación, adjunte la política aIAM. Cross-Account-Role-B

      A continuación se muestra una política que concede acceso a una tabla DynamoDB CrossAccountTable.

      {"Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": "dynamodb:*",
            "Resource": "arn:aws:dynamodb:region:AccountB:table/CrossAccountTable"
        }
    ]
}

    4. Edite la relación de confianza del rol Cross-Account-Role-B.

      Para configurar la relación de confianza para el rol, elija la pestaña Relaciones de confianza en la IAM consola para el rol que creó en el paso 2: Cross-Account-Role-B.

      Seleccione Editar relación de confianza y, a continuación, añada el siguiente documento de política. Este documento permite a Job-Execution-Role-A en AccountA asumir este rol Cross-Account-Role-B.

      {"Version": "2012-10-17",
  "Statement": [
    {"Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::AccountA:role/Job-Execution-Role-A"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    5. Conceda a Job-Execution-Role-A en AccountA permisos - STS Assume role para asumir Cross-Account-Role-B.

      En la IAM consola para Cuenta de AWS AccountA, seleccioneJob-Execution-Role-A. Agregue la siguiente instrucción de política al Job-Execution-Role-A para denegar la acción AssumeRole en el rol Cross-Account-Role-B.

      {"Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::AccountB:role/Cross-Account-Role-B"
        }
    ]
}

    6. Establezca la propiedad dynamodb.customAWSCredentialsProvider con un valor como com.amazonaws.emr.AssumeRoleAWSCredentialsProvider en la clasificación de sitios principales. Defina la variable de entorno ASSUME_ROLE_CREDENTIALS_ROLE_ARN con el ARN valor deCross-Account-Role-B.

  3. Ejecute el trabajo de Spark o Hive usando Job-Execution-Role-A.