Control del acceso a las plantillas de trabajos
La política de StartJobRun le permite imponer que un usuario o un rol solo pueda ejecutar trabajos mediante las plantillas de trabajo que usted especifique y no puede ejecutar operaciones StartJobRun sin usar las plantillas de trabajo especificadas. Para ello, primero asegúrese de conceder al usuario o rol un permiso de lectura para las plantillas de trabajos especificadas, tal y como se muestra a continuación.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "emr-containers:DescribeJobTemplate", "Resource": [ "job_template_1_arn", "job_template_2_arn", ... ] } ] }
Para garantizar que un usuario o rol solo pueda invocar una operación StartJobRun cuando utilice plantillas de trabajo específicas, puede asignar el siguiente permiso de política de StartJobRun a un usuario o rol determinado.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "emr-containers:StartJobRun", "Resource": [ "virtual_cluster_arn", ], "Condition": [ "StringEquals": { "emr-containers:JobTemplateArn": [ "job_template_1_arn", "job_template_2_arn", ... ] } ] } } ] }
Si la plantilla de trabajo especifica un parámetro de plantilla de trabajo dentro del campo ARN del rol de ejecución, el usuario podrá proporcionar un valor para este parámetro y, por lo tanto, podrá invocar StartJobRun mediante un rol de ejecución arbitrario. Para restringir los roles de ejecución que el usuario puede proporcionar, consulte Controlar el acceso al rol de ejecución en Uso de roles de ejecución de trabajos con Amazon EMR en EKS.
Si no se especifica ninguna condición en la política de acción StartJobRun anterior para un usuario o rol determinado, el usuario o el rol podrán invocar una acción StartJobRun en el clúster virtual especificado con una plantilla de trabajo arbitraria a la que tengan acceso de lectura o mediante un rol de ejecución arbitrario.
