Uso de roles vinculados a servicios para Amazon EMR en EKS - Amazon EMR
Permisos de roles vinculados a servicios para Amazon EMR en EKSCreación de un rol vinculado a servicios para Amazon EMR en EKSEdición de un rol vinculado a servicios para Amazon EMR en EKSEliminar un rol vinculado a servicios para Amazon EMR en EKSRegiones admitidas para los roles vinculados a servicios de Amazon EMR en EKS

Uso de roles vinculados a servicios para Amazon EMR en EKS

Amazon EMR en EKS utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a servicios es un tipo único de rol de IAM que se encuentra vinculado directamente a Amazon EMR en EKS. Los roles vinculados a servicios se encuentran predefinidos por Amazon EMR en EKS e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Un rol vinculado a servicios simplifica la configuración de Amazon EMR en EKS porque ya no tendrá que agregar de forma manual los permisos necesarios. Amazon EMR en EKS define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Amazon EMR en EKS puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Amazon EMR en EKS, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información acerca de otros servicios que son compatibles con roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Service-Linked Role (Rol vinculado a servicios). Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos de roles vinculados a servicios para Amazon EMR en EKS

Amazon EMR en ECS usa el rol vinculado al servicio denominado AWSServiceRoleForAmazonEMRContainers.

El rol vinculado al servicio AWSServiceRoleForAmazonEMRContainers depende de los siguientes servicios para asumir el rol:

  • emr-containers.amazonaws.com

La política de permisos del rol AmazonEMRContainersServiceRolePolicy permite que Amazon EMR en EKS lleve a cabo las siguientes acciones en los recursos especificados, tal como demuestra la siguiente instrucción de política.

nota

El contenido de las políticas administradas cambia, por lo que es posible que la política que mostramos aquí se haya quedado obsoleta. Puede ver la versión más actualizada de AmazonEMRContainersServiceRolePolicy en la AWS Management Console.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "eks:DescribeCluster",
                "eks:ListNodeGroups",
                "eks:DescribeNodeGroup",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "elasticloadbalancing:DescribeInstanceHealth",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeTargetGroups",
                "elasticloadbalancing:DescribeTargetHealth"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "acm:ImportCertificate",
                "acm:AddTagsToCertificate"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/emr-container:endpoint:managed-certificate": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "acm:DeleteCertificate"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/emr-container:endpoint:managed-certificate": "true"
                }
            }
        }
    ]
}

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a servicios para Amazon EMR en EKS

No necesita crear manualmente un rol vinculado a servicios. Al crear un clúster virtual, Amazon EMR en EKS se encarga de crear el rol vinculado a servicios en su nombre.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear un clúster virtual, Amazon EMR en EKS se encarga de crear de nuevo el rol vinculado a servicios en su nombre.

También puede utilizar la consola de IAM para crear un rol vinculado al servicio con el caso de uso de Amazon EMR en EKS. En la AWS CLI o la API de AWS, cree un rol vinculado al servicio con el nombre de servicio emr-containers.amazonaws.com. Para obtener más información, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.

Edición de un rol vinculado a servicios para Amazon EMR en EKS

Amazon EMR en EKS no permite editar el rol vinculado a servicios de AWSServiceRoleForAmazonEMRContainers. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminar un rol vinculado a servicios para Amazon EMR en EKS

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se monitorice ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

nota

Si el servicio de Amazon EMR en EKS utiliza el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar los recursos de Amazon EMR en EKS que utiliza el AWSServiceRoleForAmazonEMRContainers

  1. Abra la consola de Amazon EMR.

  2. Elija un clúster virtual.

  3. En la página Virtual Cluster, elija Eliminar.

  4. Repita este procedimiento para el resto de los clústeres virtuales de la cuenta.

Eliminación manual del rol vinculado a servicios mediante IAM

Puede usar la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a un servicio de AWSServiceRoleForAmazonEMRContainers. Para más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados a servicios de Amazon EMR en EKS

Amazon EMR en EKS admite el uso de roles vinculados a servicios en todas las regiones en las que se encuentra disponible el servicio. Para obtener más información, consulte Puntos de conexión de servicio y cuotas de Amazon EMR en EKS.