Uso de roles de IAM con las aplicaciones que llaman directamente a los servicios de AWS

Las aplicaciones que se ejecutan en las EC2 instancias de un clúster pueden usar el perfil de EC2 instancia para obtener credenciales de seguridad temporales al llamar a AWS los servicios.

Las versiones de Hadoop disponibles con la versión 2.3.0 y posteriores de Amazon EMR ya se han actualizado para utilizar roles de IAM. Si su aplicación se ejecuta estrictamente sobre la arquitectura Hadoop y no llama directamente a ningún servicio AWS, debería funcionar con las funciones de IAM sin modificaciones.

Si su aplicación llama AWS directamente a los servicios, debe actualizarla para aprovechar las funciones de IAM. Esto significa que, en lugar de obtener las credenciales de /etc/hadoop/conf/core-site.xml las cuentas de las EC2 instancias del clúster, la aplicación utiliza un SDK para acceder a los recursos mediante las funciones de IAM o invoca los metadatos de la EC2 instancia para obtener las credenciales temporales.

Para acceder a AWS los recursos con funciones de IAM mediante un SDK

En los siguientes temas se muestra cómo usar varios de ellos para acceder AWS SDKs a las credenciales temporales mediante los roles de IAM. Cada tema comienza con una versión de una aplicación que no utiliza roles de IAM y, a continuación, realiza un recorrido por el proceso de conversión de dicha aplicación para utilizar roles de IAM.
- Uso de funciones de IAM para EC2 instancias de Amazon con el SDK para Java en la Guía para AWS SDK for Java desarrolladores
- Uso de roles de IAM para EC2 instancias de Amazon con el SDK para .NET en la Guía para AWS SDK for .NET desarrolladores
- Uso de funciones de IAM para EC2 instancias de Amazon con el SDK for PHP en la Guía para AWS SDK for PHP desarrolladores
- Uso de roles de IAM para EC2 instancias de Amazon con el SDK for Ruby en la Guía para AWS SDK for Ruby desarrolladores

Para obtener credenciales temporales a partir de los metadatos de la EC2 instancia

Llama a la siguiente URL desde una EC2 instancia que se esté ejecutando con la función de IAM especificada, que devolverá las credenciales de seguridad temporales asociadas (AccessKeyId, SecretAccessKey SessionToken, y caducidad). En el ejemplo que aparece a continuación se utiliza el perfil de instancia predeterminado para Amazon EMR, EMR_EC2_DefaultRole.
```
GET http://169.254.169.254/latest/meta-data/iam/security-credentials/EMR_EC2_DefaultRole
                
```

Para obtener más información sobre cómo escribir aplicaciones que utilizan funciones de IAM, consulte Conceder acceso a los AWS recursos a las aplicaciones que se ejecutan en EC2 instancias de Amazon.

Para obtener más información acerca de las credenciales de seguridad temporales, consulte Uso de credenciales de seguridad temporales en la guía Uso de credenciales de seguridad temporales.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Políticas basadas en recursos para Glue AWS

Cómo permitir a los usuarios y grupos crear y modificar roles