Políticas EMR gestionadas por Amazon - Amazon EMR
Iam seguro: PassRoleEtiquetado de recursos para usar políticas administradasLanzamiento de un clúster en la consola con políticas de la versión 2AWS políticas gestionadas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Políticas EMR gestionadas por Amazon

La forma más sencilla de conceder acceso total o de solo lectura a EMR las acciones obligatorias de Amazon es utilizar las políticas IAM gestionadas de Amazon. EMR Las políticas administradas ofrecen el beneficio de que se actualizan automáticamente si cambian los requisitos de permisos. Si utiliza políticas insertadas, pueden producirse cambios en los servicios que provoquen la aparición de errores de permisos.

Amazon EMR dejará de utilizar las políticas gestionadas existentes (políticas v1) en favor de las nuevas políticas gestionadas (políticas v2). Se ha reducido el alcance de las nuevas políticas gestionadas para alinearlas con las mejores prácticas. AWS Una vez que las políticas administradas de la versión 1 existentes queden obsoletas, no podrá adjuntarlas a ningún rol o usuario nuevoIAM. Los roles y usuarios existentes que usan políticas obsoletas pueden seguir usándolas. Las políticas administradas de la versión 2 restringen el acceso mediante etiquetas. Solo permiten EMR acciones específicas de Amazon y requieren recursos de clúster etiquetados con una clave EMR específica. Le recomendamos que revise detenidamente la documentación antes de utilizar las nuevas políticas de la versión 2.

Las políticas de la versión 1 se marcarán como obsoletas con un icono de advertencia junto a ellas en la lista de políticas de la IAM consola. Las políticas obsoletas tienen las siguientes características:

  • Siguen funcionando para todos los usuarios, grupos y roles asociados en ese momento. Ningún elemento deja de funcionar.

  • No pueden asociarse a ningún usuario, grupo o rol nuevo. Si separa una política de una entidad actual, no puede volver a asociarla.

  • Después de separar una política de la versión 1 de todas las entidades actuales, la política dejará de estar visible y ya no podrá utilizarse.

La siguiente tabla resume los cambios entre las políticas actuales (versión 1) y las políticas de la versión 2.

Cambios en la política EMR gestionada por Amazon
Tipo de política Nombres de las políticas Propósito de la política Cambios en la política de la versión 2

Función EMR de servicio predeterminada y política gestionada adjunta

Nombre del rol: EMR_ DefaultRole

Política de la versión 1 (quedará obsoleta): AmazonElasticMapReduceRole(Rol EMR de servicio)

Nombre de la política de la versión 2 (con ámbito de aplicación reducido): AmazonEMRServicePolicy_v2

Permite EMR a Amazon llamar a otros AWS servicios en tu nombre al aprovisionar recursos y realizar acciones a nivel de servicio. Este rol es necesario para todos los clústeres.

La política añade el nuevo permiso "ec2:DescribeInstanceTypeOfferings". Esta API operación devuelve una lista de tipos de instancias compatibles con una lista de zonas de disponibilidad determinadas.

IAMpolítica gestionada para el EMR acceso total a Amazon por usuario, rol o grupo asociado

Nombre de la política de la versión 2 (con ámbito de aplicación): AmazonEMRServicePolicy_v2

Permite a los usuarios permisos totales para EMR realizar acciones. Incluye iam: PassRole permisos para los recursos.

La política agrega un requisito previo según el cual los usuarios deben agregar etiquetas de usuario a los recursos antes de poder usar esta política. Consulte Etiquetado de recursos para usar políticas administradas.

iam: la PassRole acción requiere la PassedToService condición iam: establecida en el servicio especificado. El acceso a AmazonEC2, Amazon S3 y otros servicios no está permitido de forma predeterminada. Consulte la Política IAM gestionada para obtener acceso total (Política gestionada predeterminada, versión 2).

IAMpolítica gestionada para el acceso de solo lectura por parte del usuario, rol o grupo asociado

Política de la versión 1 (quedará obsoleta): AmazonElasticMapReduceReadOnlyAccess

Nombre de la política de la versión 2 (con ámbito de aplicación): AmazonEMRReadOnlyAccessPolicy_v2

Permite a los usuarios permisos de solo lectura para las acciones de AmazonEMR.

Los permisos permiten únicamente acciones específicas de solo lectura de elasticmapreduce. El acceso a Amazon S3 no está permitido de forma predeterminada. Consulte la Política IAM gestionada para el acceso de solo lectura (Política gestionada predeterminada, versión 2).

Función de EMR servicio predeterminada y política gestionada adjunta

Nombre del rol: EMR_ DefaultRole

Política de la versión 1 (quedará obsoleta): AmazonElasticMapReduceRole(Rol EMR de servicio)

Nombre de la política de la versión 2 (con ámbito de aplicación reducido): AmazonEMRServicePolicy_v2

Permite EMR a Amazon llamar a otros AWS servicios en tu nombre al aprovisionar recursos y realizar acciones a nivel de servicio. Este rol es necesario para todos los clústeres.

El rol de servicio de la versión 2 y la política predeterminada de la versión 2 sustituyen a la política y al rol obsoletos. La política agrega un requisito previo según el cual los usuarios deben agregar etiquetas de usuario a los recursos antes de poder usar esta política. Consulte Etiquetado de recursos para usar políticas administradas. Consulte Función de servicio para Amazon EMR (EMRfunción).

Función de servicio para EC2 instancias de clúster (perfil de instancia) EC2

Nombre del rol: EMR_ EC2 _ DefaultRole

Nombre de la política obsoleta: AmazonElasticMapReduceforEC2Role

Permite que las aplicaciones que se ejecutan en un EMR clúster accedan a otros AWS recursos, como Amazon S3. Por ejemplo, si ejecuta trabajos de Apache Spark que procesan datos de Amazon S3, la política debe permitir el acceso a dichos recursos.

Tanto el rol predeterminado como la política predeterminada están en vías de quedar obsoletos. No hay ninguna política o función administrada AWS predeterminada que la sustituya. Debe proporcionar una política basada en los recursos o en la identidad. Esto significa que, de forma predeterminada, las aplicaciones que se ejecutan en un EMR clúster no tienen acceso a Amazon S3 ni a ningún otro recurso, a menos que las añada manualmente a la política. Consulte Política administrada y rol predeterminados.

Otras políticas EC2 de funciones de servicio

Nombres de las políticas actuales: AmazonElasticMapReduceforAutoScalingRole, AmazonElasticMapReduceEditorsRole, A mazonEMRCleanup Policy

Proporciona los permisos que Amazon EMR necesita para acceder a otros AWS recursos y realizar acciones si utiliza el escalado automático, las libretas o para limpiar EC2 recursos.

No hay cambios para la versión 2.

Proteger iam: PassRole

Las políticas gestionadas por defecto de EMR permisos completos de Amazon incorporan configuraciones iam:PassRole de seguridad, entre las que se incluyen las siguientes:

  • iam:PassRolepermisos solo para EMR funciones específicas de Amazon por defecto.

  • iam:PassedToServicecondiciones que le permiten usar la política solo con AWS servicios específicos, como elasticmapreduce.amazonaws.com yec2.amazonaws.com.

Puede ver la JSON versión de las políticas A mazonEMRFull AccessPolicy _v2 y A mazonEMRService Policy_v2 en la consola. IAM Le recomendamos crear nuevos clústeres con las políticas administradas de la versión 2.

Para crear políticas personalizadas, le recomendamos que comience a partir de las políticas administradas y las edite de acuerdo con sus requisitos.

Para obtener información sobre cómo adjuntar políticas a los usuarios (principales), consulte Trabajar con políticas administradas mediante la AWS Management Console Guía del usuario. IAM

Etiquetado de recursos para usar políticas administradas

Una mazonEMRService Policy_v2 y una A mazonEMRFull AccessPolicy _v2 dependen del acceso limitado a los recursos que Amazon aprovisiona o utiliza. EMR La reducción del alcance se logra restringiendo el acceso únicamente a los recursos que tienen una etiqueta de usuario predefinida asociada a ellos. Si utiliza cualquiera de estas dos políticas, debe pasar la etiqueta de usuario predefinida for-use-with-amazon-emr-managed-policies = true al aprovisionar el clúster. A continuación, Amazon EMR propagará automáticamente esa etiqueta. Además, debe agregar una etiqueta de usuario a los recursos que se enumeran en la siguiente sección. Si utilizas la EMR consola de Amazon para lanzar el clúster, consultaConsideraciones sobre el uso de la EMR consola de Amazon para lanzar clústeres con políticas gestionadas en la versión 2.

Para usar políticas administradas, pasa la etiqueta de usuario for-use-with-amazon-emr-managed-policies = true al aprovisionar un clúster con el CLISDK, u otro método.

Cuando pasas la etiqueta, Amazon la EMR propaga a la subred privadaENI, la EC2 instancia y EBS los volúmenes que crea. Amazon EMR también etiqueta automáticamente los grupos de seguridad que crea. Sin embargo, si quieres que Amazon EMR se lance con un grupo de seguridad determinado, debes etiquetarlo. En el caso de los recursos que no haya creado AmazonEMR, debes añadir etiquetas a esos recursos. Por ejemplo, debe etiquetar EC2 las subredes de Amazon, los grupos de EC2 seguridad (si no los ha creado AmazonEMR) y VPCs (si quiere que Amazon EMR cree grupos de seguridad). Para lanzar clústeres con políticas gestionadas en la versión 2VPCs, debes etiquetarlos VPCs con la etiqueta de usuario predefinida. Consulte, Consideraciones sobre el uso de la EMR consola de Amazon para lanzar clústeres con políticas gestionadas en la versión 2.

Etiquetado propagado especificado por el usuario

Amazon EMR etiqueta los recursos que crea con las EMR etiquetas de Amazon que especificas al crear un clúster. Amazon EMR aplica etiquetas a los recursos que crea durante la vida útil del clúster.

Amazon EMR propaga las etiquetas de usuario para los siguientes recursos:

  • Subred privada ENI (interfaces de red elásticas de acceso al servicio)

  • Instancias EC2

  • Volúmenes de EBS

  • EC2Plantilla de lanzamiento

Grupos de seguridad etiquetados automáticamente

Amazon EMR etiqueta los grupos de EC2 seguridad que crea con la etiqueta necesaria para las políticas gestionadas de Amazon en la versión 2 EMRfor-use-with-amazon-emr-managed-policies, independientemente de las etiquetas que especifique en el comando create cluster. En el caso de un grupo de seguridad que se creó antes de la introducción de las políticas gestionadas de la versión 2, Amazon EMR no etiqueta automáticamente el grupo de seguridad. Si desea utilizar políticas administradas de la versión 2 con los grupos de seguridad predeterminados que ya existen en la cuenta, debe etiquetar los grupos de seguridad manualmente con for-use-with-amazon-emr-managed-policies = true.

Recursos de clúster etiquetados manualmente

Debes etiquetar manualmente algunos recursos del clúster para que los roles EMR predeterminados de Amazon puedan acceder a ellos.

  • Debes etiquetar manualmente los grupos EC2 de seguridad y EC2 las subredes con la etiqueta for-use-with-amazon-emr-managed-policies de política EMR gestionada por Amazon.

  • Debes etiquetar manualmente un VPC si quieres que Amazon EMR cree grupos de seguridad predeterminados. EMRintentará crear un grupo de seguridad con la etiqueta específica si el grupo de seguridad predeterminado aún no existe.

Amazon etiqueta EMR automáticamente los siguientes recursos:

  • EMR-grupos de EC2 seguridad creados

Debe etiquetar de forma manual los siguientes recursos:

  • EC2Subred

  • Grupos de seguridad de EC2

De forma opcional, puede etiquetar de forma manual los siguientes recursos:

  • VPC- solo cuando quieras que Amazon EMR cree grupos de seguridad

Consideraciones sobre el uso de la EMR consola de Amazon para lanzar clústeres con políticas gestionadas en la versión 2

Puedes aprovisionar clústeres con políticas gestionadas de la versión 2 mediante la EMR consola de Amazon. Estas son algunas consideraciones a tener en cuenta a la hora de utilizar la consola para lanzar EMR clústeres de Amazon.

  • No es necesario pasar la etiqueta predefinida. Amazon añade EMR automáticamente la etiqueta y la propaga a los componentes correspondientes.

  • Para los componentes que deben etiquetarse manualmente, la antigua EMR consola de Amazon intenta etiquetarlos automáticamente si tienes los permisos necesarios para etiquetar los recursos. Si no tiene los permisos para etiquetar los recursos o si desea utilizar la consola, pida al administrador que etiquete esos recursos.

  • No puede lanzar clústeres con políticas administradas de la versión 2, a menos que se cumplan todos los requisitos previos.

  • La antigua EMR consola de Amazon te muestra qué recursos (VPC/subredes) deben etiquetarse.

AWS políticas gestionadas para Amazon EMR

Una política AWS gestionada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.

Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.

No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando haya nuevas API operaciones disponibles para los servicios existentes.

Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.