Concesión de permisos Lance un clúster Utilizar el clúster con el espacio de trabajo Consideraciones

Dirige un espacio de trabajo de EMR Studio con un rol de tiempo de ejecución

nota

La funcionalidad del rol en tiempo de ejecución descrita en esta página solo se aplica a Amazon EMR que se ejecuta en Amazon EC2 y no hace referencia a la funcionalidad del rol en tiempo de ejecución en las aplicaciones interactivas EMR sin servidor. Para obtener más información sobre cómo usar las funciones de tiempo de ejecución en EMR Serverless, consulte Funciones de tiempo de ejecución de Job en la Guía del usuario de Amazon EMR Serverless.

Un rol en tiempo de ejecución es un rol AWS Identity and Access Management (IAM) que puedes especificar al enviar un trabajo o una consulta a un EMR clúster de Amazon. El trabajo o la consulta que envíe a su EMR clúster utiliza el rol de tiempo de ejecución para acceder a AWS los recursos, como los objetos de Amazon S3.

Cuando adjuntas un espacio de trabajo de EMR Studio a un EMR clúster que usa Amazon EMR 6.11 o una versión superior, puedes seleccionar un rol de tiempo de ejecución para el trabajo o la consulta que envíes para usarlo cuando acceda AWS a los recursos. Sin embargo, si el EMR clúster no admite funciones de tiempo de ejecución, no asumirá esa función cuando acceda AWS a los recursos. EMR

Antes de poder usar un rol de tiempo de ejecución con un espacio de trabajo de Amazon EMR Studio, un administrador debe configurar los permisos de usuario para que el usuario de Studio pueda invocar el rol elasticmapreduce:GetClusterSessionCredentials API en tiempo de ejecución. A continuación, lance un nuevo clúster con un rol de tiempo de ejecución que pueda usar con su Amazon EMR Studio Workspace.

En esta página

Configurar los permisos de usuario para el rol de tiempo de ejecución
Lanzar un clúster nuevo con un rol de tiempo de ejecución
Utilice el EMR clúster con un rol de tiempo de ejecución en Workspaces
Consideraciones

Configurar los permisos de usuario para el rol de tiempo de ejecución

Configura los permisos de usuario para que el usuario de Studio pueda utilizar el rol elasticmapreduce:GetClusterSessionCredentials API en tiempo de ejecución que desee usar. También debe configurar Configurar los permisos de usuario de EMR Studio para Amazon EC2 o Amazon EKS para que el usuario pueda empezar a usar Studio.

aviso

Para conceder este permiso, cree una condición basada en la clave de elasticmapreduce:ExecutionRoleArn contexto cuando conceda a la persona que llama acceso para llamar al GetClusterSessionCredentialsAPIs. En los siguientes ejemplos, se muestra cómo hacerlo.


{
      "Sid": "AllowSpecificExecRoleArn",
      "Effect": "Allow",
      "Action": [
          "elasticmapreduce:GetClusterSessionCredentials"
      ],
      "Resource": "*",
      "Condition": {
          "StringEquals": {
              "elasticmapreduce:ExecutionRoleArn": [
                  "arn:aws:iam::111122223333:role/test-emr-demo1",
                  "arn:aws:iam::111122223333:role/test-emr-demo2"
              ]
          }
      }
  }

En el siguiente ejemplo, se muestra cómo permitir que un IAM director utilice un IAM rol test-emr-demo3 denominado rol de tiempo de ejecución. Además, el titular de la póliza solo podrá acceder a los EMR clústeres de Amazon con el ID del clústerj-123456789.


{
    "Sid":"AllowSpecificExecRoleArn",
    "Effect":"Allow",
    "Action":[
        "elasticmapreduce:GetClusterSessionCredentials"
    ],
    "Resource": [
          "arn:aws:elasticmapreduce:<region>:111122223333:cluster/j-123456789"
     ],
    "Condition":{
        "StringEquals":{
            "elasticmapreduce:ExecutionRoleArn":[
                "arn:aws:iam::111122223333:role/test-emr-demo3"
            ]
        }
    }
}

El siguiente ejemplo permite a un IAM director usar cualquier IAM rol cuyo nombre comience por la cadena test-emr-demo4 como rol en tiempo de ejecución. Además, el titular de la póliza solo podrá acceder a los EMR clústeres de Amazon etiquetados con el par clave-valor. tagKey: tagValue


{
    "Sid":"AllowSpecificExecRoleArn",
    "Effect":"Allow",
    "Action":[
        "elasticmapreduce:GetClusterSessionCredentials"
    ],
    "Resource": "*",
    "Condition":{
        "StringEquals":{
             "elasticmapreduce:ResourceTag/tagKey": "tagValue"
        },
        "StringLike":{
            "elasticmapreduce:ExecutionRoleArn":[
                "arn:aws:iam::111122223333:role/test-emr-demo4*"
            ]
        }
    }
}

Lanzar un clúster nuevo con un rol de tiempo de ejecución

Ahora que tiene los permisos necesarios, lance un nuevo clúster con un rol de tiempo de ejecución que pueda usar con su Amazon EMR Studio Workspace.

Si ya ha lanzado un clúster nuevo con un rol de tiempo de ejecución, puede pasar directamente a la sección Utilice el EMR clúster con un rol de tiempo de ejecución en Workspaces.

En primer lugar, complete los requisitos previos de la sección Funciones de tiempo de ejecución para Amazon EMR Steps.
A continuación, lance un clúster con la siguiente configuración para usar los roles de tiempo de ejecución con Amazon EMR Studio Workspaces. Para obtener instrucciones sobre cómo lanzar el clúster, consulte Especificar una configuración de seguridad para un EMR clúster de Amazon.
- Seleccione la etiqueta de versión emr-6.11.0 o posterior.
- Seleccione Spark, Livy y Jupyter Enterprise Gateway como aplicaciones de clúster.
- Use la configuración de seguridad que creó en el paso anterior.
- Si lo desea, puede habilitar Lake Formation para su EMR clúster. Para obtener más información, consulte Habilite la formación de Lake Formation con Amazon EMR.

Después de lanzar el clúster, estará listo para usar el clúster habilitado para funciones de ejecución con un espacio de trabajo de EMR Studio.

nota

El ExecutionRoleArnvalor no es compatible actualmente con la StartNotebookExecutionAPIoperación cuando el ExecutionEngineConfig.Type valor sí lo es. EMR

Utilice el EMR clúster con un rol de tiempo de ejecución en Workspaces

Una vez que hayas configurado y lanzado tu clúster, puedes usar el clúster habilitado para funciones de ejecución con tu espacio de trabajo de Studio. EMR

Cree un nuevo espacio de trabajo o lance uno existente. Para obtener más información, consulte Crea un espacio de trabajo de EMR estudio.
Selecciona la pestaña de EMRclústeres en la barra lateral izquierda de tu espacio de trabajo abierto, expande la sección de tipos de cómputo y elige tu clúster en el menú y el EMR rol en tiempo de ejecución en el EC2 menú del rol en tiempo de ejecución.
Seleccione Asociar para asociar el clúster con el rol de tiempo de ejecución a su espacio de trabajo.

nota

Cuando elijas un rol en tiempo de ejecución, ten en cuenta que puede tener asociadas políticas gestionadas subyacentes. En la mayoría de los casos, recomendamos elegir recursos limitados, como cuadernos específicos. Si eliges un rol en tiempo de ejecución que incluya el acceso a todos tus cuadernos, por ejemplo, la política gestionada asociada al rol proporciona acceso total.

Consideraciones

Tenga en cuenta las siguientes consideraciones cuando utilice un clúster con funciones de tiempo de ejecución habilitadas para su Amazon EMR Studio Workspace:

Solo puedes seleccionar un rol de tiempo de ejecución cuando adjuntas un espacio de trabajo de EMR Studio a un EMR clúster que utilice la EMR versión 6.11 o superior de Amazon.
La funcionalidad de rol en tiempo de ejecución descrita en esta página solo es compatible con Amazon EMR que se ejecuta en Amazon EC2 y no es compatible con aplicaciones interactivas EMR sin servidor. Para obtener más información sobre las funciones de tiempo de ejecución de EMR Serverless, consulte Funciones de tiempo de ejecución de Job en la Guía del usuario de Amazon EMR Serverless.
Si bien necesita configurar permisos adicionales antes de poder especificar un rol en tiempo de ejecución al enviar un trabajo a un clúster, no necesita permisos adicionales para acceder a los archivos generados por un espacio de trabajo de EMR Studio. Los permisos de estos archivos son los mismos que los de los archivos generados a partir de los clústeres sin roles de tiempo de ejecución.
No puedes usar SQL Explorer en un espacio de trabajo de EMR Studio con un clúster que tenga un rol de tiempo de ejecución. Amazon EMR deshabilita SQL Explorer en la interfaz de usuario cuando un espacio de trabajo está adjunto a un clúster con funciones de tiempo de ejecución habilitadas. EMR
No puedes usar el modo de colaboración en un espacio de trabajo de EMR Studio con un clúster que tenga un rol en tiempo de ejecución. Amazon EMR deshabilita las capacidades de colaboración de Workspace cuando un espacio de trabajo está conectado a un clúster con funciones en tiempo de ejecución. EMR Solo podrá acceder al espacio de trabajo el usuario que lo asoció.
No puedes usar roles de tiempo de ejecución en un estudio con la función de propagación de identidades fiable de IAM Identity Center habilitada.
Es posible que aparezca la advertencia “¡Puede que la página no sea segura!” desde la interfaz de usuario de Spark para un clúster con funciones en tiempo de ejecución que utilice Amazon 7.4.0 y EMR versiones anteriores. En tal caso, omita la alerta para seguir viendo la interfaz de usuario de Spark.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Colaboración en el espacio de trabajo

Ejecute los blocs de notas de Amazon EMR Studio Workspace Workspace mediante programación