Contrôle de l'accès aux modèles de tâches - Amazon EMR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôle de l'accès aux modèles de tâches

La politique StartJobRun vous permet de vous assurer qu'un utilisateur ou un rôle ne peut exécuter des tâches qu'à l'aide de modèles de tâches que vous indiquez et ne peut pas exécuter d'opérations StartJobRun sans utiliser les modèles de tâches indiqués. Pour ce faire, assurez-vous d'abord d'accorder à l'utilisateur ou au rôle une autorisation de lecture pour les modèles de tâches spécifiés, comme indiqué ci-dessous.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "emr-containers:DescribeJobTemplate",
            "Resource": [
                "job_template_1_arn",
                "job_template_2_arn",
                ...
            ]
        }
    ]
}

Pour garantir qu'un utilisateur ou un rôle ne peut invoquer une opération StartJobRun que s'il utilise des modèles de tâches spécifiques, vous pouvez accorder l'autorisation de politique StartJobRun suivante à un utilisateur ou à un rôle donné.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "emr-containers:StartJobRun",
            "Resource": [
                "virtual_cluster_arn",
            ],
            "Condition": [
                "StringEquals": {
                    "emr-containers:JobTemplateArn": [
                        "job_template_1_arn",
                        "job_template_2_arn",
                        ...
                    ]
                 }
                ]
            }
        }
    ]
}

Si le modèle de tâche spécifie un paramètre de modèle de tâche dans le ARN champ du rôle d'exécution, l'utilisateur pourra fournir une valeur pour ce paramètre et pourra ainsi StartJobRun l'invoquer à l'aide d'un rôle d'exécution arbitraire. Pour limiter les rôles d'exécution que l'utilisateur peut indiquer, consultez la rubrique Contrôle de l'accès au rôle d'exécution dans Utilisation des rôles d'exécution de tâches avec Amazon EMR on EKS.

Si aucune condition n'est indiquée dans la politique d'action StartJobRun ci-dessus pour un utilisateur ou un rôle donné, l'utilisateur ou le rôle sera autorisé à invoquer une action StartJobRun sur le cluster virtuel indiqué en utilisant un modèle de tâche arbitraire auquel il a accès en lecture ou en utilisant un rôle d'exécution arbitraire.