Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Politiques gérées par Amazon EMR
Le moyen le plus simple d'accorder un accès complet ou un accès en lecture seule aux actions requises d'Amazon EMR est d'utiliser les politiques IAM gérées pour Amazon EMR. Les stratégies gérées offrent l'avantage de mises à jour automatiques dès que les exigences d'autorisations varient. Si vous utilisez des stratégies en ligne, il se peut que vous rencontriez des erreurs d'autorisation.
Amazon EMR va supprimer les politiques gérées existantes (politiques v1) au profit de nouvelles politiques gérées (politiques v2). Les nouvelles politiques gérées ont été réduites afin de s'aligner sur les AWS meilleures pratiques. Une fois que les politiques gérées v1 existantes auront été supprimées, vous ne pourrez plus les associer à de nouveaux rôles ou utilisateurs IAM. Les rôles et utilisateurs existants qui utilisent des politiques obsolètes peuvent continuer à les utiliser. Les politiques gérées v2 restreignent l'accès au moyen de balises. Elles n'autorisent que les actions Amazon EMR spécifiées et nécessitent des ressources de cluster étiquetées avec une clé spécifique à EMR. Nous vous recommandons de lire attentivement la documentation avant d'utiliser les nouvelles politiques v2.
Les politiques v1 seront marquées comme étant obsolètes avec une icône d'avertissement à côté d'elles dans la liste Politiques de la console IAM. Les politiques obsolètes auront les caractéristiques suivantes :
-
Elles continueront à fonctionner pour tous les utilisateurs, groupes et rôles actuellement attachés. Aucun élément ne cesse de fonctionner.
-
Elles ne peuvent pas être attachées à de nouveaux utilisateurs, groupes ou rôles. Si vous détachez l'une des politiques d'une entité actuelle, vous ne pouvez pas la rattacher.
-
Une fois que vous avez détaché une politique v1 de toutes les entités actuelles, la politique n'est plus visible et ne peut plus être utilisée.
Le tableau suivant récapitule les modifications entre les politiques actuelles (v1) et les politiques v2.
| Type de stratégie | Noms des politiques | Objectif de la politique | Modifications apportées à la politique v2 |
|---|---|---|---|
|
Rôle du service EMR par défaut et politique gérée associée |
Nom du rôle : EMR_ DefaultRole Politique V1 (à déconseiller) : (rôle de AmazonElasticMapReduceRoleservice EMR) Nom de la politique V2 (limitée) : AmazonEMRServicePolicy_v2 |
Permet à Amazon EMR d'appeler d'autres AWS services en votre nom lors de la mise en service des ressources et de l'exécution d'actions au niveau des services. Ce rôle est obligatoire pour tous les clusters. |
La politique ajoute la nouvelle autorisation |
|
Politique gérée par IAM pour un accès complet à Amazon EMR par utilisateur, rôle ou groupe attaché |
Nom de la politique V2 (limitée) : AmazonEMRServicePolicy_v2 |
Accorde aux utilisateurs des autorisations complètes pour les actions EMR. Inclut iam : PassRole autorisations pour les ressources. |
La politique ajoute une condition préalable selon laquelle les utilisateurs doivent ajouter des balises d'utilisateur aux ressources avant de pouvoir utiliser cette politique. Consultez Balisage des ressources pour l'utilisation des politiques gérées. iam : PassRole action nécessite que la PassedToService condition iam : soit définie sur le service spécifié. L'accès à Amazon EC2, Amazon S3 et à d'autres services n'est pas autorisé par défaut. Consultez Politique IAM gérée pour un accès complet (politique gérée par défaut v2). |
|
Politique IAM pour l'accès en lecture seule par l'utilisateur, le rôle ou le groupe attaché. |
Politique V1 (qui sera obsolète) : AmazonElasticMapReduceReadOnlyAccess Nom de la politique V2 (limitée) : AmazonEMRReadOnlyAccessPolicy_v2 |
Accorde aux utilisateurs des autorisations en lecture seule pour les actions Amazon EMR. |
Les autorisations ne permettent que les actions en lecture seule spécifiées d'elasticmapreduce. L'accès à Amazon S3 n'est pas autorisé par défaut. Consultez Politique IAM gérée pour l'accès en lecture seule (politique gérée par défaut v2). |
|
Rôle du service EMR par défaut et politique gérée associée |
Nom du rôle : EMR_ DefaultRole Politique V1 (à déconseiller) : (rôle de AmazonElasticMapReduceRoleservice EMR) Nom de la politique V2 (limitée) : AmazonEMRServicePolicy_v2 |
Permet à Amazon EMR d'appeler d'autres AWS services en votre nom lors de la mise en service des ressources et de l'exécution d'actions au niveau des services. Ce rôle est obligatoire pour tous les clusters. |
Le rôle de service v2 et la politique par défaut v2 remplacent le rôle et la politique obsolètes. La politique ajoute une condition préalable selon laquelle les utilisateurs doivent ajouter des balises d'utilisateur aux ressources avant de pouvoir utiliser cette politique. Consultez Balisage des ressources pour l'utilisation des politiques gérées. Consultez Rôle de service pour Amazon EMR (rôle EMR). |
|
Rôle de service pour les EC2 instances de cluster (profil d'EC2 instance) |
Nom du rôle : EMR_ _ EC2 DefaultRole Nom de la politique obsolète : Role AmazonElasticMapReducefor EC2 |
Permet aux applications exécutées sur un cluster EMR d'accéder à d'autres ressources AWS , telles qu'Amazon S3. Par exemple, si vous exécutez des tâches Apache Spark qui traitent des données provenant d'Amazon S3, la politique doit autoriser l'accès à ces ressources. |
Le rôle et la politique par défaut sont tous deux sur le point d'être obsolètes. Il n'existe aucun rôle ou politique géré AWS par défaut de remplacement. Vous devez fournir une politique basée sur les ressources ou sur l'identité. Cela signifie que, par défaut, les applications s'exécutant sur un cluster EMR n'ont pas accès à Amazon S3 ou à d'autres ressources, à moins que vous ne les ajoutiez manuellement à la politique. Consultez Rôle et stratégie gérée par défaut. |
|
Autres politiques relatives EC2 aux rôles de service |
Noms des politiques actuelles : AmazonElasticMapReduceforAutoScalingRole, AmazonElasticMapReduceEditorsRole, Amazon EMRCleanup Policy |
Fournit les autorisations dont Amazon EMR a besoin pour accéder à d'autres AWS ressources et effectuer des actions en cas d'utilisation du dimensionnement automatique, de blocs-notes ou pour nettoyer des ressources. EC2 |
Aucun changement pour la version 2. |
Fixation de l'objectif : PassRole
Les politiques gérées par défaut d'Amazon EMR avec autorisations complètes intègrent des configurations de sécurité iam:PassRole, notamment les suivantes :
Les autorisations
iam:PassRoleuniquement pour des rôles Amazon EMR par défaut spécifiques.iam:PassedToServiceconditions qui vous permettent d'utiliser la politique uniquement avec AWS des services spécifiques, tels queelasticmapreduce.amazonaws.com.rproxy.goskope.cometec2.amazonaws.com.
Vous pouvez consulter la version JSON des politiques Amazon EMRFull AccessPolicy _v2
Pour créer des stratégies personnalisées, nous vous recommandons de commencer avec des stratégies gérées, puis de les modifier selon vos besoins.
Pour plus d'informations sur la manière d'attacher des politiques à des utilisateurs (principaux), consultez Utilisation de politiques gérées à l'aide de la AWS Management Console dans le Guide de l'utilisateur IAM.
Balisage des ressources pour l'utilisation des politiques gérées
Amazon EMRService Policy_v2 et Amazon EMRFull AccessPolicy _v2 dépendent d'un accès limité aux ressources qu'Amazon EMR fournit ou utilise. La réduction de la portée est obtenue en limitant l'accès aux seules ressources associées à une balise utilisateur prédéfinie. Lorsque vous utilisez l'une de ces deux politiques, vous devez transmettre la balise utilisateur prédéfinie for-use-with-amazon-emr-managed-policies =
true lorsque vous provisionnez le cluster. Amazon EMR propagera alors automatiquement ces balises. Vous devez également ajouter une balise utilisateur aux ressources énumérées dans la section suivante. Si vous utilisez la console Amazon EMR pour lancer votre cluster, consultez Considérations relatives à l'utilisation de la console Amazon EMR pour lancer des clusters avec des politiques gérées v2.
Pour utiliser des politiques gérées, transmettez la balise utilisateur for-use-with-amazon-emr-managed-policies = true lorsque vous provisionnez un cluster à l'aide de la CLI, du kit SDK ou d'une autre méthode.
Lorsque vous transmettez le tag, Amazon EMR propage le tag aux volumes ENI, EC2 instance et EBS du sous-réseau privé qu'il crée. Amazon EMR balise également automatiquement les groupes de sécurité qu'il crée. Toutefois, si vous voulez qu'Amazon EMR soit lancé avec un certain groupe de sécurité, vous devez le baliser. Pour les ressources qui ne sont pas créées par Amazon EMR, vous devez ajouter des balises à ces ressources. Par exemple, vous devez étiqueter les EC2 sous-réseaux Amazon, les groupes de EC2 sécurité (s'ils ne sont pas créés par Amazon EMR) VPCs et (si vous souhaitez qu'Amazon EMR crée des groupes de sécurité). Pour lancer des clusters avec des politiques gérées dans la version v2 VPCs, vous devez les étiqueter VPCs avec le tag utilisateur prédéfini. Consultez Considérations relatives à l'utilisation de la console Amazon EMR pour lancer des clusters avec des politiques gérées v2.
Balisage propagé spécifié par l'utilisateur
Amazon EMR balise les ressources qu'il crée à l'aide des balises Amazon EMR que vous spécifiez lors de la création d'un cluster. Amazon EMR applique des balises aux ressources qu'il crée pendant la durée de vie du cluster.
Amazon EMR propage les balises utilisateur pour les ressources suivantes :
-
Sous-réseau privé ENI (interfaces réseau élastiques d'accès aux services)
-
EC2 Instances
-
Volumes EBS
-
EC2 Modèle de lancement
Groupes de sécurité balisés automatiquement
Amazon EMR étiquette les groupes de EC2 sécurité qu'il crée avec la balise requise pour les politiques gérées dans la version v2 pour Amazon EMRfor-use-with-amazon-emr-managed-policies, quelles que soient les balises que vous spécifiez dans la commande de création de cluster. Pour un groupe de sécurité créé avant l'introduction des politiques gérées v2, Amazon EMR ne balise pas automatiquement le groupe de sécurité. Si vous voulez utiliser des politiques gérées v2 avec les groupes de sécurité par défaut qui existent déjà dans le compte, vous devez baliser les groupes de sécurité manuellement avec for-use-with-amazon-emr-managed-policies = true.
Ressources de cluster balisées manuellement
Vous devez baliser manuellement certaines ressources du cluster afin que les rôles par défaut d'Amazon EMR puissent y accéder.
-
Vous devez étiqueter manuellement les groupes EC2 de sécurité et EC2 les sous-réseaux avec la balise de politique gérée Amazon EMR.
for-use-with-amazon-emr-managed-policies -
Vous devez baliser manuellement un VPC si vous voulez qu'Amazon EMR crée des groupes de sécurité par défaut. EMR essaiera de créer un groupe de sécurité avec la balise spécifique si le groupe de sécurité par défaut n'existe pas déjà.
Amazon EMR balise automatiquement les ressources suivantes :
-
Groupes de sécurité créés par EMR EC2
Vous devez baliser manuellement les ressources suivantes :
-
EC2 Sous-réseau
-
EC2 Groupes de sécurité
Vous pouvez, en option, baliser manuellement les ressources suivantes :
-
VPC : uniquement lorsque vous voulez qu'Amazon EMR crée des groupes de sécurité
Considérations relatives à l'utilisation de la console Amazon EMR pour lancer des clusters avec des politiques gérées v2
Vous pouvez provisionner des clusters avec des politiques gérées v2 à l'aide de la console Amazon EMR. Voici quelques points à prendre en compte lorsque vous utilisez la console pour lancer des clusters Amazon EMR.
-
Il n'est pas nécessaire de transmettre la balise prédéfinie. Amazon EMR ajoute automatiquement la balise et la propage aux composants appropriés.
-
Pour les composants qui doivent être balisés manuellement, l'ancienne console Amazon EMR essaie de les baliser automatiquement si vous disposez des autorisations requises pour baliser les ressources. Si vous n'êtes pas autorisé à étiqueter les ressources ou si vous souhaitez utiliser la console, demandez à votre administrateur de baliser ces ressources.
-
Vous ne pouvez pas lancer de clusters avec des politiques gérées v2 si toutes les conditions préalables ne sont pas remplies.
-
L'ancienne console Amazon EMR vous indique quelles ressources (VPC/sous-réseaux) doivent être balisées.
AWS politiques gérées pour Amazon EMR
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez Politiques gérées par AWS dans le Guide de l’utilisateur IAM.
