Politiques EMR gérées par Amazon - Amazon EMR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Politiques EMR gérées par Amazon

Le moyen le plus simple d'accorder un accès complet ou un accès en lecture seule aux EMR actions Amazon requises consiste à utiliser les politiques IAM gérées pour Amazon. EMR Les stratégies gérées offrent l'avantage de mises à jour automatiques dès que les exigences d'autorisations varient. Si vous utilisez des stratégies en ligne, il se peut que vous rencontriez des erreurs d'autorisation.

Amazon EMR abandonnera les politiques gérées existantes (politiques v1) au profit de nouvelles politiques gérées (politiques v2). Les nouvelles politiques gérées ont été réduites afin de s'aligner sur les AWS meilleures pratiques. Une fois que les politiques gérées par la version 1 existantes seront obsolètes, vous ne pourrez plus les associer à de nouveaux IAM rôles ou utilisateurs. Les rôles et utilisateurs existants qui utilisent des politiques obsolètes peuvent continuer à les utiliser. Les politiques gérées v2 restreignent l'accès au moyen de balises. Ils n'autorisent que certaines EMR actions Amazon et nécessitent des ressources de cluster étiquetées avec une clé EMR spécifique. Nous vous recommandons de lire attentivement la documentation avant d'utiliser les nouvelles politiques v2.

Les politiques v1 seront marquées comme obsolètes par une icône d'avertissement à côté d'elles dans la liste des politiques de la IAM console. Les politiques obsolètes auront les caractéristiques suivantes :

  • Elles continueront à fonctionner pour tous les utilisateurs, groupes et rôles actuellement attachés. Aucun élément ne cesse de fonctionner.

  • Elles ne peuvent pas être attachées à de nouveaux utilisateurs, groupes ou rôles. Si vous détachez l'une des politiques d'une entité actuelle, vous ne pouvez pas la rattacher.

  • Une fois que vous avez détaché une politique v1 de toutes les entités actuelles, la politique n'est plus visible et ne peut plus être utilisée.

Le tableau suivant récapitule les modifications entre les politiques actuelles (v1) et les politiques v2.

Amazon EMR a géré les modifications de politique
Type de stratégie Noms des politiques Objectif de la politique Modifications apportées à la politique v2

Rôle EMR de service par défaut et politique gérée associée

Nom du rôle : EMR_ DefaultRole

Politique V1 (à déconseiller) : AmazonElasticMapReduceRole(Rôle de EMR service)

Nom de la politique V2 (limitée) : AmazonEMRServicePolicy_v2

Permet EMR à Amazon d'appeler d'autres AWS services en votre nom lors de la mise en service des ressources et de l'exécution d'actions au niveau des services. Ce rôle est obligatoire pour tous les clusters.

La politique ajoute la nouvelle autorisation"ec2:DescribeInstanceTypeOfferings". Cette API opération renvoie une liste de types d'instances pris en charge par une liste de zones de disponibilité données.

IAMpolitique gérée pour un EMR accès complet à Amazon par utilisateur, rôle ou groupe attaché

Nom de la politique V2 (limitée) : AmazonEMRServicePolicy_v2

Accorde aux utilisateurs des autorisations complètes pour EMR les actions. Inclut iam : PassRole autorisations pour les ressources.

La politique ajoute une condition préalable selon laquelle les utilisateurs doivent ajouter des balises d'utilisateur aux ressources avant de pouvoir utiliser cette politique. Consultez Balisage des ressources pour l'utilisation des politiques gérées.

iam : PassRole action nécessite que la PassedToService condition iam : soit définie sur le service spécifié. L'accès à AmazonEC2, Amazon S3 et à d'autres services n'est pas autorisé par défaut. Voir IAMStratégie gérée pour un accès complet (politique par défaut gérée v2).

IAMpolitique gérée pour l'accès en lecture seule par utilisateur, rôle ou groupe attaché

Politique V1 (qui sera obsolète) : AmazonElasticMapReduceReadOnlyAccess

Nom de la politique V2 (limitée) : AmazonEMRReadOnlyAccessPolicy_v2

Permet aux utilisateurs d'obtenir des autorisations en lecture seule pour les actions AmazonEMR.

Les autorisations ne permettent que les actions en lecture seule spécifiées d'elasticmapreduce. L'accès à Amazon S3 n'est pas autorisé par défaut. Voir IAMStratégie gérée pour l'accès en lecture seule (politique par défaut gérée v2).

Rôle EMR de service par défaut et politique gérée associée

Nom du rôle : EMR_ DefaultRole

Politique V1 (à déconseiller) : AmazonElasticMapReduceRole(Rôle de EMR service)

Nom de la politique V2 (limitée) : AmazonEMRServicePolicy_v2

Permet EMR à Amazon d'appeler d'autres AWS services en votre nom lors de la mise en service des ressources et de l'exécution d'actions au niveau des services. Ce rôle est obligatoire pour tous les clusters.

Le rôle de service v2 et la politique par défaut v2 remplacent le rôle et la politique obsolètes. La politique ajoute une condition préalable selon laquelle les utilisateurs doivent ajouter des balises d'utilisateur aux ressources avant de pouvoir utiliser cette politique. Consultez Balisage des ressources pour l'utilisation des politiques gérées. Consultez Rôle de service pour Amazon EMR (EMRrôle).

Rôle de service pour les EC2 instances de cluster (profil d'EC2instance)

Nom du rôle : EMR_ EC2 _ DefaultRole

Nom de la politique obsolète : AmazonElasticMapReduceforEC2Role

Permet aux applications exécutées sur un EMR cluster d'accéder à d'autres AWS ressources, telles qu'Amazon S3. Par exemple, si vous exécutez des tâches Apache Spark qui traitent des données provenant d'Amazon S3, la politique doit autoriser l'accès à ces ressources.

Le rôle et la politique par défaut sont tous deux sur le point d'être obsolètes. Il n'existe aucun rôle ou politique géré AWS par défaut de remplacement. Vous devez fournir une politique basée sur les ressources ou sur l'identité. Cela signifie que, par défaut, les applications exécutées sur un EMR cluster n'ont pas accès à Amazon S3 ou à d'autres ressources, sauf si vous les ajoutez manuellement à la politique. Consultez Rôle et stratégie gérée par défaut.

Autres politiques relatives EC2 aux rôles de service

Noms des politiques actuelles : AmazonElasticMapReduceforAutoScalingRole, AmazonElasticMapReduceEditorsRole, A mazonEMRCleanup Policy

Fournit les autorisations dont Amazon EMR a besoin pour accéder à d'autres AWS ressources et effectuer des actions en cas d'utilisation du dimensionnement automatique, de blocs-notes ou pour nettoyer EC2 des ressources.

Aucun changement pour la version 2.

Fixation de l'objectif : PassRole

Les politiques gérées par défaut EMR des autorisations complètes d'Amazon intègrent des configurations iam:PassRole de sécurité, notamment les suivantes :

  • iam:PassRoleautorisations uniquement pour des EMR rôles Amazon par défaut spécifiques.

  • iam:PassedToServiceconditions qui vous permettent d'utiliser la politique uniquement avec AWS des services spécifiques, tels que elasticmapreduce.amazonaws.com etec2.amazonaws.com.

Vous pouvez consulter la JSON version des politiques A mazonEMRFull AccessPolicy _v2 et A mazonEMRService Policy_v2 dans la console. IAM Nous vous recommandons de créer de nouveaux clusters avec les politiques gérées v2.

Pour créer des stratégies personnalisées, nous vous recommandons de commencer avec des stratégies gérées, puis de les modifier selon vos besoins.

Pour plus d'informations sur la manière d'associer des politiques à un utilisateur (principal), consultez la section Utilisation des politiques gérées à l'aide du AWS Management Console guide de l'IAMutilisateur.

Balisage des ressources pour l'utilisation des politiques gérées

Un mazonEMRService Policy_v2 et un A mazonEMRFull AccessPolicy _v2 dépendent d'un accès limité aux ressources qu'Amazon fournit ou utilise. EMR La réduction de la portée est obtenue en limitant l'accès aux seules ressources associées à une balise utilisateur prédéfinie. Lorsque vous utilisez l'une de ces deux politiques, vous devez transmettre la balise utilisateur prédéfinie for-use-with-amazon-emr-managed-policies = true lorsque vous provisionnez le cluster. Amazon EMR propagera alors automatiquement cette balise. Vous devez également ajouter une balise utilisateur aux ressources énumérées dans la section suivante. Si vous utilisez la EMR console Amazon pour lancer votre cluster, consultezConsidérations relatives à l'utilisation de la EMR console Amazon pour lancer des clusters avec des politiques gérées dans la version v2.

Pour utiliser des politiques gérées, transmettez le tag utilisateur for-use-with-amazon-emr-managed-policies = true lorsque vous provisionnez un cluster avec la méthode CLISDK, ou une autre méthode.

Lorsque vous transmettez le tag, Amazon EMR propage le tag au sous-réseau privéENI, à l'EC2instance et aux EBS volumes qu'il crée. Amazon étiquette EMR également automatiquement les groupes de sécurité qu'il crée. Toutefois, si vous souhaitez qu'Amazon EMR soit lancé avec un certain groupe de sécurité, vous devez le baliser. Pour les ressources qui ne sont pas créées par AmazonEMR, vous devez ajouter des balises à ces ressources. Par exemple, vous devez étiqueter les EC2 sous-réseaux Amazon, les groupes de EC2 sécurité (s'ils ne sont pas créés par AmazonEMR) et VPCs (si vous souhaitez qu'Amazon EMR crée des groupes de sécurité). Pour lancer des clusters avec des politiques gérées dans la version v2VPCs, vous devez les étiqueter VPCs avec le tag utilisateur prédéfini. Consultez Considérations relatives à l'utilisation de la EMR console Amazon pour lancer des clusters avec des politiques gérées dans la version v2.

Balisage propagé spécifié par l'utilisateur

Amazon EMR balise les ressources qu'il crée à l'aide des EMR balises Amazon que vous spécifiez lors de la création d'un cluster. Amazon EMR applique des balises aux ressources qu'il crée pendant la durée de vie du cluster.

Amazon EMR diffuse des balises utilisateur pour les ressources suivantes :

  • Sous-réseau privé ENI (accès aux services, interfaces réseau élastiques)

  • EC2Instances

  • EBSVolumes

  • EC2Modèle de lancement

Groupes de sécurité balisés automatiquement

Amazon EMR étiquette les groupes de EC2 sécurité qu'il crée avec la balise requise pour les politiques gérées par la version v2 pour Amazon EMRfor-use-with-amazon-emr-managed-policies, quelles que soient les balises que vous spécifiez dans la commande create cluster. Pour un groupe de sécurité créé avant l'introduction des politiques gérées dans la version 2, Amazon EMR ne le balise pas automatiquement. Si vous voulez utiliser des politiques gérées v2 avec les groupes de sécurité par défaut qui existent déjà dans le compte, vous devez baliser les groupes de sécurité manuellement avec for-use-with-amazon-emr-managed-policies = true.

Ressources de cluster balisées manuellement

Vous devez étiqueter manuellement certaines ressources du cluster afin que les rôles par EMR défaut d'Amazon puissent y accéder.

  • Vous devez étiqueter manuellement les groupes EC2 de sécurité et les EC2 sous-réseaux avec le tag for-use-with-amazon-emr-managed-policies de politique EMR géré par Amazon.

  • Vous devez étiqueter manuellement un VPC si vous souhaitez qu'Amazon crée EMR des groupes de sécurité par défaut. EMRessaiera de créer un groupe de sécurité avec la balise spécifique si le groupe de sécurité par défaut n'existe pas déjà.

Amazon étiquette EMR automatiquement les ressources suivantes :

  • EMR-groupes de EC2 sécurité créés

Vous devez baliser manuellement les ressources suivantes :

  • EC2Sous-réseau

  • EC2Groupes de sécurité

Vous pouvez, en option, baliser manuellement les ressources suivantes :

  • VPC- uniquement lorsque vous souhaitez qu'Amazon crée EMR des groupes de sécurité

Considérations relatives à l'utilisation de la EMR console Amazon pour lancer des clusters avec des politiques gérées dans la version v2

Vous pouvez provisionner des clusters avec des politiques gérées par la version v2 à l'aide de la EMR console Amazon. Voici quelques points à prendre en compte lorsque vous utilisez la console pour lancer EMR des clusters Amazon.

  • Il n'est pas nécessaire de transmettre la balise prédéfinie. Amazon ajoute EMR automatiquement le tag et le propage aux composants appropriés.

  • Pour les composants qui doivent être balisés manuellement, l'ancienne EMR console Amazon essaie de les étiqueter automatiquement si vous disposez des autorisations requises pour étiqueter les ressources. Si vous n'êtes pas autorisé à étiqueter les ressources ou si vous souhaitez utiliser la console, demandez à votre administrateur de baliser ces ressources.

  • Vous ne pouvez pas lancer de clusters avec des politiques gérées v2 si toutes les conditions préalables ne sont pas remplies.

  • L'ancienne EMR console Amazon vous indique quelles ressources (VPC/sous-réseaux) doivent être étiquetées.

AWS politiques gérées pour Amazon EMR

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou que de nouvelles API opérations sont disponibles pour les services existants.

Pour plus d'informations, consultez la section Politiques AWS gérées dans le Guide de IAM l'utilisateur.