Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Rôle de service pour les EMR ordinateurs portables
Chaque EMR bloc-notes a besoin d'autorisations pour accéder à d'autres AWS ressources et effectuer des actions. Les IAM politiques associées à ce rôle de service autorisent le bloc-notes à interagir avec d'autres AWS services. Lorsque vous créez un bloc-notes à l'aide du AWS Management Console, vous spécifiez un rôle AWS de service. Vous pouvez utiliser le rôle par défaut, EMR_Notebooks_DefaultRole, ou spécifier un rôle que vous créez. Si un bloc-notes n'a pas été créé auparavant, vous pouvez choisir de créer le rôle par défaut.
-
Le nom de rôle par défaut est
EMR_Notebooks_DefaultRole. -
Les politiques gérées par défaut attachées à
EMR_Notebooks_DefaultRolesontAmazonElasticMapReduceEditorsRoleetS3FullAccessPolicy.
Votre rôle de service doit utiliser la politique d'approbation suivante.
Important
La politique de confiance suivante inclut les clés de condition aws:SourceArnet les clés de condition aws:SourceAccountglobales, qui limitent les autorisations que vous accordez EMR à Amazon à certaines ressources de votre compte. L'utilisation de ces clés peut vous protéger contre le problème de l'adjoint confus.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "elasticmapreduce.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "<account-id>" }, "ArnLike": { "aws:SourceArn": "arn:aws:elasticmapreduce:<region>:<account-id>:*" } } } ] }
Le contenu de la version 1 de AmazonElasticMapReduceEditorsRole est le suivant.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "elasticmapreduce:ListInstances", "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListSteps" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "aws:elasticmapreduce:editor-id", "aws:elasticmapreduce:job-flow-id" ] } } } ] }
Voici le contenu de S3FullAccessPolicy. S3FullAccessPolicyCela permet à votre rôle de service pour EMR Notebooks d'effectuer toutes les actions Amazon S3 sur les objets de votre Compte AWS. Lorsque vous créez un rôle de service personnalisé pour les EMR ordinateurs portables, vous devez lui accorder des autorisations Amazon S3.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": "*" } ] }
Vous pouvez limiter l'accès en lecture et en écriture de votre rôle de service à l'emplacement Amazon S3 où vous voulez enregistrer les fichiers de vos blocs-notes. Utilisez l'ensemble minimum d'autorisations Amazon S3 suivant.
"s3:PutObject", "s3:GetObject", "s3:GetEncryptionConfiguration", "s3:ListBucket", "s3:DeleteObject"
Si votre compartiment Amazon S3 est chiffré, vous devez inclure les autorisations suivantes pour AWS Key Management Service.
"kms:Decrypt", "kms:GenerateDataKey", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey"
Lorsque vous liez des référentiels Git à votre bloc-notes et que vous devez créer un secret pour le référentiel, vous devez ajouter l'secretsmanager:GetSecretValueautorisation dans la IAM politique attachée au rôle de service pour les EMR blocs-notes Amazon. Voici un exemple de stratégie :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] }
EMRAutorisations relatives aux rôles de service pour ordinateurs portables
Ce tableau répertorie les actions effectuées par EMR Notebooks à l'aide du rôle de service, ainsi que les autorisations nécessaires pour chaque action.
| Action | Autorisations |
|---|---|
| Établissez un canal réseau sécurisé entre un bloc-notes et un EMR cluster Amazon, et effectuez les actions de nettoyage nécessaires. |
|
| Utiliser les informations d'identification Git stockées dans AWS Secrets Manager pour lier des référentiels Git à un bloc-notes. |
|
| Appliquez des AWS balises à l'interface réseau et aux groupes de sécurité par défaut créés par EMR Notebooks lors de la configuration du canal réseau sécurisé. Pour plus d'informations, veuillez consulter la rubrique Balisage des ressources AWS. |
|
| Accédez aux fichiers et aux métadonnées des blocs-notes ou chargez-les sur Amazon S3. |
Les autorisations suivantes ne sont requises que si vous utilisez un compartiment Amazon S3 chiffré.
|
EMRMises à jour des politiques AWS gérées dans les blocs-notes
Consultez les détails des mises à jour apportées aux politiques AWS gérées pour les EMR ordinateurs portables depuis le 1er mars 2021.
| Modification | Description | Date |
|---|---|---|
AmazonElasticMapReduceEditorsRole - Added
permissions |
EMRCarnets de notes ajoutés |
8 février 2023 |
EMRLes ordinateurs portables ont commencé à suivre les modifications |
EMRNotebooks a commencé à suivre les modifications apportées à ses politiques AWS gérées. |
8 février 2023 |
