Accorder des autorisations Lancez un cluster.Utiliser le cluster avec votre Workspace Considérations

Exécuter un espace de travail de EMR studio avec un rôle d'exécution

Note

La fonctionnalité du rôle d'exécution décrite sur cette page s'applique uniquement à Amazon EMR exécuté sur Amazon EC2 et ne fait pas référence à la fonctionnalité du rôle d'exécution dans les applications interactives EMR sans serveur. Pour en savoir plus sur l'utilisation des rôles d'exécution dans EMR Serverless, consultez la section Rôles d'exécution Job dans le guide de l'utilisateur Amazon EMR Serverless.

Un rôle d'exécution est un rôle AWS Identity and Access Management (IAM) que vous pouvez spécifier lorsque vous soumettez une tâche ou une requête à un EMR cluster Amazon. La tâche ou la requête que vous soumettez à votre EMR cluster utilise le rôle d'exécution pour accéder à AWS des ressources, telles que des objets dans Amazon S3.

Lorsque vous associez un espace de travail de EMR studio à un EMR cluster qui utilise Amazon EMR 6.11 ou version ultérieure, vous pouvez sélectionner un rôle d'exécution pour le travail ou la requête que vous soumettez afin de l'utiliser lorsqu'il accède AWS aux ressources. Toutefois, si le EMR cluster ne prend pas en charge les rôles d'exécution, il n'assumera pas ce rôle lorsqu'il accède aux AWS ressources. EMR

Avant de pouvoir utiliser un rôle d'exécution dans un espace de travail Amazon EMR Studio, un administrateur doit configurer les autorisations utilisateur afin que celui-ci puisse appeler elasticmapreduce:GetClusterSessionCredentials API le rôle d'exécution. Lancez ensuite un nouveau cluster doté d'un rôle d'exécution que vous pouvez utiliser avec votre espace de travail Amazon EMR Studio.

Sur cette page

Configurer les autorisations utilisateur pour le rôle d'exécution
Lancer un nouveau cluster avec un rôle d'exécution
Utiliser le EMR cluster avec un rôle d'exécution dans Workspaces
Considérations

Configurer les autorisations utilisateur pour le rôle d'exécution

Configurez les autorisations utilisateur afin que l'utilisateur de Studio puisse appeler elasticmapreduce:GetClusterSessionCredentials API le rôle d'exécution qu'il souhaite utiliser. Vous devez également configurer Configurer les autorisations utilisateur de EMR Studio pour Amazon EC2 ou Amazon EKS avant que l'utilisateur puisse commencer à utiliser Studio.

Avertissement

Pour accorder cette autorisation, créez une condition basée sur la clé de elasticmapreduce:ExecutionRoleArn contexte lorsque vous autorisez un appelant à appeler le GetClusterSessionCredentialsAPIs. Les exemples suivants vous montre comment procéder.


{
      "Sid": "AllowSpecificExecRoleArn",
      "Effect": "Allow",
      "Action": [
          "elasticmapreduce:GetClusterSessionCredentials"
      ],
      "Resource": "*",
      "Condition": {
          "StringEquals": {
              "elasticmapreduce:ExecutionRoleArn": [
                  "arn:aws:iam::111122223333:role/test-emr-demo1",
                  "arn:aws:iam::111122223333:role/test-emr-demo2"
              ]
          }
      }
  }

L'exemple suivant montre comment autoriser un IAM principal à utiliser un IAM rôle nommé test-emr-demo3 rôle d'exécution. En outre, le titulaire de la police ne pourra accéder aux EMR clusters Amazon qu'avec l'ID du clusterj-123456789.


{
    "Sid":"AllowSpecificExecRoleArn",
    "Effect":"Allow",
    "Action":[
        "elasticmapreduce:GetClusterSessionCredentials"
    ],
    "Resource": [
          "arn:aws:elasticmapreduce:<region>:111122223333:cluster/j-123456789"
     ],
    "Condition":{
        "StringEquals":{
            "elasticmapreduce:ExecutionRoleArn":[
                "arn:aws:iam::111122223333:role/test-emr-demo3"
            ]
        }
    }
}

L'exemple suivant permet à un IAM principal d'utiliser n'importe quel IAM rôle dont le nom commence par la chaîne test-emr-demo4 comme rôle d'exécution. En outre, le preneur d'assurance ne pourra accéder qu'aux EMR clusters Amazon étiquetés avec la paire clé-valeur. tagKey: tagValue


{
    "Sid":"AllowSpecificExecRoleArn",
    "Effect":"Allow",
    "Action":[
        "elasticmapreduce:GetClusterSessionCredentials"
    ],
    "Resource": "*",
    "Condition":{
        "StringEquals":{
             "elasticmapreduce:ResourceTag/tagKey": "tagValue"
        },
        "StringLike":{
            "elasticmapreduce:ExecutionRoleArn":[
                "arn:aws:iam::111122223333:role/test-emr-demo4*"
            ]
        }
    }
}

Lancer un nouveau cluster avec un rôle d'exécution

Maintenant que vous disposez des autorisations requises, lancez un nouveau cluster avec un rôle d'exécution que vous pouvez utiliser avec votre espace de travail Amazon EMR Studio.

Si vous avez déjà lancé un nouveau cluster doté d'un rôle d'exécution, vous pouvez passer à la section Utiliser le EMR cluster avec un rôle d'exécution dans Workspaces.

Tout d'abord, remplissez les conditions requises dans la section Rôles d'exécution pour Amazon EMR Steps.
Lancez ensuite un cluster avec les paramètres suivants pour utiliser les rôles d'exécution avec Amazon EMR Studio Workspaces. Pour savoir comment mettre à jour votre cluster, consultez Spécifier une configuration de sécurité pour un EMR cluster Amazon.
- Pour la version emr-6.11.0 ou ultérieure.
- Sélectionnez Spark, Livy et Jupyter Enterprise Gateway comme applications de cluster.
- Utilisez la configuration de sécurité que vous avez créée à l'étape précédente.
- Vous pouvez éventuellement activer Lake Formation pour votre EMR cluster. Pour de plus amples informations, veuillez consulter Activez la formation de Lake avec Amazon EMR.

Après avoir lancé votre cluster, vous êtes prêt à utiliser le cluster doté de rôles d'exécution avec un espace de travail EMR Studio.

Note

La ExecutionRoleArnvaleur n'est actuellement pas prise en charge par l' StartNotebookExecutionAPIExecutionEngineConfig.Typeopération lorsqu'elle estEMR.

Utiliser le EMR cluster avec un rôle d'exécution dans Workspaces

Une fois que vous avez configuré et lancé votre cluster, vous pouvez utiliser le cluster doté de rôles d'exécution avec votre espace de travail EMR Studio.

Créer un nouvel Workspace ou lancer un Workspace existant. Pour de plus amples informations, veuillez consulter Création d'un espace de travail de EMR studio.
Choisissez l'onglet EMRclusters dans la barre latérale gauche de votre espace de travail ouvert, développez la section Type de calcul et choisissez votre cluster dans le EC2 menu du EMRcluster, et le rôle d'exécution dans le menu Rôle d'exécution.
Choisissez Attacher pour rattacher le cluster doté du rôle d'exécution à votre Workspace.

Considérations

Tenez compte des considérations suivantes lorsque vous utilisez un cluster doté de rôles d'exécution avec votre espace de travail Amazon EMR Studio :

Vous ne pouvez sélectionner un rôle d'exécution que lorsque vous associez un espace de travail de EMR studio à un EMR cluster qui utilise Amazon EMR version 6.11 ou ultérieure.
La fonctionnalité du rôle d'exécution décrite sur cette page n'est prise en charge qu'avec Amazon EMR exécuté sur Amazon EC2 et n'est pas prise en charge avec les applications interactives EMR sans serveur. Pour en savoir plus sur les rôles d'exécution pour EMR Serverless, consultez la section sur les rôles d'exécution Job dans le guide de l'utilisateur Amazon EMR Serverless.
Bien que vous deviez configurer des autorisations supplémentaires avant de pouvoir spécifier un rôle d'exécution lorsque vous soumettez une tâche à un cluster, vous n'avez pas besoin d'autorisations supplémentaires pour accéder aux fichiers générés par un espace de travail EMR Studio. Les autorisations pour ces fichiers sont les mêmes que celles des fichiers générés à partir de clusters sans rôles d'exécution.
Vous ne pouvez pas utiliser SQL Explorer dans un espace de travail de EMR studio avec un cluster doté d'un rôle d'exécution. Amazon EMR désactive SQL Explorer dans l'interface utilisateur lorsqu'un espace de travail est associé à un cluster doté de rôles EMR d'exécution.
Vous ne pouvez pas utiliser le mode collaboration dans un espace de travail de EMR studio avec un cluster doté d'un rôle d'exécution. Amazon EMR désactive les fonctionnalités de collaboration d'un espace de travail lorsqu'un espace de travail est associé à un cluster doté de rôles EMR d'exécution. Le Workspace restera accessible uniquement à l'utilisateur qui l'a rattaché.
Vous ne pouvez pas utiliser de rôles d'exécution dans un studio dans lequel la propagation d'IAMidentité sécurisée Identity Center est activée.
Vous pourriez recevoir un message d'avertissement « La page n'est peut-être pas sûre ! » depuis l'interface utilisateur de Spark pour un cluster doté de rôles d'exécution. Dans ce cas, contournez l'alerte pour rester sur l'interface utilisateur de Spark.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Collaboration dans Workspace

Exécuter les blocs-notes Amazon EMR Studio Workspace Workspace par programmation