Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de rôles liés à un service pour Amazon EMR à des fins de nettoyage
Amazon EMR utilise AWS Identity and Access Management (IAM) des rôles liés à un service. Un rôle lié à un service est un type unique de IAM rôle directement lié à Amazon. EMR Les rôles liés au service sont prédéfinis par Amazon EMR et incluent toutes les autorisations requises par le service pour appeler d'autres AWS services en votre nom.
Les rôles liés à un service fonctionnent conjointement avec le rôle de EMR service Amazon et le profil d'EC2instance Amazon pour Amazon. EMR Pour plus d'informations sur le rôle de service et le profil d'instance, consultez la section Configurer les rôles IAM de service pour les EMR autorisations Amazon relatives aux AWS services et aux ressources.
Un rôle lié à un service facilite la configuration d'AmazonEMR, car vous n'avez pas à ajouter manuellement les autorisations nécessaires. Amazon EMR définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul Amazon EMR peut assumer ses rôles. Les autorisations définies incluent la politique de confiance et la politique d'autorisations, et cette politique d'autorisations ne peut être attachée à aucune autre IAM entité.
Vous ne pouvez supprimer ce rôle lié à un service pour Amazon EMR qu'après avoir supprimé les ressources associées et résilié tous les EMR clusters du compte. Cela protège vos EMR ressources Amazon afin que vous ne puissiez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Utilisation de rôles liés à un service pour le nettoyage
Amazon EMR utilise le AWSServiceRoleForEMRCleanuprôle basé sur le service pour EMR autoriser Amazon à résilier et à supprimer les EC2 ressources Amazon en votre nom si le rôle EMR lié au service Amazon perd cette fonctionnalité. Amazon EMR crée automatiquement le rôle lié au service lors de la création du cluster s'il n'existe pas déjà.
Le rôle AWSServiceRoleForEMRCleanup lié à un service fait confiance aux services suivants pour assumer le rôle :
-
elasticmapreduce.amazonaws.com
La politique d'autorisation des rôles AWSServiceRoleForEMRCleanup liés au service permet EMR à Amazon d'effectuer les actions suivantes sur les ressources spécifiées :
-
Action :
DescribeInstances
surec2
-
Action :
DescribeSpotInstanceRequests
surec2
-
Action :
ModifyInstanceAttribute
surec2
-
Action :
TerminateInstances
surec2
-
Action :
CancelSpotInstanceRequests
surec2
-
Action :
DeleteNetworkInterface
surec2
-
Action :
DescribeInstanceAttribute
surec2
-
Action :
DescribeVolumeStatus
surec2
-
Action :
DescribeVolumes
surec2
-
Action :
DetachVolume
surec2
-
Action :
DeleteVolume
surec2
Vous devez configurer les autorisations pour autoriser une IAM entité (telle qu'un utilisateur, un groupe ou un rôle) à créer, modifier ou supprimer un rôle lié à un service.
Création d'un rôle lié à un service pour Amazon EMR
Il n'est pas nécessaire de créer le AWSServiceRoleForEMRCleanup rôle manuellement. Lorsque vous lancez un cluster, que ce soit pour la première fois ou lorsque le rôle AWSServiceRoleForEMRCleanup lié au service n'est pas présent, Amazon EMR crée le rôle AWSServiceRoleForEMRCleanup lié au service pour vous. Vous devez disposer des autorisations nécessaires pour créer un rôle lié à un service. Pour un exemple d'instruction qui ajoute cette fonctionnalité à la politique d'autorisation d'une IAM entité (telle qu'un utilisateur, un groupe ou un rôle), consultezUtilisation de rôles liés à un service pour Amazon EMR à des fins de nettoyage.
Important
Si vous avez utilisé Amazon EMR avant le 24 octobre 2017, date à laquelle les rôles liés à un service n'étaient pas pris en charge, Amazon EMR a créé le rôle AWSServiceRoleForEMRCleanup lié à un service dans votre compte. Pour plus d'informations, voir Un nouveau rôle est apparu dans mon IAM compte.
Modifier un rôle lié à un service pour Amazon EMR
Amazon EMR ne vous autorise pas à modifier le rôle AWSServiceRoleForEMRCleanup lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas modifier le nom du rôle lié à un service car diverses entités peuvent faire référence au rôle lié à un service. Toutefois, vous pouvez modifier la description du rôle lié au service à l'aide de. IAM
Modification de la description d'un rôle lié à un service (console) IAM
Vous pouvez utiliser la IAM console pour modifier la description d'un rôle lié à un service.
Pour modifier la description d'un rôle lié à un service (console)
-
Dans le volet de navigation de la IAM console, sélectionnez Rôles.
-
Choisissez le nom du rôle à modifier.
-
À droite de Description du rôle, choisissez Modifier.
-
Saisissez une nouvelle description dans le champ et sélectionnez Save changes (Enregistrer les modifications).
Modification de la description d'un rôle lié à un service () IAM CLI
Vous pouvez utiliser IAM les commandes du AWS Command Line Interface pour modifier la description d'un rôle lié à un service.
Pour modifier la description d'un rôle lié à un service () CLI
-
(Facultatif) Pour afficher la description actuelle d'un rôle, utilisez les commandes suivantes :
$
aws iam get-role --role-name
role-name
Utilisez le nom du rôle, et non leARN, pour faire référence aux rôles associés aux CLI commandes. Par exemple, si un rôle présente les caractéristiques suivantes ARN :
arn:aws:iam::123456789012:role/myrole
, vous le qualifiez demyrole
. -
Pour mettre à jour la description d'un rôle lié à un service, utilisez l'une des commandes suivantes :
$
aws iam update-role-description --role-name
role-name
--descriptiondescription
Modification de la description d'un rôle lié à un service () IAM API
Vous pouvez utiliser le IAM API pour modifier la description d'un rôle lié à un service.
Pour modifier la description d'un rôle lié à un service () API
-
(Facultatif) Pour afficher la description actuelle d'un rôle, utilisez la commande suivante :
IAM API: GetRole
-
Pour mettre à jour la description d'un rôle, utilisez la commande suivante :
IAM API: UpdateRoleDescription
Supprimer un rôle lié à un service pour Amazon EMR
Si vous n'avez plus besoin d'utiliser une fonctionnalité ou un service nécessitant un rôle lié à un service, nous vous recommandons de supprimer ce rôle lié à un service. De cette façon, vous n'avez aucune entité inutilisée non surveillée ou non gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer.
Nettoyer un rôle lié à un service
Avant de pouvoir supprimer un rôle lié IAM à un service, vous devez d'abord confirmer que le rôle lié à un service n'a aucune session active et supprimer toutes les ressources utilisées par le rôle lié à un service.
Pour vérifier si le rôle lié à un service possède une session active dans la console IAM
Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation, choisissez Roles (Rôles). Sélectionnez le nom (et non la case à cocher) du rôle AWSServiceRoleForEMRCleanup lié au service.
-
Sur la page Résumé du rôle lié au service sélectionné, choisissez Access Advisor.
-
Dans l'onglet Access Advisor, consultez l'activité récente pour le rôle lié à un service.
Note
Si vous ne savez pas si Amazon EMR utilise le rôle AWSServiceRoleForEMRCleanup lié au service, vous pouvez essayer de le supprimer. Si le service utilise le rôle lié au service, la suppression échoue et vous pouvez afficher les régions dans lesquelles le rôle lié au service est utilisé. Si le rôle lié au service est utilisé, vous devez attendre la fin de la session avant de pouvoir supprimer le rôle lié au service. Vous ne pouvez pas révoquer la session d'un rôle lié à un service.
Pour supprimer les EMR ressources Amazon utilisées par AWSServiceRoleForEMRCleanup
-
Mettez fin à tous les clusters de votre compte. Pour de plus amples informations, veuillez consulter Mettre fin à un EMR cluster Amazon en état de démarrage, en cours d'exécution ou en attente.
Supprimer un rôle lié à un service (console) IAM
Vous pouvez utiliser la IAM console pour supprimer un rôle lié à un service.
Pour supprimer un rôle lié à un service (console)
Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation, choisissez Roles (Rôles). Cochez la case située à côté AWSServiceRoleForEMRCleanup, et non le nom ou la ligne elle-même.
-
Pour les actions sur les Rôle en haut de la page, sélectionnez Supprimer.
-
Dans la boîte de dialogue de confirmation, passez en revue les données du dernier accès au service, qui indiquent la date à laquelle chacun des rôles sélectionnés a accédé à un AWS service pour la dernière fois. Cela vous permet de confirmer si le rôle est actif actuellement. Pour poursuivre, choisissez Oui, supprimer.
-
Regardez les notifications de la IAM console pour suivre la progression de la suppression des rôles liés au service. La suppression du rôle IAM lié au service étant asynchrone, une fois que vous avez soumis le rôle lié au service pour suppression, la tâche de suppression peut réussir ou échouer. Si la tâche échoue, vous pouvez choisir View details (Afficher les détails) ou View Resources (Afficher les ressources) à partir des notifications pour connaître le motif de l'échec de la suppression. Si la suppression échoue parce que certaines ressources du service sont actuellement utilisées par le rôle, la raison de l'échec comprend une liste de ressources.
Supprimer un rôle lié à un service () IAM CLI
Vous pouvez utiliser IAM les commandes du AWS Command Line Interface pour supprimer un rôle lié à un service. Dans la mesure où un rôle lié à un service ne peut pas être supprimé s'il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Si ces conditions ne sont pas satisfaites, cette demande peut être refusée.
Pour supprimer un rôle lié à un service () CLI
-
Pour vérifier l'état de la tâche de suppression, vous devez capturer l'information
deletion-task-id
dans la réponse. Tapez la commande suivante pour envoyer une demande de suppression d'un rôle lié à un service :$
aws iam delete-service-linked-role --role-name AWSServiceRoleForEMRCleanup
-
Tapez la commande suivante pour vérifier l'état de la tâche de suppression :
$
aws iam get-service-linked-role-deletion-status --deletion-task-id
deletion-task-id
L’état de la tâche de suppression peut être
NOT_STARTED
,IN_PROGRESS
,SUCCEEDED
ouFAILED
. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution.
Supprimer un rôle lié à un service () IAM API
Vous pouvez utiliser le IAM API pour supprimer un rôle lié à un service. Dans la mesure où un rôle lié à un service ne peut pas être supprimé s'il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Si ces conditions ne sont pas satisfaites, cette demande peut être refusée.
Pour supprimer un rôle lié à un service () API
-
Pour soumettre une demande de suppression pour un rôle lié à un service, appelez. DeleteServiceLinkedRole Dans la demande, spécifiez le nom du AWSServiceRoleForEMRCleanup rôle.
Pour vérifier l'état de la tâche de suppression, vous devez capturer l'information
DeletionTaskId
dans la réponse. -
Pour vérifier l'état de la suppression, appelez GetServiceLinkedRoleDeletionStatus. Dans la demande, spécifiez le
DeletionTaskId
.L’état de la tâche de suppression peut être
NOT_STARTED
,IN_PROGRESS
,SUCCEEDED
ouFAILED
. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution.
Régions prises en charge pour AWSServiceRoleForEMRCleanup
Amazon EMR prend en charge l'utilisation du rôle AWSServiceRoleForEMRCleanup lié au service dans les régions suivantes.
Nom de la région | Identité de la région | Support sur Amazon EMR |
---|---|---|
US East (Virginie du Nord) | us-east-1 | Oui |
USA Est (Ohio) | us-east-2 | Oui |
USA Ouest (Californie du Nord) | us-west-1 | Oui |
USA Ouest (Oregon) | us-west-2 | Oui |
Asie-Pacifique (Mumbai) | ap-south-1 | Oui |
Asie-Pacifique (Osaka) | ap-northeast-3 | Oui |
Asie-Pacifique (Séoul) | ap-northeast-2 | Oui |
Asie-Pacifique (Singapour) | ap-southeast-1 | Oui |
Asie-Pacifique (Sydney) | ap-southeast-2 | Oui |
Asie-Pacifique (Tokyo) | ap-northeast-1 | Oui |
Canada (Centre) | ca-central-1 | Oui |
Europe (Francfort) | eu-central-1 | Oui |
Europe (Irlande) | eu-west-1 | Oui |
Europe (Londres) | eu-west-2 | Oui |
Europe (Paris) | eu-west-3 | Oui |
Amérique du Sud (São Paulo) | sa-east-1 | Oui |