Peran runtime Job untuk Amazon Serverless EMR - Amazon EMR

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Peran runtime Job untuk Amazon Serverless EMR

Anda dapat menentukan izin IAM peran yang dapat diasumsikan oleh menjalankan pekerjaan EMR Tanpa Server saat memanggil layanan lain atas nama Anda. Ini termasuk akses ke Amazon S3 untuk sumber data, target, serta sumber AWS daya lain seperti cluster Amazon Redshift dan tabel DynamoDB. Untuk mempelajari lebih lanjut tentang cara membuat peran, lihatBuat peran runtime pekerjaan.

Contoh kebijakan runtime

Anda dapat melampirkan kebijakan runtime, seperti berikut ini, ke peran runtime pekerjaan. Kebijakan runtime pekerjaan berikut memungkinkan:

  • Baca akses ke ember Amazon S3 dengan sampel. EMR

  • Akses penuh ke ember S3.

  • Buat dan baca akses ke AWS Glue Data Catalog.

Untuk menambahkan akses ke AWS sumber daya lain seperti DynamoDB, Anda harus menyertakan izin untuk sumber daya tersebut dalam kebijakan saat membuat peran runtime. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ReadAccessForEMRSamples",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::*.elasticmapreduce",
                "arn:aws:s3:::*.elasticmapreduce/*"
            ]
        },
        {
            "Sid": "FullAccessToS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        },
        {
            "Sid": "GlueCreateAndReadDataCatalog",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:CreateDatabase",
                "glue:GetDataBases",
                "glue:CreateTable",
                "glue:GetTable",
                "glue:UpdateTable",
                "glue:DeleteTable",
                "glue:GetTables",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:CreatePartition",
                "glue:BatchCreatePartition",
                "glue:GetUserDefinedFunctions"
            ],
            "Resource": ["*"]
        }
    ]
}

Lulus hak istimewa peran

Anda dapat melampirkan kebijakan IAM izin ke peran pengguna untuk memungkinkan pengguna hanya meneruskan peran yang disetujui. Hal ini memungkinkan administrator untuk mengontrol pengguna mana yang dapat meneruskan peran runtime pekerjaan tertentu ke pekerjaan Tanpa EMR Server. Untuk mempelajari lebih lanjut tentang menyetel izin, lihat Memberikan izin pengguna untuk meneruskan peran ke layanan. AWS

Berikut ini adalah contoh kebijakan yang memungkinkan meneruskan peran runtime pekerjaan ke prinsipal layanan EMR Tanpa Server.

{
     "Effect": "Allow",
     "Action": "iam:PassRole",
     "Resource": "arn:aws:iam::1234567890:role/JobRuntimeRoleForEMRServerless",
        "Condition": {
                "StringLike": {
                    "iam:PassedToService": "emr-serverless.amazonaws.com"
                }
            }
}