Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Peran runtime Job untuk Amazon Serverless EMR
Anda dapat menentukan izin IAM peran yang dapat diasumsikan oleh menjalankan pekerjaan EMR Tanpa Server saat memanggil layanan lain atas nama Anda. Ini termasuk akses ke Amazon S3 untuk sumber data, target, serta sumber AWS daya lain seperti cluster Amazon Redshift dan tabel DynamoDB. Untuk mempelajari lebih lanjut tentang cara membuat peran, lihatBuat peran runtime pekerjaan.
Contoh kebijakan runtime
Anda dapat melampirkan kebijakan runtime, seperti berikut ini, ke peran runtime pekerjaan. Kebijakan runtime pekerjaan berikut memungkinkan:
-
Baca akses ke ember Amazon S3 dengan sampel. EMR
-
Akses penuh ke ember S3.
-
Buat dan baca akses ke AWS Glue Data Catalog.
Untuk menambahkan akses ke AWS sumber daya lain seperti DynamoDB, Anda harus menyertakan izin untuknya dalam kebijakan saat membuat peran runtime.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadAccessForEMRSamples", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::*.elasticmapreduce", "arn:aws:s3:::*.elasticmapreduce/*" ] }, { "Sid": "FullAccessToS3Bucket", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ] }, { "Sid": "GlueCreateAndReadDataCatalog", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:CreateDatabase", "glue:GetDataBases", "glue:CreateTable", "glue:GetTable", "glue:UpdateTable", "glue:DeleteTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:CreatePartition", "glue:BatchCreatePartition", "glue:GetUserDefinedFunctions" ], "Resource": ["*"] } ] }
Lulus hak istimewa peran
Anda dapat melampirkan kebijakan IAM izin ke peran pengguna untuk memungkinkan pengguna hanya meneruskan peran yang disetujui. Hal ini memungkinkan administrator untuk mengontrol pengguna mana yang dapat meneruskan peran runtime pekerjaan tertentu ke pekerjaan Tanpa EMR Server. Untuk mempelajari lebih lanjut tentang menyetel izin, lihat Memberikan izin pengguna untuk meneruskan peran ke layanan. AWS
Berikut ini adalah contoh kebijakan yang memungkinkan meneruskan peran runtime pekerjaan ke prinsipal layanan EMR Tanpa Server.
{ "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::1234567890:role/JobRuntimeRoleForEMRServerless", "Condition": { "StringLike": { "iam:PassedToService": "emr-serverless.amazonaws.com" } } }
Kebijakan izin terkelola yang terkait dengan peran runtime
Saat Anda mengirimkan pekerjaan berjalan ke EMR tanpa server melalui konsol EMR Studio, ada langkah di mana Anda memilih peran Runtime untuk dikaitkan dengan aplikasi Anda. Ada kebijakan terkelola mendasar yang terkait dengan setiap pilihan di konsol yang penting untuk diperhatikan. Tiga pilihan tersebut adalah sebagai berikut:
Semua bucket — Ketika Anda memilih ini, ini menentukan kebijakan FullAccess AWS terkelola AmazonS3, yang menyediakan akses penuh ke semua bucket.
Bucket khusus — Ini menentukan nama sumber daya Amazon (ARN) identifier dari setiap bucket yang Anda pilih. Tidak ada kebijakan terkelola yang mendasarinya disertakan.
Tidak ada - Tidak ada izin kebijakan terkelola yang disertakan.
Kami merekomendasikan menambahkan ember tertentu. Jika Anda memilih semua ember, perlu diingat bahwa itu menetapkan akses penuh untuk semua ember.
