Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh kebijakan akses pengguna untuk Tanpa EMR Server
Anda dapat menyiapkan kebijakan berbutir halus untuk pengguna Anda tergantung pada tindakan yang ingin dilakukan setiap pengguna saat berinteraksi dengan aplikasi Tanpa Server. EMR Kebijakan berikut adalah contoh yang mungkin membantu dalam menyiapkan izin yang tepat untuk pengguna Anda. Bagian ini hanya berfokus pada kebijakan EMR Tanpa Server. Untuk contoh kebijakan pengguna EMR Studio, lihat Mengonfigurasi izin pengguna EMR Studio. Untuk informasi tentang cara melampirkan kebijakan ke IAM pengguna (prinsipal), lihat Mengelola IAM kebijakan di Panduan Pengguna. IAM
Kebijakan pengguna daya
Untuk memberikan semua tindakan yang diperlukan untuk EMR Tanpa Server, buat dan lampirkan AmazonEMRServerlessFullAccess kebijakan ke IAM pengguna, peran, atau grup yang diperlukan.
Berikut ini adalah contoh kebijakan yang memungkinkan pengguna daya untuk membuat dan memodifikasi aplikasi EMR Tanpa Server, serta melakukan tindakan lain seperti mengirimkan dan men-debug pekerjaan. Ini mengungkapkan semua tindakan yang diperlukan EMR Tanpa Server untuk layanan lain.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EMRServerlessActions", "Effect": "Allow", "Action": [ "emr-serverless:CreateApplication", "emr-serverless:UpdateApplication", "emr-serverless:DeleteApplication", "emr-serverless:ListApplications", "emr-serverless:GetApplication", "emr-serverless:StartApplication", "emr-serverless:StopApplication", "emr-serverless:StartJobRun", "emr-serverless:CancelJobRun", "emr-serverless:ListJobRuns", "emr-serverless:GetJobRun" ], "Resource": "*" } ] }
Saat Anda mengaktifkan konektivitas jaringan ke AndaVPC, aplikasi EMR Tanpa Server membuat antarmuka jaringan EC2 elastis Amazon (ENIs) untuk berkomunikasi dengan sumber daya. VPC Kebijakan berikut memastikan bahwa setiap EC2 ENIs yang baru hanya dibuat dalam konteks aplikasi EMR Tanpa Server.
catatan
Kami sangat menyarankan untuk menetapkan kebijakan ini untuk memastikan bahwa pengguna tidak dapat membuat EC2 ENIs kecuali dalam konteks peluncuran aplikasi EMR Tanpa Server.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowEC2ENICreationWithEMRTags", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "ops.emr-serverless.amazonaws.com" } } } }
Jika Anda ingin membatasi akses EMR Tanpa Server ke subnet tertentu, Anda dapat menandai setiap subnet dengan kondisi tag. IAMKebijakan ini memastikan bahwa aplikasi EMR Tanpa Server hanya dapat membuat EC2 ENIs dalam subnet yang diizinkan.
{ "Sid": "AllowEC2ENICreationInSubnetAndSecurityGroupWithEMRTags", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/KEY": "VALUE" } } }
penting
Jika Anda seorang Administrator atau pengguna daya yang membuat aplikasi pertama, Anda harus mengonfigurasi kebijakan izin untuk memungkinkan Anda membuat peran terkait layanan EMR Tanpa Server. Untuk mempelajari selengkapnya, lihat Menggunakan peran terkait layanan untuk Tanpa Server EMR.
IAMKebijakan berikut memungkinkan Anda membuat peran terkait layanan EMR Tanpa Server untuk akun Anda.
{ "Sid":"AllowEMRServerlessServiceLinkedRoleCreation", "Effect":"Allow", "Action":"iam:CreateServiceLinkedRole", "Resource":"arn:aws:iam::account-id:role/aws-service-role/ops.emr-serverless.amazonaws.com/AWSServiceRoleForAmazonEMRServerless" }
Kebijakan insinyur data
Berikut ini adalah contoh kebijakan yang memungkinkan pengguna izin hanya-baca pada aplikasi EMR Tanpa Server, serta kemampuan untuk mengirimkan dan men-debug pekerjaan. Perlu diingat bahwa karena kebijakan ini tidak secara eksplisit menolak tindakan, pernyataan kebijakan yang berbeda masih dapat digunakan untuk memberikan akses ke tindakan tertentu.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EMRServerlessActions", "Effect": "Allow", "Action": [ "emr-serverless:ListApplications", "emr-serverless:GetApplication", "emr-serverless:StartApplication", "emr-serverless:StartJobRun", "emr-serverless:CancelJobRun", "emr-serverless:ListJobRuns", "emr-serverless:GetJobRun" ], "Resource": "*" } ] }
Menggunakan tag untuk kontrol akses
Anda dapat menggunakan kondisi tag untuk kontrol akses berbutir halus. Misalnya, Anda dapat membatasi pengguna dari satu tim sehingga mereka hanya dapat mengirimkan pekerjaan ke aplikasi EMR Tanpa Server yang ditandai dengan nama tim mereka.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EMRServerlessActions", "Effect": "Allow", "Action": [ "emr-serverless:ListApplications", "emr-serverless:GetApplication", "emr-serverless:StartApplication", "emr-serverless:StartJobRun", "emr-serverless:CancelJobRun", "emr-serverless:ListJobRuns", "emr-serverless:GetJobRun" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Team": "team-name" } } } ] }
