Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Berikan pengguna akses ke Amazon EMR di EKS
Untuk tindakan apa pun yang Anda lakukan EMR di AmazonEKS, Anda memerlukan IAM izin yang sesuai untuk tindakan itu. Anda harus membuat IAM kebijakan yang memungkinkan Anda melakukan EKS tindakan EMR Amazon dan melampirkan kebijakan tersebut ke IAM pengguna atau peran yang Anda gunakan.
Topik ini menyediakan langkah-langkah untuk membuat kebijakan baru dan melampirkannya ke pengguna. Ini juga mencakup izin dasar yang Anda perlukan untuk mengatur EKS lingkungan EMR Amazon Anda. Sebaiknya Anda menyempurnakan izin ke sumber daya tertentu bila memungkinkan berdasarkan kebutuhan bisnis Anda.
Membuat IAM kebijakan baru dan melampirkannya ke pengguna di konsol IAM
Buat IAM kebijakan baru
-
Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/
. -
Di panel navigasi kiri IAM konsol, pilih Kebijakan.
-
Pada halaman Kebijakan, pilih Buat Kebijakan.
-
Di jendela Buat Kebijakan, arahkan ke JSON tab Edit. Buat dokumen kebijakan dengan satu atau beberapa JSON pernyataan seperti yang ditunjukkan pada contoh berikut prosedur ini. Selanjutnya, pilih Tinjau kebijakan.
-
Pada layar Tinjau Kebijakan, masukkan Nama kebijakanAnda, misalnya
AmazonEMROnEKSPolicy. Masukkan deskripsi opsional, lalu pilih Buat kebijakan.
Lampirkan kebijakan ke pengguna atau peran
-
Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/
-
Di panel navigasi, pilih Kebijakan.
-
Dalam daftar kebijakan, pilih kotak centang di samping kebijakan yang dibuat dalam bagian sebelumnya. Anda bisa memakai menu Filter dan kotak pencarian untuk memfilter daftar kebijakan.
-
Pilih Tindakan kebijakan, lalu pilih Lampirkan.
-
Pilih pengguna atau peran untuk melampirkan kebijakan. Anda bisa memakai menu Filter dan kotak pencarian untuk memfilter daftar entitas prinsipiel. Setelah memilih pengguna atau peran untuk melampirkan kebijakan, pilih Lampirkan kebijakan.
Izin untuk mengelolaklaster virtual
Untuk mengelola klaster virtual di AWS akun Anda, buat IAM kebijakan dengan izin berikut. Izin ini memungkinkan Anda membuat, membuat daftar, mendeskripsikan, dan menghapus klaster virtual di akun Anda AWS .
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "emr-containers.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "emr-containers:CreateVirtualCluster", "emr-containers:ListVirtualClusters", "emr-containers:DescribeVirtualCluster", "emr-containers:DeleteVirtualCluster" ], "Resource": "*" } ] }
Amazon EMR terintegrasi dengan Amazon EKS Cluster Access Management (CAM), sehingga Anda dapat mengotomatiskan konfigurasi kebijakan AuthN dan AuthZ yang diperlukan untuk menjalankan pekerjaan EMR Amazon Spark di ruang nama cluster Amazon. EKS Untuk melakukannya, Anda harus memiliki izin berikut:
{ "Effect": "Allow", "Action": [ "eks:CreateAccessEntry" ], "Resource": "arn:<AWS_PARTITION>:eks:<AWS_REGION>:<AWS_ACCOUNT_ID>:cluster/<EKS_CLUSTER_NAME>" }, { "Effect": "Allow", "Action": [ "eks:DescribeAccessEntry", "eks:DeleteAccessEntry", "eks:ListAssociatedAccessPolicies", "eks:AssociateAccessPolicy", "eks:DisassociateAccessPolicy" ], "Resource": "arn:<AWS_PARTITION>:eks:<AWS_REGION>:<AWS_ACCOUNT_ID>:access-entry/<EKS_CLUSTER_NAME>/role/<AWS_ACCOUNT_ID>/AWSServiceRoleForAmazonEMRContainers/*" }
Untuk informasi selengkapnya, lihat Mengotomatiskan mengaktifkan akses klaster untuk Amazon EMR di. EKS
Saat CreateVirtualCluster operasi dipanggil untuk pertama kalinya dari AWS akun, Anda juga memerlukan CreateServiceLinkedRole izin untuk membuat peran terkait layanan untuk Amazon. EMR EKS Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk Amazon EMR di EKS.
Izin untuk mengirimkan tugas
Untuk mengirimkan pekerjaan di klaster virtual di AWS akun Anda, buat IAM kebijakan dengan izin berikut. Izin ini memungkinkan Anda untuk memulai, mendaftar, menjelaskan, dan membatalkan klaster virtual di akun Anda. Anda harus mempertimbangkan menambahkan izin untuk membuat daftar atau menjelaskan klaster virtual, yang memungkinkan Anda untuk memeriksa keadaan klaster virtual sebelum mengirimkan tugas.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "emr-containers:StartJobRun", "emr-containers:ListJobRuns", "emr-containers:DescribeJobRun", "emr-containers:CancelJobRun" ], "Resource": "*" } ] }
Izin untuk melakukan debug dan pemantauan
Untuk mendapatkan akses ke log yang didorong ke Amazon S3 dan CloudWatch, atau untuk melihat log peristiwa aplikasi di EMR konsol Amazon, buat IAM kebijakan dengan izin berikut. Sebaiknya Anda menyempurnakan izin ke sumber daya tertentu bila memungkinkan berdasarkan kebutuhan bisnis Anda.
penting
Jika Anda belum membuat bucket Amazon S3, Anda perlu menambahkan izin s3:CreateBucket pada pernyataan kebijakan. Jika Anda belum membuat grup log, Anda perlu menambahkan logs:CreateLogGroup pada pernyataan kebijakan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "emr-containers:DescribeJobRun", "elasticmapreduce:CreatePersistentAppUI", "elasticmapreduce:DescribePersistentAppUI", "elasticmapreduce:GetPersistentAppUIPresignedURL" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:Get*", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": "*" } ] }
Untuk informasi selengkapnya tentang cara mengonfigurasi job run untuk mendorong log ke Amazon S3 dan CloudWatch, lihat Mengonfigurasi proses pekerjaan untuk menggunakan log S3 dan Mengonfigurasi pekerjaan yang dijalankan untuk menggunakan Log. CloudWatch
