Sesuaikan peran IAM dengan Amazon EMR - Amazon EMR

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Sesuaikan peran IAM dengan Amazon EMR

Anda mungkin ingin menyesuaikan peran layanan IAM dan izin untuk membatasi hak sesuai dengan persyaratan keamanan Anda. Untuk menyesuaikan izin, kami merekomendasikan Anda membuat peran dan kebijakan baru. Mulai dengan izin di kebijakan terkelola untuk peran default (misalnya, AmazonElasticMapReduceforEC2Role dan AmazonElasticMapReduceRole). Kemudian, salin dan tempel konten untuk pernyataan kebijakan baru, modifikasi izin yang sesuai, dan melampirkan kebijakan izin yang sudah diubah untuk peran yang Anda buat. Anda harus memiliki izin IAM yang sesuai untuk bekerja dengan peran dan kebijakan. Untuk informasi selengkapnya, lihat Mengizinkan pengguna dan grup untuk membuat dan memodifikasi peran.

Jika Anda membuat peran EMR khusus EC2, ikuti alur kerja dasar, yang secara otomatis membuat profil instance dengan nama yang sama. Amazon EC2 memungkinkan Anda membuat profil dan peran instans dengan nama yang berbeda, tetapi Amazon EMR tidak mendukung konfigurasi ini, dan menghasilkan kesalahan “profil instans tidak valid” saat Anda membuat klaster.

penting

Kebijakan inline tidak diperbarui secara otomatis ketika persyaratan layanan berubah. Jika Anda membuat dan melampirkan kebijakan inline, perhatikan bahwa pembaruan layanan mungkin terjadi yang tiba-tiba menyebabkan kesalahan izin. Untuk informasi lebih lanjut tentang, Kebijakan Terkelola dan Kebijakan Inline di Panduan Pengguna IAM dan Menentukan IAM role kustom ketika Anda membuat sebuah klaster.

Untuk informasi selengkapnya tentang IAM role, lihat topik berikut di bagian Panduan Pengguna IAM:

Menentukan IAM role kustom ketika Anda membuat sebuah klaster

Anda menentukan peran layanan untuk Amazon EMR dan peran untuk profil EC2 instans Amazon saat membuat klaster. Pengguna yang membuat cluster memerlukan izin untuk mengambil dan menetapkan peran ke EMR Amazon dan instans. EC2 Jika tidak, akun tidak diizinkan untuk memanggil EC2 kesalahan terjadi. Untuk informasi selengkapnya, lihat Mengizinkan pengguna dan grup untuk membuat dan memodifikasi peran.

Gunakan konsol untuk menentukan peran kustom

Saat membuat klaster, Anda dapat menentukan peran layanan khusus untuk Amazon EMR, peran khusus untuk profil EC2 instans, dan peran Auto Scaling khusus menggunakan opsi Lanjutan. Bila Anda menggunakan opsi Cepat, peran layanan default dan peran default untuk profil EC2 instance ditentukan. Untuk informasi selengkapnya, lihat Peran layanan IAM yang digunakan oleh Amazon EMR.

Console
Untuk menentukan peran IAM kustom dengan konsol

Saat membuat klaster dengan konsol, Anda harus menentukan peran layanan khusus untuk Amazon EMR dan peran khusus untuk profil EC2 instans. Untuk informasi selengkapnya, lihat Peran layanan IAM yang digunakan oleh Amazon EMR.

  1. Masuk ke AWS Management Console, dan buka konsol EMR Amazon di https://console.aws.amazon.com /emr.

  2. Di bawah EMR EC2 di panel navigasi kiri, pilih Clusters, lalu pilih Create cluster.

  3. Di bawah Konfigurasi dan izin keamanan, temukan peran IAM untuk profil instans dan peran Layanan untuk bidang EMR Amazon. Untuk setiap tipe peran, Anda memilih peran dari daftar. Hanya peran di akun Anda yang memiliki kebijakan kepercayaan yang sesuai untuk tipe peran yang tercantum.

  4. Pilih opsi lain yang berlaku untuk cluster Anda.

  5. Untuk meluncurkan klaster Anda, pilih Buat klaster.

Gunakan AWS CLI untuk menentukan peran kustom

Anda dapat menentukan peran layanan untuk Amazon EMR dan peran layanan untuk EC2 instance cluster secara eksplisit menggunakan opsi dengan perintah dari. create-cluster AWS CLI Gunakan opsi --service-role untuk menentukan peran layanan. Gunakan InstanceProfile argumen --ec2-attributes opsi untuk menentukan peran untuk profil EC2 instance.

Peran Auto Scaling ditentukan menggunakan opsi terpisah, --auto-scaling-role. Untuk informasi selengkapnya, lihat Menggunakan penskalaan otomatis dengan kebijakan khusus untuk grup instans di Amazon EMR.

Untuk menentukan peran IAM kustom menggunakan AWS CLI
  • Perintah berikut menentukan peran layanan kustomMyCustomServiceRoleForEMR, dan peran kustom untuk profil EC2 instanceMyCustomServiceRoleForClusterEC2Instances, saat meluncurkan klaster. Contoh ini menggunakan peran Amazon EMR default.

    catatan

    Karakter lanjutan baris Linux (\) disertakan untuk dibaca. Karakter ini bisa dihapus atau digunakan dalam perintah Linux. Untuk Windows, hapus atau ganti dengan caret (^).

    aws emr create-cluster --name "Test cluster" --release-label emr-7.6.0 \ --applications Name=Hive Name=Pig --service-role MyCustomServiceRoleForEMR \ --ec2-attributes InstanceProfile=MyCustomServiceRoleForClusterEC2Instances,\ KeyName=myKey --instance-type m5.xlarge --instance-count 3

Anda dapat menggunakan opsi ini untuk menentukan peran default secara eksplisit alih-alih menggunakan opsi --use-default-roles. --use-default-rolesOpsi menentukan peran layanan dan peran untuk profil EC2 contoh yang ditentukan dalam config file untuk. AWS CLI

Contoh berikut menunjukkan isi config file untuk menentukan peran kustom untuk Amazon EMR. AWS CLI Dengan file konfigurasi ini, ketika --use-default-roles opsi ditentukan, cluster dibuat menggunakan MyCustomServiceRoleForEMR danMyCustomServiceRoleForClusterEC2Instances. Secara default, file config menentukan default service_role sebagai AmazonElasticMapReduceRole dan instance_profile default sebagai EMR_EC2_DefaultRole.

[default] output = json region = us-west-1 aws_access_key_id = myAccessKeyID aws_secret_access_key = mySecretAccessKey emr = service_role = MyCustomServiceRoleForEMR instance_profile = MyCustomServiceRoleForClusterEC2Instances