Sesuaikan IAM peran dengan Amazon EMR - Amazon EMR
Tentukan IAM peran kustom saat Anda membuat klaster

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Sesuaikan IAM peran dengan Amazon EMR

Anda mungkin ingin menyesuaikan peran IAM layanan dan izin untuk membatasi hak istimewa sesuai dengan persyaratan keamanan Anda. Untuk menyesuaikan izin, kami merekomendasikan Anda membuat peran dan kebijakan baru. Mulai dengan izin di kebijakan terkelola untuk peran default (misalnya, AmazonElasticMapReduceforEC2Role dan AmazonElasticMapReduceRole). Kemudian, salin dan tempel konten untuk pernyataan kebijakan baru, modifikasi izin yang sesuai, dan melampirkan kebijakan izin yang sudah diubah untuk peran yang Anda buat. Anda harus memiliki IAM izin yang sesuai untuk bekerja dengan peran dan kebijakan. Untuk informasi selengkapnya, lihat Mengizinkan pengguna dan grup untuk membuat dan memodifikasi peran.

Jika Anda membuat EMR peran khusus untukEC2, ikuti alur kerja dasar, yang secara otomatis membuat profil instance dengan nama yang sama. Amazon EC2 memungkinkan Anda membuat profil dan peran instance dengan nama yang berbeda, tetapi Amazon EMR tidak mendukung konfigurasi ini, dan menghasilkan kesalahan “profil instans tidak valid” saat Anda membuat klaster.

penting

Kebijakan inline tidak diperbarui secara otomatis ketika persyaratan layanan berubah. Jika Anda membuat dan melampirkan kebijakan inline, perhatikan bahwa pembaruan layanan mungkin terjadi yang tiba-tiba menyebabkan kesalahan izin. Untuk informasi selengkapnya, lihat Kebijakan Terkelola dan Kebijakan Sebaris di Panduan IAM Pengguna danTentukan IAM peran kustom saat Anda membuat klaster.

Untuk informasi selengkapnya tentang bekerja dengan IAM peran, lihat topik berikut di Panduan IAM Pengguna:

Tentukan IAM peran kustom saat Anda membuat klaster

Anda menentukan peran layanan untuk Amazon EMR dan peran untuk profil EC2 instans Amazon saat membuat klaster. Pengguna yang membuat cluster memerlukan izin untuk mengambil dan menetapkan peran ke Amazon dan instance. EMR EC2 Jika tidak, akun tidak diizinkan untuk memanggil EC2 kesalahan terjadi. Untuk informasi selengkapnya, lihat Mengizinkan pengguna dan grup untuk membuat dan memodifikasi peran.

Gunakan konsol untuk menentukan peran kustom

Saat membuat klaster, Anda dapat menentukan peran layanan khusus untuk AmazonEMR, peran khusus untuk profil EC2 instans, dan peran Auto Scaling khusus menggunakan opsi Lanjutan. Bila Anda menggunakan opsi Cepat, peran layanan default dan peran default untuk profil EC2 instance ditentukan. Untuk informasi selengkapnya, lihat IAMperan layanan yang digunakan oleh Amazon EMR.

Console
Untuk menentukan IAM peran kustom dengan konsol

Saat membuat klaster dengan konsol, Anda harus menentukan peran layanan khusus untuk Amazon EMR dan peran khusus untuk profil EC2 instance. Untuk informasi selengkapnya, lihat IAMperan layanan yang digunakan oleh Amazon EMR.

  1. Masuk ke AWS Management Console, dan buka EMR konsol Amazon di https://console.aws.amazon.com/emr.

  2. Di bawah EMREC2di panel navigasi kiri, pilih Clusters, lalu pilih Create cluster.

  3. Di bawah Konfigurasi dan izin keamanan, temukan IAMperan untuk profil misalnya dan peran Layanan untuk EMR bidang Amazon. Untuk setiap tipe peran, Anda memilih peran dari daftar. Hanya peran di akun Anda yang memiliki kebijakan kepercayaan yang sesuai untuk tipe peran yang tercantum.

  4. Pilih opsi lain yang berlaku untuk cluster Anda.

  5. Untuk meluncurkan klaster Anda, pilih Buat klaster.

Gunakan AWS CLI untuk menentukan peran kustom

Anda dapat menentukan peran layanan untuk Amazon EMR dan peran layanan untuk EC2 instance cluster secara eksplisit menggunakan opsi dengan create-cluster perintah dari. AWS CLI Gunakan opsi --service-role untuk menentukan peran layanan. Gunakan InstanceProfile argumen --ec2-attributes opsi untuk menentukan peran untuk profil EC2 instance.

Peran Auto Scaling ditentukan menggunakan opsi terpisah, --auto-scaling-role. Untuk informasi selengkapnya, lihat Menggunakan penskalaan otomatis dengan kebijakan khusus untuk grup instans di Amazon EMR.

Untuk menentukan IAM peran kustom menggunakan AWS CLI

  • Perintah berikut menentukan peran layanan kustom, MyCustomServiceRoleForEMR, dan peran khusus untuk profil EC2 instance, MyCustomServiceRoleForClusterEC2Instances, saat meluncurkan cluster. Contoh ini menggunakan EMR peran Amazon default.

    catatan

    Karakter lanjutan baris Linux (\) disertakan agar mudah dibaca Karakter ini bisa dihapus atau digunakan dalam perintah Linux. Untuk Windows, hapus atau ganti dengan caret (^).

    aws emr create-cluster --name "Test cluster" --release-label emr-7.3.0 \
--applications Name=Hive Name=Pig --service-role MyCustomServiceRoleForEMR \
--ec2-attributes InstanceProfile=MyCustomServiceRoleForClusterEC2Instances,\
KeyName=myKey --instance-type m5.xlarge --instance-count 3

Anda dapat menggunakan opsi ini untuk menentukan peran default secara eksplisit alih-alih menggunakan opsi --use-default-roles. --use-default-rolesOpsi menentukan peran layanan dan peran untuk profil EC2 contoh yang ditentukan dalam config file untuk. AWS CLI

Contoh berikut menunjukkan isi config file untuk menentukan peran kustom untuk Amazon. AWS CLI EMR Dengan file konfigurasi ini, ketika --use-default-roles opsi ditentukan, cluster dibuat menggunakan MyCustomServiceRoleForEMR and MyCustomServiceRoleForClusterEC2Instances. Secara default, config file menentukan default service_role sebagai AmazonElasticMapReduceRole dan default instance_profile sebagaiEMR_EC2_DefaultRole.

[default]
output = json
region = us-west-1
aws_access_key_id = myAccessKeyID
aws_secret_access_key = mySecretAccessKey
emr =
     service_role = MyCustomServiceRoleForEMR
     instance_profile = MyCustomServiceRoleForClusterEC2Instances