Mengonfigurasi peran IAM layanan untuk EMR izin Amazon ke AWS layanan dan sumber daya - Amazon EMR
Memodifikasi kebijakan berbasis identitas untuk izin untuk meneruskan peran layanan untuk Amazon EMRRingkasan peran layanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengonfigurasi peran IAM layanan untuk EMR izin Amazon ke AWS layanan dan sumber daya

Amazon EMR dan aplikasi seperti Hadoop dan Spark memerlukan izin untuk mengakses AWS sumber daya lain dan melakukan tindakan saat dijalankan. Setiap cluster di Amazon EMR harus memiliki peran layanan dan peran untuk profil EC2 instans Amazon. Untuk informasi selengkapnya, lihat IAMperan dan Menggunakan profil instans di Panduan IAM Pengguna. IAMKebijakan yang dilampirkan pada peran ini memberikan izin bagi klaster untuk beroperasi dengan AWS layanan lain atas nama pengguna.

Peran tambahan, peran Auto Scaling, diperlukan jika klaster Anda menggunakan penskalaan otomatis di Amazon. EMR Peran AWS layanan untuk EMR Notebook diperlukan jika Anda menggunakan EMR Notebook.

Amazon EMR menyediakan peran default dan kebijakan terkelola default yang menentukan izin untuk setiap peran. Kebijakan terkelola dibuat dan dikelola oleh AWS, sehingga kebijakan tersebut diperbarui secara otomatis jika persyaratan layanan berubah. Lihat kebijakan AWS terkelola di Panduan IAM Pengguna.

Jika Anda membuat cluster atau notebook untuk pertama kalinya di akun, peran untuk Amazon EMR belum ada. Setelah membuatnya, Anda dapat melihat peran, kebijakan yang dilampirkan padanya, dan izin yang diizinkan atau ditolak oleh kebijakan di IAM konsol (https://console.aws.amazon.com/iam/). Anda dapat menentukan peran default untuk Amazon EMR untuk dibuat dan digunakan, Anda dapat membuat peran sendiri dan menentukannya satu per satu saat Anda membuat klaster untuk menyesuaikan izin, dan Anda dapat menentukan peran default yang akan digunakan saat membuat klaster menggunakan. AWS CLI Untuk informasi selengkapnya, lihat Sesuaikan IAM peran dengan Amazon EMR.

Memodifikasi kebijakan berbasis identitas untuk izin untuk meneruskan peran layanan untuk Amazon EMR

Kebijakan terkelola default EMR izin penuh Amazon menggabungkan konfigurasi iam:PassRole keamanan, termasuk yang berikut ini:

  • iam:PassRoleizin hanya untuk EMR peran Amazon default tertentu.

  • iam:PassedToServicekondisi yang memungkinkan Anda untuk menggunakan kebijakan hanya dengan AWS layanan tertentu, seperti elasticmapreduce.amazonaws.com danec2.amazonaws.com.

Anda dapat melihat JSON versi kebijakan A mazonEMRFull AccessPolicy _v2 dan A mazonEMRService Policy_v2 di konsol. IAM Kami menyarankan Anda membuat klaster baru dengan kebijakan terkelola v2.

Ringkasan peran layanan

Tabel berikut mencantumkan peran IAM layanan yang terkait dengan Amazon EMR untuk referensi cepat.

Fungsi Peran default Deskripsi Kebijakan terkelola default

Peran layanan untuk Amazon EMR (EMRperan)

EMR_DefaultRole_V2

EMRMemungkinkan Amazon memanggil AWS layanan lain atas nama Anda saat menyediakan sumber daya dan melakukan tindakan tingkat layanan. Peran ini diperlukan untuk semua klaster.

AmazonEMRServicePolicy_v2

penting

Peran terkait layanan diperlukan untuk meminta Instans Spot. Jika peran ini tidak ada, peran EMR layanan Amazon harus memiliki izin untuk membuatnya atau kesalahan izin terjadi. Jika Anda berencana untuk meminta Instans Spot, Anda harus memperbarui kebijakan ini untuk menyertakan pernyataan yang memungkinkan pembuatan peran terkait layanan ini. Untuk informasi selengkapnya, lihat Peran layanan untuk Amazon EMR (EMRperan) dan Peran terkait layanan untuk permintaan Instans Spot di EC2Panduan Pengguna Amazon.

Peran layanan untuk EC2 instance cluster (profil EC2 instance)

EMR_EC2_DefaultRole

Proses aplikasi yang berjalan di atas ekosistem Hadoop pada instance cluster menggunakan peran ini ketika mereka memanggil layanan lain. AWS Untuk mengakses data di Amazon S3 EMRFS menggunakan, Anda dapat menentukan peran berbeda yang akan diasumsikan berdasarkan lokasi data di Amazon S3. Misalnya, beberapa tim dapat mengakses "akun penyimpanan" data Amazon S3 tunggal. Untuk informasi selengkapnya, lihat Konfigurasikan IAM peran untuk EMRFS permintaan ke Amazon S3. Peran ini diperlukan untuk semua klaster.

AmazonElasticMapReduceforEC2Role. Untuk informasi selengkapnya, lihat Peran layanan untuk EC2 instance cluster (profil EC2 instance).

Peran layanan untuk penskalaan otomatis di Amazon EMR (peran Auto Scaling)

EMR_AutoScaling_DefaultRole

Mengizinkan tindakan tambahan untuk lingkungan penskalaan dinamis. Diperlukan hanya untuk cluster yang menggunakan penskalaan otomatis di Amazon. EMR Untuk informasi selengkapnya, lihat Menggunakan penskalaan otomatis dengan kebijakan khusus untuk grup instans di Amazon EMR.

AmazonElasticMapReduceforAutoScalingRole. Untuk informasi selengkapnya, lihat Peran layanan untuk penskalaan otomatis di Amazon EMR (peran Auto Scaling).

Peran layanan untuk EMR Notebook

EMR_Notebooks_DefaultRole

Memberikan izin yang dibutuhkan EMR notebook untuk mengakses AWS sumber daya lain dan melakukan tindakan. Diperlukan hanya jika EMR Notebook digunakan.

AmazonElasticMapReduceEditorsRole. Untuk informasi selengkapnya, lihat Peran layanan untuk EMR Notebook.

S3FullAccessPolicy juga dilampirkan secara default. Berikut adalah isi dari kebijakan ini.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": "*"
        }
    ]
}

Peran Terkait Layanan

AWSServiceRoleForEMRCleanup

Amazon EMR secara otomatis membuat peran terkait layanan. Jika layanan untuk Amazon EMR telah kehilangan kemampuan untuk membersihkan EC2 sumber daya Amazon, Amazon EMR dapat menggunakan peran ini untuk membersihkan. Jika klaster menggunakan Instans Spot, kebijakan izin yang dilampirkan ke Peran layanan untuk Amazon EMR (EMRperan) harus mengizinkan pembuatan peran tertaut layanan. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk Amazon EMR.

AmazonEMRCleanupPolicy
Topik