Kebijakan yang EMR dikelola Amazon - Amazon EMR

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan yang EMR dikelola Amazon

Cara termudah untuk memberikan akses penuh atau akses hanya-baca ke EMR tindakan Amazon yang diperlukan adalah dengan menggunakan kebijakan IAM terkelola untuk Amazon. EMR Kebijakan terkelola menawarkan manfaat pemutakhiran secara otomatis jika persyaratan izin berubah. Jika Anda menggunakan kebijakan inline, perubahan layanan dapat terjadi yang menyebabkan kesalahan izin muncul.

Amazon EMR akan menghentikan kebijakan terkelola yang ada (kebijakan v1) demi kebijakan terkelola baru (kebijakan v2). Kebijakan terkelola baru telah dicakup untuk menyelaraskan dengan praktik terbaik. AWS Setelah kebijakan terkelola v1 yang ada tidak digunakan lagi, Anda tidak akan dapat melampirkan kebijakan ini ke peran atau pengguna baru IAM mana pun. Peran dan pengguna yang ada yang menggunakan kebijakan yang tidak lagi digunakan dapat terus menggunakannya. Kebijakan terkelola v2 membatasi akses menggunakan tag. Mereka hanya mengizinkan EMR tindakan Amazon yang ditentukan dan memerlukan sumber daya klaster yang ditandai dengan kunci EMR -spesifik. Kami merekomendasikan bahwa Anda hati-hati meninjau dokumentasi sebelum menggunakan kebijakan v2 baru.

Kebijakan v1 akan ditandai usang dengan ikon peringatan di sebelahnya dalam daftar Kebijakan di konsol. IAM Kebijakan yang tidak lagi digunakan akan memiliki karakteristik sebagai berikut:

  • Kebijakan terus berfungsi untuk semua pengguna, grup, dan peran yang dilampirkan saat ini. Tidak ada yang rusak.

  • Kebijakan tidak dapat dilampirkan pada pengguna, grup, atau peran baru. Jika Anda melepas salah satu kebijakan dari entitas yang ada, Anda tidak dapat melampirkannya kembali.

  • Setelah Anda melepaskan kebijakan v1 dari semua entitas saat ini, kebijakan tidak lagi akan terlihat dan tidak lagi dapat digunakan.

Tabel berikut merangkum perubahan antara kebijakan saat ini (v1) dan kebijakan v2.

Amazon EMR mengelola perubahan kebijakan
Jenis kebijakan Nama kebijakan Tujuan kebijakan Perubahan kebijakan v2

Peran EMR layanan default dan kebijakan terkelola terlampir

Nama peran: EMR_ DefaultRole

Kebijakan V1 (tidak digunakan lagi): AmazonElasticMapReduceRole(Peran Layanan) EMR

Nama kebijakan (dicakup) V2: AmazonEMRServicePolicy_v2

EMRMemungkinkan Amazon memanggil AWS layanan lain atas nama Anda saat menyediakan sumber daya dan melakukan tindakan tingkat layanan. Peran ini diperlukan untuk semua klaster.

Kebijakan menambahkan izin baru"ec2:DescribeInstanceTypeOfferings". APIOperasi ini mengembalikan daftar jenis instance yang didukung oleh daftar Availability Zone yang diberikan.

IAMkebijakan terkelola untuk EMR akses Amazon penuh oleh pengguna, peran, atau grup terlampir

Nama kebijakan V2 (cakupan): AmazonEMRServicePolicy_v2

Memungkinkan pengguna izin penuh untuk EMR tindakan. Termasuk iam: PassRole izin untuk sumber daya.

Kebijakan menambahkan prasyarat bahwa pengguna harus menambahkan tanda pengguna ke sumber daya sebelum mereka dapat menggunakan kebijakan ini. Lihat Penandaan sumber daya untuk menggunakan kebijakan terkelola.

iam: PassRole tindakan membutuhkan iam: PassedToService kondisi disetel ke layanan tertentu. Akses ke AmazonEC2, Amazon S3, dan layanan lainnya tidak diizinkan secara default. Lihat Kebijakan IAM Terkelola untuk Akses Penuh (v2 Kebijakan Default Terkelola).

IAMkebijakan terkelola untuk akses hanya-baca oleh pengguna, peran, atau grup terlampir

Kebijakan V1 (tidak digunakan lagi): AmazonElasticMapReduceReadOnlyAccess

Nama kebijakan V2 (cakupan): AmazonEMRReadOnlyAccessPolicy_v2

Memungkinkan pengguna izin hanya-baca untuk tindakan Amazon. EMR

Izin hanya mengizinkan tindakan hanya-baca elasticmapreduce yang ditentukan. Akses ke Amazon S3 adalah akses yang tidak diizinkan secara default. Lihat Kebijakan IAM Terkelola untuk Akses Hanya Baca (v2 Kebijakan Default Terkelola).

Peran EMR layanan default dan kebijakan terkelola terlampir

Nama peran: EMR_ DefaultRole

Kebijakan V1 (tidak digunakan lagi): AmazonElasticMapReduceRole(Peran Layanan) EMR

Nama kebijakan (dicakup) V2: AmazonEMRServicePolicy_v2

EMRMemungkinkan Amazon memanggil AWS layanan lain atas nama Anda saat menyediakan sumber daya dan melakukan tindakan tingkat layanan. Peran ini diperlukan untuk semua klaster.

Peran layanan v2 dan kebijakan default v2 menggantikan peran dan kebijakan yang tidak lagi digunakan. Kebijakan menambahkan prasyarat bahwa pengguna harus menambahkan tanda pengguna ke sumber daya sebelum mereka dapat menggunakan kebijakan ini. Lihat Penandaan sumber daya untuk menggunakan kebijakan terkelola. Lihat Peran layanan untuk Amazon EMR (EMRperan).

Peran layanan untuk EC2 instance cluster (profil EC2 instance)

Nama peran: EMR_ EC2 _ DefaultRole

Nama kebijakan yang tidak lagi digunakan: AmazonElasticMapReduceforEC2Role

Memungkinkan aplikasi yang berjalan di EMR cluster untuk mengakses AWS sumber daya lain, seperti Amazon S3. Misalnya, jika Anda menjalankan tugas Apache Spark yang memproses data dari Amazon S3, kebijakan perlu mengizinkan akses ke sumber daya tersebut.

Peran default dan kebijakan default berada di jalur yang tidak lagi digunakan. Tidak ada peran atau kebijakan terkelola AWS default pengganti. Anda harus memberikan kebijakan berbasis sumber daya atau kebijakan berbasis identitas. Ini berarti, secara default, aplikasi yang berjalan di EMR klaster tidak memiliki akses ke Amazon S3 atau sumber daya lainnya kecuali jika Anda menambahkannya secara manual ke kebijakan. Lihat Peran default dan kebijakan terkelola.

Kebijakan peran EC2 layanan lainnya

Nama kebijakan saat ini: AmazonElasticMapReduceforAutoScalingRole AmazonElasticMapReduceEditorsRole,, mazonEMRCleanup Kebijakan

Memberikan izin yang EMR diperlukan Amazon untuk mengakses AWS sumber daya lain dan melakukan tindakan jika menggunakan penskalaan otomatis, buku catatan, atau untuk membersihkan sumber daya. EC2

Tidak ada perubahan untuk v2.

Mengamankan iam: PassRole

Kebijakan terkelola default EMR izin penuh Amazon menggabungkan konfigurasi iam:PassRole keamanan, termasuk yang berikut ini:

  • iam:PassRoleizin hanya untuk EMR peran Amazon default tertentu.

  • iam:PassedToServicekondisi yang memungkinkan Anda untuk menggunakan kebijakan hanya dengan AWS layanan tertentu, seperti elasticmapreduce.amazonaws.com danec2.amazonaws.com.

Anda dapat melihat JSON versi kebijakan A mazonEMRFull AccessPolicy _v2 dan A mazonEMRService Policy_v2 di konsol. IAM Kami menyarankan Anda membuat cluster baru dengan kebijakan terkelola v2.

Untuk membuat kebijakan khusus, kami merekomendasikan sebaiknya Anda mulai dengan kebijakan terkelola dan mengeditnya sesuai dengan kebutuhan Anda.

Untuk informasi tentang cara melampirkan kebijakan ke pengguna (prinsipal), lihat Bekerja dengan kebijakan terkelola menggunakan AWS Management Console dalam Panduan Pengguna. IAM

Penandaan sumber daya untuk menggunakan kebijakan terkelola

mazonEMRServicePolicy_v2 dan A mazonEMRFull AccessPolicy _v2 bergantung pada akses cakupan ke bawah ke sumber daya yang disediakan atau digunakan Amazon. EMR Cakupan turun dicapai dengan membatasi akses hanya ke sumber daya yang memiliki tag pengguna yang telah ditentukan sebelumnya yang terkait dengannya. Bila Anda menggunakan salah satu dari dua kebijakan ini, Anda harus meneruskan tag pengguna yang telah ditentukan for-use-with-amazon-emr-managed-policies = true saat Anda menyediakan klaster. Amazon kemudian EMR akan secara otomatis menyebarkan tag itu. Selain itu, Anda harus menambahkan tag pengguna ke sumber daya yang tercantum di bagian berikut. Jika Anda menggunakan EMR konsol Amazon untuk meluncurkan cluster Anda, lihatPertimbangan untuk menggunakan EMR konsol Amazon untuk meluncurkan cluster dengan kebijakan terkelola v2.

Untuk menggunakan kebijakan terkelola, teruskan tag pengguna for-use-with-amazon-emr-managed-policies = true saat Anda menyediakan klaster denganCLI,SDK, atau metode lain.

Saat Anda meneruskan tag, Amazon EMR menyebarkan tag ke subnet pribadiENI, EC2 instance, dan EBS volume yang dibuatnya. Amazon EMR juga secara otomatis menandai grup keamanan yang dibuatnya. Namun, jika Anda EMR ingin Amazon diluncurkan dengan grup keamanan tertentu, Anda harus menandainya. Untuk sumber daya yang tidak dibuat oleh AmazonEMR, Anda harus menambahkan tag ke sumber daya tersebut. Misalnya, Anda harus menandai EC2 subnet Amazon, grup EC2 keamanan (jika tidak dibuat oleh AmazonEMR), dan VPCs (jika Anda EMR ingin Amazon membuat grup keamanan). Untuk meluncurkan klaster dengan kebijakan terkelola v2VPCs, Anda harus menandai klaster VPCs dengan tag pengguna yang telah ditentukan sebelumnya. Lihat, Pertimbangan untuk menggunakan EMR konsol Amazon untuk meluncurkan cluster dengan kebijakan terkelola v2.

Penyebaran penandaan yang ditentukan pengguna

Amazon EMR menandai sumber daya yang dibuatnya menggunakan EMR tag Amazon yang Anda tentukan saat membuat klaster. Amazon EMR menerapkan tag ke sumber daya yang dibuatnya selama masa cluster.

Amazon EMR menyebarkan tag pengguna untuk sumber daya berikut:

  • Private Subnet ENI (akses layanan antarmuka jaringan elastis)

  • EC2Contoh

  • EBSVolume

  • EC2Luncurkan Template

Grup keamanan bertanda otomatis

Amazon EMR menandai grup EC2 keamanan yang dibuatnya dengan tag yang diperlukan untuk kebijakan terkelola v2 untuk Amazon EMRfor-use-with-amazon-emr-managed-policies, terlepas dari tag yang Anda tentukan dalam perintah create cluster. Untuk grup keamanan yang dibuat sebelum pengenalan kebijakan terkelola v2, Amazon EMR tidak secara otomatis menandai grup keamanan. Jika Anda ingin menggunakan kebijakan terkelola v2 dengan grup keamanan default yang sudah ada di akun, Anda perlu memberi tanda pada grup keamanan secara manual dengan for-use-with-amazon-emr-managed-policies = true.

Sumber daya klaster yang beri tanda secara manual

Anda harus menandai beberapa sumber daya cluster secara manual sehingga dapat diakses oleh peran EMR default Amazon.

  • Anda harus menandai grup dan EC2 subnet EC2 keamanan secara manual dengan tag for-use-with-amazon-emr-managed-policies kebijakan EMR terkelola Amazon.

  • Anda harus menandai secara manual VPC jika Anda EMR ingin Amazon membuat grup keamanan default. EMRakan mencoba membuat grup keamanan dengan tag tertentu jika grup keamanan default belum ada.

Amazon EMR secara otomatis menandai sumber daya berikut:

  • EMR-Grup EC2 Keamanan yang dibuat

Anda harus secara manual memberi tanda pada sumber daya berikut:

  • EC2Subnet

  • EC2Grup Keamanan

Opsional, Anda dapat secara manual memberi tanda pada sumber daya berikut:

  • VPC- hanya ketika Anda EMR ingin Amazon membuat grup keamanan

Pertimbangan untuk menggunakan EMR konsol Amazon untuk meluncurkan cluster dengan kebijakan terkelola v2

Anda dapat menyediakan kluster dengan kebijakan terkelola v2 menggunakan EMR konsol Amazon. Berikut adalah beberapa pertimbangan saat Anda menggunakan konsol untuk meluncurkan EMR cluster Amazon.

  • Anda tidak perlu melewati tag yang telah ditentukan. Amazon EMR secara otomatis menambahkan tag dan menyebarkannya ke komponen yang sesuai.

  • Untuk komponen yang perlu diberi tag secara manual, EMR konsol Amazon lama mencoba memberi tag secara otomatis jika Anda memiliki izin yang diperlukan untuk menandai sumber daya. Jika Anda tidak memiliki izin untuk menandai sumber daya atau jika Anda ingin menggunakan konsol, minta administrator untuk menandai sumber daya tersebut.

  • Anda tidak dapat meluncurkan cluster dengan kebijakan terkelola v2 kecuali semua prasyarat terpenuhi.

  • EMRKonsol Amazon lama menunjukkan sumber daya (VPC/Subnet) mana yang perlu diberi tag.

AWS kebijakan terkelola untuk Amazon EMR

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pemutakhiran akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau API operasi baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat kebijakan AWS terkelola di Panduan IAM Pengguna.