Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kebijakan yang EMR dikelola Amazon
Cara termudah untuk memberikan akses penuh atau akses hanya-baca ke EMR tindakan Amazon yang diperlukan adalah dengan menggunakan kebijakan IAM terkelola untuk Amazon. EMR Kebijakan terkelola menawarkan manfaat pemutakhiran secara otomatis jika persyaratan izin berubah. Jika Anda menggunakan kebijakan inline, perubahan layanan dapat terjadi yang menyebabkan kesalahan izin muncul.
Amazon EMR akan menghentikan kebijakan terkelola yang ada (kebijakan v1) demi kebijakan terkelola baru (kebijakan v2). Kebijakan terkelola baru telah dicakup untuk menyelaraskan dengan praktik terbaik. AWS Setelah kebijakan terkelola v1 yang ada tidak digunakan lagi, Anda tidak akan dapat melampirkan kebijakan ini ke peran atau pengguna baru IAM mana pun. Peran dan pengguna yang ada yang menggunakan kebijakan yang tidak lagi digunakan dapat terus menggunakannya. Kebijakan terkelola v2 membatasi akses menggunakan tag. Mereka hanya mengizinkan EMR tindakan Amazon yang ditentukan dan memerlukan sumber daya klaster yang ditandai dengan kunci EMR -spesifik. Kami merekomendasikan bahwa Anda hati-hati meninjau dokumentasi sebelum menggunakan kebijakan v2 baru.
Kebijakan v1 akan ditandai usang dengan ikon peringatan di sebelahnya dalam daftar Kebijakan di konsol. IAM Kebijakan yang tidak lagi digunakan akan memiliki karakteristik sebagai berikut:
-
Kebijakan terus berfungsi untuk semua pengguna, grup, dan peran yang dilampirkan saat ini. Tidak ada yang rusak.
-
Kebijakan tidak dapat dilampirkan pada pengguna, grup, atau peran baru. Jika Anda melepas salah satu kebijakan dari entitas yang ada, Anda tidak dapat melampirkannya kembali.
-
Setelah Anda melepaskan kebijakan v1 dari semua entitas saat ini, kebijakan tidak lagi akan terlihat dan tidak lagi dapat digunakan.
Tabel berikut merangkum perubahan antara kebijakan saat ini (v1) dan kebijakan v2.
Jenis kebijakan | Nama kebijakan | Tujuan kebijakan | Perubahan kebijakan v2 |
---|---|---|---|
Peran EMR layanan default dan kebijakan terkelola terlampir |
Nama peran: EMR_ DefaultRole Kebijakan V1 (tidak digunakan lagi): AmazonElasticMapReduceRole(Peran Layanan) EMR Nama kebijakan (dicakup) V2: AmazonEMRServicePolicy_v2 |
EMRMemungkinkan Amazon memanggil AWS layanan lain atas nama Anda saat menyediakan sumber daya dan melakukan tindakan tingkat layanan. Peran ini diperlukan untuk semua klaster. |
Kebijakan menambahkan izin baru |
IAMkebijakan terkelola untuk EMR akses Amazon penuh oleh pengguna, peran, atau grup terlampir |
Nama kebijakan V2 (cakupan): AmazonEMRServicePolicy_v2 |
Memungkinkan pengguna izin penuh untuk EMR tindakan. Termasuk iam: PassRole izin untuk sumber daya. |
Kebijakan menambahkan prasyarat bahwa pengguna harus menambahkan tanda pengguna ke sumber daya sebelum mereka dapat menggunakan kebijakan ini. Lihat Penandaan sumber daya untuk menggunakan kebijakan terkelola. iam: PassRole tindakan membutuhkan iam: PassedToService kondisi disetel ke layanan tertentu. Akses ke AmazonEC2, Amazon S3, dan layanan lainnya tidak diizinkan secara default. Lihat Kebijakan IAM Terkelola untuk Akses Penuh (v2 Kebijakan Default Terkelola). |
IAMkebijakan terkelola untuk akses hanya-baca oleh pengguna, peran, atau grup terlampir |
Kebijakan V1 (tidak digunakan lagi): AmazonElasticMapReduceReadOnlyAccess Nama kebijakan V2 (cakupan): AmazonEMRReadOnlyAccessPolicy_v2 |
Memungkinkan pengguna izin hanya-baca untuk tindakan Amazon. EMR |
Izin hanya mengizinkan tindakan hanya-baca elasticmapreduce yang ditentukan. Akses ke Amazon S3 adalah akses yang tidak diizinkan secara default. Lihat Kebijakan IAM Terkelola untuk Akses Hanya Baca (v2 Kebijakan Default Terkelola). |
Peran EMR layanan default dan kebijakan terkelola terlampir |
Nama peran: EMR_ DefaultRole Kebijakan V1 (tidak digunakan lagi): AmazonElasticMapReduceRole(Peran Layanan) EMR Nama kebijakan (dicakup) V2: AmazonEMRServicePolicy_v2 |
EMRMemungkinkan Amazon memanggil AWS layanan lain atas nama Anda saat menyediakan sumber daya dan melakukan tindakan tingkat layanan. Peran ini diperlukan untuk semua klaster. |
Peran layanan v2 dan kebijakan default v2 menggantikan peran dan kebijakan yang tidak lagi digunakan. Kebijakan menambahkan prasyarat bahwa pengguna harus menambahkan tanda pengguna ke sumber daya sebelum mereka dapat menggunakan kebijakan ini. Lihat Penandaan sumber daya untuk menggunakan kebijakan terkelola. Lihat Peran layanan untuk Amazon EMR (EMRperan). |
Peran layanan untuk EC2 instance cluster (profil EC2 instance) |
Nama peran: EMR_ EC2 _ DefaultRole Nama kebijakan yang tidak lagi digunakan: AmazonElasticMapReduceforEC2Role |
Memungkinkan aplikasi yang berjalan di EMR cluster untuk mengakses AWS sumber daya lain, seperti Amazon S3. Misalnya, jika Anda menjalankan tugas Apache Spark yang memproses data dari Amazon S3, kebijakan perlu mengizinkan akses ke sumber daya tersebut. |
Peran default dan kebijakan default berada di jalur yang tidak lagi digunakan. Tidak ada peran atau kebijakan terkelola AWS default pengganti. Anda harus memberikan kebijakan berbasis sumber daya atau kebijakan berbasis identitas. Ini berarti, secara default, aplikasi yang berjalan di EMR klaster tidak memiliki akses ke Amazon S3 atau sumber daya lainnya kecuali jika Anda menambahkannya secara manual ke kebijakan. Lihat Peran default dan kebijakan terkelola. |
Kebijakan peran EC2 layanan lainnya |
Nama kebijakan saat ini: AmazonElasticMapReduceforAutoScalingRole AmazonElasticMapReduceEditorsRole,, mazonEMRCleanup Kebijakan |
Memberikan izin yang EMR diperlukan Amazon untuk mengakses AWS sumber daya lain dan melakukan tindakan jika menggunakan penskalaan otomatis, buku catatan, atau untuk membersihkan sumber daya. EC2 |
Tidak ada perubahan untuk v2. |
Mengamankan iam: PassRole
Kebijakan terkelola default EMR izin penuh Amazon menggabungkan konfigurasi iam:PassRole
keamanan, termasuk yang berikut ini:
iam:PassRole
izin hanya untuk EMR peran Amazon default tertentu.iam:PassedToService
kondisi yang memungkinkan Anda untuk menggunakan kebijakan hanya dengan AWS layanan tertentu, sepertielasticmapreduce.amazonaws.com
danec2.amazonaws.com
.
Anda dapat melihat JSON versi kebijakan A mazonEMRFull AccessPolicy _v2 dan A mazonEMRService
Untuk membuat kebijakan khusus, kami merekomendasikan sebaiknya Anda mulai dengan kebijakan terkelola dan mengeditnya sesuai dengan kebutuhan Anda.
Untuk informasi tentang cara melampirkan kebijakan ke pengguna (prinsipal), lihat Bekerja dengan kebijakan terkelola menggunakan AWS Management Console dalam Panduan Pengguna. IAM
Penandaan sumber daya untuk menggunakan kebijakan terkelola
mazonEMRServicePolicy_v2 dan A mazonEMRFull AccessPolicy _v2 bergantung pada akses cakupan ke bawah ke sumber daya yang disediakan atau digunakan Amazon. EMR Cakupan turun dicapai dengan membatasi akses hanya ke sumber daya yang memiliki tag pengguna yang telah ditentukan sebelumnya yang terkait dengannya. Bila Anda menggunakan salah satu dari dua kebijakan ini, Anda harus meneruskan tag pengguna yang telah ditentukan for-use-with-amazon-emr-managed-policies =
true
saat Anda menyediakan klaster. Amazon kemudian EMR akan secara otomatis menyebarkan tag itu. Selain itu, Anda harus menambahkan tag pengguna ke sumber daya yang tercantum di bagian berikut. Jika Anda menggunakan EMR konsol Amazon untuk meluncurkan cluster Anda, lihatPertimbangan untuk menggunakan EMR konsol Amazon untuk meluncurkan cluster dengan kebijakan terkelola v2.
Untuk menggunakan kebijakan terkelola, teruskan tag pengguna for-use-with-amazon-emr-managed-policies = true
saat Anda menyediakan klaster denganCLI,SDK, atau metode lain.
Saat Anda meneruskan tag, Amazon EMR menyebarkan tag ke subnet pribadiENI, EC2 instance, dan EBS volume yang dibuatnya. Amazon EMR juga secara otomatis menandai grup keamanan yang dibuatnya. Namun, jika Anda EMR ingin Amazon diluncurkan dengan grup keamanan tertentu, Anda harus menandainya. Untuk sumber daya yang tidak dibuat oleh AmazonEMR, Anda harus menambahkan tag ke sumber daya tersebut. Misalnya, Anda harus menandai EC2 subnet Amazon, grup EC2 keamanan (jika tidak dibuat oleh AmazonEMR), dan VPCs (jika Anda EMR ingin Amazon membuat grup keamanan). Untuk meluncurkan klaster dengan kebijakan terkelola v2VPCs, Anda harus menandai klaster VPCs dengan tag pengguna yang telah ditentukan sebelumnya. Lihat, Pertimbangan untuk menggunakan EMR konsol Amazon untuk meluncurkan cluster dengan kebijakan terkelola v2.
Penyebaran penandaan yang ditentukan pengguna
Amazon EMR menandai sumber daya yang dibuatnya menggunakan EMR tag Amazon yang Anda tentukan saat membuat klaster. Amazon EMR menerapkan tag ke sumber daya yang dibuatnya selama masa cluster.
Amazon EMR menyebarkan tag pengguna untuk sumber daya berikut:
-
Private Subnet ENI (akses layanan antarmuka jaringan elastis)
-
EC2Contoh
-
EBSVolume
-
EC2Luncurkan Template
Grup keamanan bertanda otomatis
Amazon EMR menandai grup EC2 keamanan yang dibuatnya dengan tag yang diperlukan untuk kebijakan terkelola v2 untuk Amazon EMRfor-use-with-amazon-emr-managed-policies
, terlepas dari tag yang Anda tentukan dalam perintah create cluster. Untuk grup keamanan yang dibuat sebelum pengenalan kebijakan terkelola v2, Amazon EMR tidak secara otomatis menandai grup keamanan. Jika Anda ingin menggunakan kebijakan terkelola v2 dengan grup keamanan default yang sudah ada di akun, Anda perlu memberi tanda pada grup keamanan secara manual dengan for-use-with-amazon-emr-managed-policies = true
.
Sumber daya klaster yang beri tanda secara manual
Anda harus menandai beberapa sumber daya cluster secara manual sehingga dapat diakses oleh peran EMR default Amazon.
-
Anda harus menandai grup dan EC2 subnet EC2 keamanan secara manual dengan tag
for-use-with-amazon-emr-managed-policies
kebijakan EMR terkelola Amazon. -
Anda harus menandai secara manual VPC jika Anda EMR ingin Amazon membuat grup keamanan default. EMRakan mencoba membuat grup keamanan dengan tag tertentu jika grup keamanan default belum ada.
Amazon EMR secara otomatis menandai sumber daya berikut:
-
EMR-Grup EC2 Keamanan yang dibuat
Anda harus secara manual memberi tanda pada sumber daya berikut:
-
EC2Subnet
-
EC2Grup Keamanan
Opsional, Anda dapat secara manual memberi tanda pada sumber daya berikut:
-
VPC- hanya ketika Anda EMR ingin Amazon membuat grup keamanan
Pertimbangan untuk menggunakan EMR konsol Amazon untuk meluncurkan cluster dengan kebijakan terkelola v2
Anda dapat menyediakan kluster dengan kebijakan terkelola v2 menggunakan EMR konsol Amazon. Berikut adalah beberapa pertimbangan saat Anda menggunakan konsol untuk meluncurkan EMR cluster Amazon.
-
Anda tidak perlu melewati tag yang telah ditentukan. Amazon EMR secara otomatis menambahkan tag dan menyebarkannya ke komponen yang sesuai.
-
Untuk komponen yang perlu diberi tag secara manual, EMR konsol Amazon lama mencoba memberi tag secara otomatis jika Anda memiliki izin yang diperlukan untuk menandai sumber daya. Jika Anda tidak memiliki izin untuk menandai sumber daya atau jika Anda ingin menggunakan konsol, minta administrator untuk menandai sumber daya tersebut.
-
Anda tidak dapat meluncurkan cluster dengan kebijakan terkelola v2 kecuali semua prasyarat terpenuhi.
-
EMRKonsol Amazon lama menunjukkan sumber daya (VPC/Subnet) mana yang perlu diberi tag.
AWS kebijakan terkelola untuk Amazon EMR
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pemutakhiran akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau API operasi baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat kebijakan AWS terkelola di Panduan IAM Pengguna.