Peran layanan untuk EMR Notebooks - Amazon EMR

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Peran layanan untuk EMR Notebooks

Setiap notebook EMR memerlukan izin untuk mengakses AWS sumber daya lain dan melakukan tindakan. Kebijakan IAM yang dilampirkan pada peran layanan ini memberikan izin bagi notebook untuk berinteraksi dengan layanan lain. AWS Saat Anda membuat buku catatan menggunakan AWS Management Console, Anda menentukan peran AWS layanan. Anda dapat menggunakan peran default, EMR_Notebooks_DefaultRole, atau tentukan peran yang Anda buat. Jika notebook belum dibuat sebelumnya, Anda dapat memilih untuk membuat peran default.

  • Nama peran default adalah EMR_Notebooks_DefaultRole.

  • Kebijakan terkelola default yang dilampirkan EMR_Notebooks_DefaultRole adalah AmazonElasticMapReduceEditorsRole danS3FullAccessPolicy.

Peran layanan Anda harus menggunakan kebijakan kepercayaan berikut.

penting

Kebijakan kepercayaan berikut mencakup aws:SourceArndan kunci kondisi aws:SourceAccountglobal, yang membatasi izin yang Anda berikan EMR Amazon ke sumber daya tertentu di akun Anda. Menggunakannya dapat melindungi Anda dari masalah wakil yang membingungkan.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "elasticmapreduce.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "<account-id>" }, "ArnLike": { "aws:SourceArn": "arn:aws:elasticmapreduce:<region>:<account-id>:*" } } } ] }

Isi dari versi 1 AmazonElasticMapReduceEditorsRole adalah sebagai berikut.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "elasticmapreduce:ListInstances", "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListSteps" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "aws:elasticmapreduce:editor-id", "aws:elasticmapreduce:job-flow-id" ] } } } ] }

Berikut ini adalah isi dariS3FullAccessPolicy. S3FullAccessPolicyIni memungkinkan peran layanan Anda untuk EMR Notebooks untuk melakukan semua tindakan Amazon S3 pada objek di Anda. Akun AWS Saat Anda membuat peran layanan kustom untuk EMR Notebooks, Anda harus memberikan izin Amazon S3 peran layanan Anda.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": "*" } ] }

Anda dapat mencatat akses baca dan tulis untuk peran layanan Anda ke lokasi Amazon S3 tempat Anda ingin menyimpan file notebook. Gunakan set minimum izin Amazon S3 berikut.

"s3:PutObject", "s3:GetObject", "s3:GetEncryptionConfiguration", "s3:ListBucket", "s3:DeleteObject"

Jika bucket Amazon S3 Anda dienkripsi, Anda harus menyertakan izin berikut untuk. AWS Key Management Service

"kms:Decrypt", "kms:GenerateDataKey", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey"

Saat Anda menautkan repositori Git ke buku catatan Anda dan perlu membuat rahasia untuk repositori, Anda harus menambahkan secretsmanager:GetSecretValue izin dalam kebijakan IAM yang dilampirkan ke peran layanan untuk notebook Amazon EMR. Kebijakan contoh ditunjukkan di bawah ini:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] }

Izin peran layanan EMR Notebooks

Tabel ini mencantumkan tindakan yang dilakukan EMR Notebooks menggunakan peran layanan, bersama dengan izin yang diperlukan untuk setiap tindakan.

Tindakan Izin
Buat saluran jaringan aman antara notebook dan kluster EMR Amazon, dan lakukan tindakan pembersihan yang diperlukan.
"ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:ModifyNetworkInterfaceAttribute", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "elasticmapreduce:ListInstances", "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListSteps"
Gunakan kredensyal Git yang disimpan AWS Secrets Manager untuk menautkan repositori Git ke buku catatan.
"secretsmanager:GetSecretValue"
Terapkan AWS tag ke antarmuka jaringan dan grup keamanan default yang dibuat EMR Notebooks saat menyiapkan saluran jaringan aman. Untuk informasi lebih lanjut, lihat Menandai sumber daya AWS.
"ec2:CreateTags"
Mengakses atau mengunggah file notebook dan metadata ke Amazon S3.
"s3:PutObject", "s3:GetObject", "s3:GetEncryptionConfiguration", "s3:ListBucket", "s3:DeleteObject"

Izin berikut hanya diperlukan jika Anda menggunakan bucket Amazon S3 terenkripsi.

"kms:Decrypt", "kms:GenerateDataKey", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey"

EMR Notebooks memperbarui kebijakan terkelola AWS

Lihat detail tentang pembaruan kebijakan AWS terkelola untuk EMR Notebooks sejak 1 Maret 2021.

Perubahan Deskripsi Tanggal
AmazonElasticMapReduceEditorsRole - Added permissions

EMR Notebooks ec2:describeVPCs ditambahkan elastmicmapreduce:ListSteps dan izin untuk. AmazonElasticMapReduceEditorsRole

Februari 8, 2023

EMR Notebooks mulai melacak perubahan

EMR Notebooks mulai melacak perubahan untuk AWS kebijakan yang dikelola.

Februari 8, 2023