Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Peran layanan untuk EMR Notebook
Setiap EMR buku catatan memerlukan izin untuk mengakses AWS sumber daya lain dan melakukan tindakan. IAMKebijakan yang dilampirkan pada peran layanan ini memberikan izin bagi notebook untuk berinteraksi dengan layanan lain AWS . Saat Anda membuat buku catatan menggunakan AWS Management Console, Anda menentukan peran AWS layanan. Anda dapat menggunakan peran default, EMR_Notebooks_DefaultRole, atau tentukan peran yang Anda buat. Jika notebook belum dibuat sebelumnya, Anda dapat memilih untuk membuat peran default.
-
Nama peran default adalah
EMR_Notebooks_DefaultRole. -
Kebijakan terkelola default yang dilampirkan
EMR_Notebooks_DefaultRoleadalahAmazonElasticMapReduceEditorsRoledanS3FullAccessPolicy.
Peran layanan Anda harus menggunakan kebijakan kepercayaan berikut.
penting
Kebijakan kepercayaan berikut mencakup aws:SourceArndan kunci kondisi aws:SourceAccountglobal, yang membatasi izin yang Anda berikan kepada Amazon EMR ke sumber daya tertentu di akun Anda. Menggunakannya dapat melindungi Anda dari masalah wakil yang membingungkan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "elasticmapreduce.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "<account-id>" }, "ArnLike": { "aws:SourceArn": "arn:aws:elasticmapreduce:<region>:<account-id>:*" } } } ] }
Isi dari versi 1 AmazonElasticMapReduceEditorsRole adalah sebagai berikut.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "elasticmapreduce:ListInstances", "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListSteps" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "aws:elasticmapreduce:editor-id", "aws:elasticmapreduce:job-flow-id" ] } } } ] }
Berikut ini adalah isi dariS3FullAccessPolicy. S3FullAccessPolicyIni memungkinkan peran layanan Anda untuk EMR Notebook untuk melakukan semua tindakan Amazon S3 pada objek di Anda. Akun AWS Saat membuat peran layanan kustom untuk EMR Notebook, Anda harus memberikan izin Amazon S3 peran layanan Anda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": "*" } ] }
Anda dapat mencatat akses baca dan tulis untuk peran layanan Anda ke lokasi Amazon S3 tempat Anda ingin menyimpan file notebook. Gunakan set minimum izin Amazon S3 berikut.
"s3:PutObject", "s3:GetObject", "s3:GetEncryptionConfiguration", "s3:ListBucket", "s3:DeleteObject"
Jika bucket Amazon S3 Anda dienkripsi, Anda harus menyertakan izin berikut untuk. AWS Key Management Service
"kms:Decrypt", "kms:GenerateDataKey", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey"
Saat Anda menautkan repositori Git ke buku catatan Anda dan perlu membuat rahasia untuk repositori, Anda harus menambahkan secretsmanager:GetSecretValue izin dalam IAM kebijakan yang dilampirkan ke peran layanan untuk notebook Amazon. EMR Kebijakan contoh ditunjukkan di bawah ini:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] }
EMRIzin peran layanan buku catatan
Tabel ini mencantumkan tindakan yang dilakukan EMR Notebook menggunakan peran layanan, bersama dengan izin yang diperlukan untuk setiap tindakan.
| Tindakan | Izin |
|---|---|
| Buat saluran jaringan aman antara notebook dan EMR klaster Amazon, dan lakukan tindakan pembersihan yang diperlukan. |
|
| Gunakan kredensyal Git yang disimpan AWS Secrets Manager untuk menautkan repositori Git ke buku catatan. |
|
| Terapkan AWS tag ke antarmuka jaringan dan grup keamanan default yang dibuat EMR Notebook saat menyiapkan saluran jaringan aman. Untuk informasi lebih lanjut, lihat Menandai sumber daya AWS. |
|
| Mengakses atau mengunggah file notebook dan metadata ke Amazon S3. |
Izin berikut hanya diperlukan jika Anda menggunakan bucket Amazon S3 terenkripsi.
|
EMRNotebook memperbarui kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk EMR Notebook sejak 1 Maret 2021.
| Perubahan | Deskripsi | Tanggal |
|---|---|---|
AmazonElasticMapReduceEditorsRole - Added
permissions |
EMRNotebook ditambahkan |
Februari 8, 2023 |
EMRNotebook mulai melacak perubahan |
EMRNotebook mulai melacak perubahan untuk kebijakan AWS terkelolanya. |
Februari 8, 2023 |
