Configurazione dell'accesso multi-account - Amazon EMR

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dell'accesso multi-account

Per configurare l'accesso tra più account per EMR Serverless, completa i seguenti passaggi. Nell'esempio, AccountA è l'account in cui hai creato l'applicazione Amazon EMR Serverless ed AccountB è l'account in cui si trova Amazon DynamoDB.

  1. Crea una tabella DynamoDB in. AccountB Per ulteriori informazioni, consulta Fase 1: Creare una tabella.

  2. Crea un Cross-Account-Role-B IAM ruolo in AccountB grado di accedere alla tabella DynamoDB.

    1. Accedi a AWS Management Console e apri la IAM console all'indirizzo. https://console.aws.amazon.com/iam/

    2. Scegli Ruoli e crea un nuovo ruolo chiamatoCross-Account-Role-B. Per ulteriori informazioni su come creare IAM ruoli, consulta Creazione di IAM ruoli nella guida per l'utente.

    3. Crea una IAM policy che conceda le autorizzazioni per accedere alla tabella DynamoDB tra account. Quindi allega la policy a. IAM Cross-Account-Role-B

      Di seguito è riportata una politica che concede l'accesso a una tabella DynamoDB. CrossAccountTable

      {"Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": "dynamodb:*",
            "Resource": "arn:aws:dynamodb:region:AccountB:table/CrossAccountTable"
        }
    ]
}

    4. Modifica la relazione di fiducia per il ruolo Cross-Account-Role-B.

      Per configurare la relazione di fiducia per il ruolo, scegli la scheda Relazioni di fiducia nella IAM console relativa al ruolo che hai creato nel passaggio 2:. Cross-Account-Role-B

      Seleziona Modifica relazione di fiducia e quindi aggiungi il seguente documento politico. Questo documento consente Job-Execution-Role-A AccountA di assumere questo Cross-Account-Role-B ruolo.

      {"Version": "2012-10-17",
  "Statement": [
    {"Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::AccountA:role/Job-Execution-Role-A"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    5. Concedi Job-Execution-Role-A AccountA con - STS Assume role le autorizzazioni da assumereCross-Account-Role-B.

      Nella IAM console per Account AWS AccountA, selezionaJob-Execution-Role-A. Aggiungi la seguente istruzione di policy a Job-Execution-Role-A per autorizzare l'operazione AssumeRole nel ruolo Cross-Account-Role-B.

      {"Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::AccountB:role/Cross-Account-Role-B"
        }
    ]
}

    6. Imposta la dynamodb.customAWSCredentialsProvider proprietà con il valore utilizzato com.amazonaws.emr.AssumeRoleAWSCredentialsProvider nella classificazione del sito principale. Imposta la variabile di ambiente ASSUME_ROLE_CREDENTIALS_ROLE_ARN con il ARN valore di. Cross-Account-Role-B

  3. Esegui il job Spark o Hive utilizzando. Job-Execution-Role-A