Autorizzazioni di ruolo collegate ai servizi per Serverless EMR Creazione di un ruolo collegato ai servizi per Serverless EMR Modifica di un ruolo collegato al servizio per Serverless EMR Eliminazione di un ruolo collegato al servizio per Serverless EMR Regioni supportate per i ruoli Serverless collegati ai servizi EMR

Utilizzo di ruoli collegati ai servizi per Serverless EMR

Usi di Amazon EMR Serverless AWS Identity and Access Management (IAM) ruoli collegati ai servizi. Un ruolo collegato ai servizi è un tipo di IAM ruolo unico collegato direttamente a Serverless. EMR I ruoli collegati ai servizi sono predefiniti da EMR Serverless e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto.

Un ruolo collegato ai servizi semplifica la configurazione di EMR Serverless perché non è necessario aggiungere manualmente le autorizzazioni necessarie. EMRServerless definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo Serverless può assumerne i ruoli. EMR Le autorizzazioni definite includono la politica di fiducia e la politica di autorizzazione e tale politica di autorizzazione non può essere associata a nessun'altra entità. IAM

È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. Questo protegge le tue risorse EMR Serverless perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.

Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, vedi AWS Servizi compatibili IAM e cerca i servizi con Sì nella colonna Ruoli collegati ai servizi. Scegli Sì in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni di ruolo collegate ai servizi per Serverless EMR

EMRServerless utilizza il ruolo collegato al servizio denominato per consentirgli di chiamare AWSServiceRoleForAmazonEMRServerless AWS APIsper tuo conto.

Il ruolo AWSServiceRoleForAmazonEMRServerless collegato al servizio prevede che i seguenti servizi assumano il ruolo:

ops.emr-serverless.amazonaws.com

La politica di autorizzazione dei ruoli denominata AmazonEMRServerlessServiceRolePolicy consente a EMR Serverless di completare le seguenti azioni sulle risorse specificate.

Nota

Il contenuto delle policy gestite cambia, pertanto la politica mostrata qui potrebbe non essere aggiornata. Visualizza la maggior parte delle up-to-date politiche A mazonEMRServerless ServiceRolePolicy nel AWS Management Console.

Operazione: ec2:CreateNetworkInterface
Operazione: ec2:DeleteNetworkInterface
Operazione: ec2:DescribeNetworkInterfaces
Operazione: ec2:DescribeSecurityGroups
Operazione: ec2:DescribeSubnets
Operazione: ec2:DescribeVpcs
Operazione: ec2:DescribeDhcpOptions
Operazione: ec2:DescribeRouteTables
Operazione: cloudwatch:PutMetricData

Di seguito è riportata la AmazonEMRServerlessServiceRolePolicy politica completa.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EC2PolicyStatement",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeRouteTables"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchPolicyStatement",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [                        
                        "AWS/EMRServerless",
                        "AWS/Usage"
                    ]
                }
            }
        }
    ]
}

La seguente politica di fiducia è allegata a questo ruolo per consentire al principale EMR Serverless di assumere questo ruolo.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ops.emr-serverless.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

È necessario configurare le autorizzazioni per consentire a un'IAMentità (ad esempio un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio. Per ulteriori informazioni, consulta Autorizzazioni dei ruoli collegati ai servizi nella Guida per l'utente. IAM

Creazione di un ruolo collegato ai servizi per Serverless EMR

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando si crea una nuova applicazione EMR Serverless in AWS Management Console (utilizzando EMR Studio), AWS CLI, oppure AWS API, EMR Serverless crea automaticamente il ruolo collegato ai servizi. È necessario configurare le autorizzazioni per consentire a un'IAMentità (ad esempio un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio.

Per creare il ruolo collegato al servizio utilizzando AWSServiceRoleForAmazonEMRServerless IAM

Aggiungi la seguente dichiarazione alla politica delle autorizzazioni per l'IAMentità che deve creare il ruolo collegato al servizio.


{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/ops.emr-serverless.amazonaws.com/AWSServiceRoleForAmazonEMRServerless*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "ops.emr-serverless.amazonaws.com"}}
}

Se elimini questo ruolo collegato ai servizi, puoi ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando crei una nuova applicazione Serverless, EMR EMR Serverless crea nuovamente il ruolo collegato al servizio per te.

Puoi anche utilizzare la IAM console per creare un ruolo collegato al servizio con lo use case Serverless. EMR Nel AWS CLI o il AWS API, crea un ruolo collegato al servizio con il nome del ops.emr-serverless.amazonaws.com servizio. Per ulteriori informazioni, vedere Creazione di un ruolo collegato al servizio nella Guida per l'utente. IAM Se elimini il ruolo collegato ai servizi, puoi utilizzare lo stesso processo per crearlo nuovamente.

Modifica di un ruolo collegato al servizio per Serverless EMR

EMRServerless non consente di modificare il ruolo AWSServiceRoleForAmazonEMRServerless collegato al servizio perché diverse entità potrebbero fare riferimento al ruolo. Non è possibile modificare il AWS IAM-policy di proprietà utilizzata dal ruolo EMR Serverless collegato al servizio, in quanto contiene tutte le autorizzazioni necessarie di cui Serverless ha bisogno. EMR Tuttavia, è possibile modificare la descrizione del ruolo utilizzando. IAM

Per modificare la descrizione del ruolo AWSServiceRoleForAmazonEMRServerless collegato al servizio utilizzando IAM

Aggiungi la seguente dichiarazione alla politica delle autorizzazioni per l'IAMentità che deve modificare la descrizione di un ruolo collegato al servizio.


{
    "Effect": "Allow",
    "Action": [
        "iam: UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/ops.emr-serverless.amazonaws.com/AWSServiceRoleForAmazonEMRServerless*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "ops.emr-serverless.amazonaws.com"}}
}

Per ulteriori informazioni, consulta Modifica di un ruolo collegato al servizio nella Guida per l'utente. IAM

Eliminazione di un ruolo collegato al servizio per Serverless EMR

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non avrai un'entità inutilizzata che non viene monitorata o gestita attivamente. Tuttavia, è necessario eliminare tutte le applicazioni EMR Serverless in tutte le regioni prima di poter eliminare il ruolo collegato al servizio.

Nota

Se il servizio EMR Serverless utilizza il ruolo quando si tenta di eliminare le risorse associate al ruolo, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.

Per eliminare il ruolo collegato al AWSServiceRoleForAmazonEMRServerless servizio utilizzando IAM

Aggiungi la seguente dichiarazione alla politica delle autorizzazioni per l'IAMentità che deve eliminare un ruolo collegato al servizio.


{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/ops.emr-serverless.amazonaws.com/AWSServiceRoleForAmazonEMRServerless*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "ops.emr-serverless.amazonaws.com"}}
}

Per eliminare manualmente il ruolo collegato al servizio utilizzando IAM

Usa la IAM console, AWS CLI, o AWS APIper eliminare il ruolo AWSServiceRoleForAmazonEMRServerless collegato al servizio. Per ulteriori informazioni, vedere Eliminazione di un ruolo collegato al servizio nella Guida per l'utente. IAM

Regioni supportate per i ruoli Serverless collegati ai servizi EMR

EMRServerless supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta AWS Regioni ed endpoint.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Come funziona EMR Serverless con IAM

Ruoli Job Runtime per Amazon EMR Serverless