Creare una nuova IAM policy e associarla a un utente nella console IAM Autorizzazioni per la gestione dei cluster virtuali Autorizzazioni per inviare i processi Autorizzazioni per il debug e il monitoraggio

Concedi agli utenti l'accesso ad Amazon EMR su EKS

Per qualsiasi azione che esegui su Amazon EMR onEKS, hai bisogno di un'IAMautorizzazione corrispondente per quell'azione. Devi creare una IAM policy che ti consenta di eseguire le EKS azioni di Amazon EMR on e allegare la policy all'IAMutente o al ruolo che utilizzi.

In questo argomento vengono illustrate le fasi per la creazione di una nuova policy e il relativo collegamento a un utente. Copre anche le autorizzazioni di base necessarie per configurare il tuo EKS ambiente Amazon EMR on. Consigliamo di perfezionare le autorizzazioni a risorse specifiche ove possibile in base alle esigenze aziendali.

Creare una nuova IAM policy e associarla a un utente nella console IAM

Crea una nuova politica IAM

Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.
Nel riquadro di navigazione a sinistra della IAM console, scegli Politiche.
Nella pagina Policy, scegli Crea policy.
Nella finestra Crea policy, vai alla JSON scheda Modifica. Create un documento di policy con una o più JSON istruzioni, come illustrato negli esempi che seguono questa procedura. Poi, scegli Verifica policy.
Nella schermata Verifica policy, inserisci il Nome policy, ad esempio AmazonEMROnEKSPolicy. Immetti una descrizione facoltativa e quindi seleziona Crea policy.

Collegamento della policy a un utente o ruolo

Accedere a AWS Management Console e aprire la IAM console all'indirizzo https://console.aws.amazon.com/iam/
Nel pannello di navigazione, seleziona Policy.
Nell'elenco di policy, seleziona la casella di spunta accanto alla policy creata nella sezione precedente. Puoi utilizzare il menu Filtro e la casella di ricerca per filtrare l'elenco di policy.
Scegli Operazioni di policy, quindi Collega.
Seleziona l'utente o il ruolo a cui desideri collegare la policy. Puoi usare il menu Filtro e la casella di ricerca per filtrare l'elenco delle entità principali. Dopo aver scelto l'utente o il ruolo a cui collegare la policy, scegli Collega policy.

Autorizzazioni per la gestione dei cluster virtuali

Per gestire i cluster virtuali nel tuo AWS account, crea una IAM policy con le seguenti autorizzazioni. Queste autorizzazioni ti consentono di creare, elencare, descrivere ed eliminare i cluster virtuali nel tuo account. AWS


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "emr-containers.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "emr-containers:CreateVirtualCluster",
                "emr-containers:ListVirtualClusters",
                "emr-containers:DescribeVirtualCluster",
                "emr-containers:DeleteVirtualCluster"
            ],
            "Resource": "*"
        }
    ]
}

Amazon EMR è integrato con Amazon EKS Cluster Access Management (CAM), quindi puoi automatizzare la configurazione delle politiche AuthN e AuthZ necessarie per eseguire i job Amazon Spark nei namespace dei cluster EMR Amazon. EKS A tale scopo, devi disporre delle seguenti autorizzazioni:


{
  "Effect": "Allow",
  "Action": [
    "eks:CreateAccessEntry"
  ],
  "Resource": "arn:<AWS_PARTITION>:eks:<AWS_REGION>:<AWS_ACCOUNT_ID>:cluster/<EKS_CLUSTER_NAME>"
}, 
{
  "Effect": "Allow",
  "Action": [
    "eks:DescribeAccessEntry",
    "eks:DeleteAccessEntry",
    "eks:ListAssociatedAccessPolicies",
    "eks:AssociateAccessPolicy",
    "eks:DisassociateAccessPolicy"
  ],
  "Resource": "arn:<AWS_PARTITION>:eks:<AWS_REGION>:<AWS_ACCOUNT_ID>:access-entry/<EKS_CLUSTER_NAME>/role/<AWS_ACCOUNT_ID>/AWSServiceRoleForAmazonEMRContainers/*"
}

Per ulteriori informazioni, consulta Automatizza l'abilitazione dell'accesso al cluster per Amazon EMR su EKS.

Quando l'CreateVirtualClusteroperazione viene richiamata per la prima volta da un AWS account, sono necessarie anche CreateServiceLinkedRole le autorizzazioni per creare il ruolo collegato al servizio per Amazon su. EMR EKS Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per Amazon EMR su EKS.

Autorizzazioni per inviare i processi

Per inviare lavori sui cluster virtuali del tuo AWS account, crea una IAM policy con le seguenti autorizzazioni. Queste autorizzazioni ti consentono di avviare, elencare, descrivere ed annullare esecuzioni di processo per tutti i cluster virtuali nel tuo account. È consigliabile aggiungere autorizzazioni per elencare o descrivere cluster virtuali, il che ti consente di controllare lo stato del cluster virtuale prima di inviare i processi.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "emr-containers:StartJobRun",
                "emr-containers:ListJobRuns",
                "emr-containers:DescribeJobRun",
                "emr-containers:CancelJobRun"
            ],
            "Resource": "*"
        }
    ]
}

Autorizzazioni per il debug e il monitoraggio

Per accedere ai log inviati ad Amazon S3 o per visualizzare CloudWatch i registri degli eventi delle applicazioni nella console EMR Amazon, IAM crea una policy con le seguenti autorizzazioni. Consigliamo di perfezionare le autorizzazioni a risorse specifiche ove possibile in base alle esigenze aziendali.

Importante

Se non hai creato un bucket Amazon S3, dovrai aggiungere l'autorizzazione s3:CreateBucket per la dichiarazione di policy. Se non hai creato un gruppo di log, dovrai aggiungere logs:CreateLogGroup alla dichiarazione di policy.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "emr-containers:DescribeJobRun",
                "elasticmapreduce:CreatePersistentAppUI",
                "elasticmapreduce:DescribePersistentAppUI",
                "elasticmapreduce:GetPersistentAppUIPresignedURL"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:Get*",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams"
            ],
            "Resource": "*"
        }
    ]
}

Per ulteriori informazioni su come configurare l'esecuzione di un job per inviare i log ad Amazon S3 CloudWatch e, consulta Configurare un job run per utilizzare i log S3 e Configurare un job run to use Logs. CloudWatch

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Aggiornamento della policy di affidabilità del ruolo di esecuzione di processo

Registra il EKS cluster Amazon con Amazon EMR