Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Ruolo di servizio per Amazon EMR (ruolo EMR)

PDF
Modalità Focus
Ruolo di servizio per Amazon EMR (ruolo EMR) - Amazon EMR

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Il ruolo Amazon EMR definisce le azioni consentite per Amazon EMR quando fornisce risorse ed esegue attività a livello di servizio che non vengono eseguite nel contesto di un'istanza Amazon in esecuzione all'interno di un cluster. EC2 Ad esempio, il ruolo di servizio viene utilizzato per fornire EC2 istanze all'avvio di un cluster.

  • Il nome del ruolo predefinito è EMR_DefaultRole_V2.

  • La policy gestita predefinita necessaria per Amazon EMR e associata a EMR_DefaultRole_V2 è AmazonEMRServicePolicy_v2. Questa policy v2 sostituisce la policy gestita predefinita e obsoleta AmazonElasticMapReduceRole.

AmazonEMRServicePolicy_v2 dipende dall'accesso ridotto alle risorse che Amazon EMR fornisce o utilizza. Quando si utilizza questa policy, è necessario passare il tag utente for-use-with-amazon-emr-managed-policies = true durante il provisioning del cluster. Amazon EMR propaga automaticamente tali tag. Inoltre, potrebbe essere necessario aggiungere manualmente un tag utente a tipi specifici di risorse, ad esempio gruppi di EC2 sicurezza che non sono stati creati da Amazon EMR. Per informazioni, consulta Assegnazione di tag alle risorse per l'utilizzo delle policy gestite.

Importante

Amazon EMR utilizza questo ruolo del servizio Amazon EMR e il AWSServiceRoleForEMRCleanup ruolo per pulire le risorse del cluster nel tuo account che non usi più, come le istanze Amazon. EC2 È necessario includere azioni relative alle policy del ruolo per eliminare o terminare le risorse. Altrimenti, Amazon EMR non può eseguire queste azioni di pulizia e potresti incorrere in costi per le risorse inutilizzate che rimangono nel cluster.

Nell'esempio seguente viene mostrato il contenuto della policy AmazonEMRServicePolicy_v2 corrente. È anche possibile visualizzare il contenuto corrente della policy gestita AmazonEMRServicePolicy_v2 sulla console IAM.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "CreateInTaggedNetwork",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface",
				"ec2:RunInstances",
				"ec2:CreateFleet",
				"ec2:CreateLaunchTemplate",
				"ec2:CreateLaunchTemplateVersion"
			],
			"Resource": [
				"arn:aws:ec2:*:*:subnet/*",
				"arn:aws:ec2:*:*:security-group/*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
				}
			}
		},
		{
			"Sid": "CreateWithEMRTaggedLaunchTemplate",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateFleet",
				"ec2:RunInstances",
				"ec2:CreateLaunchTemplateVersion"
			],
			"Resource": "arn:aws:ec2:*:*:launch-template/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
				}
			}
		},
		{
			"Sid": "CreateEMRTaggedLaunchTemplate",
			"Effect": "Allow",
			"Action": "ec2:CreateLaunchTemplate",
			"Resource": "arn:aws:ec2:*:*:launch-template/*",
			"Condition": {
				"StringEquals": {
					"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
				}
			}
		},
		{
			"Sid": "CreateEMRTaggedInstancesAndVolumes",
			"Effect": "Allow",
			"Action": [
				"ec2:RunInstances",
				"ec2:CreateFleet"
			],
			"Resource": [
				"arn:aws:ec2:*:*:instance/*",
				"arn:aws:ec2:*:*:volume/*"
			],
			"Condition": {
				"StringEquals": {
					"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
				}
			}
		},
		{
			"Sid": "ResourcesToLaunchEC2",
			"Effect": "Allow",
			"Action": [
				"ec2:RunInstances",
				"ec2:CreateFleet",
				"ec2:CreateLaunchTemplate",
				"ec2:CreateLaunchTemplateVersion"
			],
			"Resource": [
				"arn:aws:ec2:*:*:network-interface/*",
				"arn:aws:ec2:*::image/ami-*",
				"arn:aws:ec2:*:*:key-pair/*",
				"arn:aws:ec2:*:*:capacity-reservation/*",
				"arn:aws:ec2:*:*:placement-group/pg-*",
				"arn:aws:ec2:*:*:fleet/*",
				"arn:aws:ec2:*:*:dedicated-host/*",
				"arn:aws:resource-groups:*:*:group/*"
			]
		},
		{
			"Sid": "ManageEMRTaggedResources",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateLaunchTemplateVersion",
				"ec2:DeleteLaunchTemplate",
				"ec2:DeleteNetworkInterface",
				"ec2:ModifyInstanceAttribute",
				"ec2:TerminateInstances"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
				}
			}
		},
		{
			"Sid": "ManageTagsOnEMRTaggedResources",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateTags",
				"ec2:DeleteTags"
			],
			"Resource": [
				"arn:aws:ec2:*:*:instance/*",
				"arn:aws:ec2:*:*:volume/*",
				"arn:aws:ec2:*:*:network-interface/*",
				"arn:aws:ec2:*:*:launch-template/*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
				}
			}
		},
		{
			"Sid": "CreateNetworkInterfaceNeededForPrivateSubnet",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface"
			],
			"Resource": [
				"arn:aws:ec2:*:*:network-interface/*"
			],
			"Condition": {
				"StringEquals": {
					"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
				}
			}
		},
		{
			"Sid": "TagOnCreateTaggedEMRResources",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateTags"
			],
			"Resource": [
				"arn:aws:ec2:*:*:network-interface/*",
				"arn:aws:ec2:*:*:instance/*",
				"arn:aws:ec2:*:*:volume/*",
				"arn:aws:ec2:*:*:launch-template/*"
			],
			"Condition": {
				"StringEquals": {
					"ec2:CreateAction": [
						"RunInstances",
						"CreateFleet",
						"CreateLaunchTemplate",
						"CreateNetworkInterface"
					]
				}
			}
		},
		{
			"Sid": "TagPlacementGroups",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateTags",
				"ec2:DeleteTags"
			],
			"Resource": [
				"arn:aws:ec2:*:*:placement-group/pg-*"
			]
		},
		{
			"Sid": "ListActionsForEC2Resources",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeAccountAttributes",
				"ec2:DescribeCapacityReservations",
				"ec2:DescribeDhcpOptions",
				"ec2:DescribeImages",
				"ec2:DescribeInstances",
				"ec2:DescribeInstanceTypeOfferings",
				"ec2:DescribeLaunchTemplates",
				"ec2:DescribeNetworkAcls",
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribePlacementGroups",
				"ec2:DescribeRouteTables",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeSubnets",
				"ec2:DescribeVolumes",
				"ec2:DescribeVolumeStatus",
				"ec2:DescribeVpcAttribute",
				"ec2:DescribeVpcEndpoints",
				"ec2:DescribeVpcs"
			],
			"Resource": "*"
		},
		{
			"Sid": "CreateDefaultSecurityGroupWithEMRTags",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateSecurityGroup"
			],
			"Resource": [
				"arn:aws:ec2:*:*:security-group/*"
			],
			"Condition": {
				"StringEquals": {
					"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
				}
			}
		},
		{
			"Sid": "CreateDefaultSecurityGroupInVPCWithEMRTags",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateSecurityGroup"
			],
			"Resource": [
				"arn:aws:ec2:*:*:vpc/*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
				}
			}
		},
		{
			"Sid": "TagOnCreateDefaultSecurityGroupWithEMRTags",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateTags"
			],
			"Resource": "arn:aws:ec2:*:*:security-group/*",
			"Condition": {
				"StringEquals": {
					"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
					"ec2:CreateAction": "CreateSecurityGroup"
				}
			}
		},
		{
			"Sid": "ManageSecurityGroups",
			"Effect": "Allow",
			"Action": [
				"ec2:AuthorizeSecurityGroupEgress",
				"ec2:AuthorizeSecurityGroupIngress",
				"ec2:RevokeSecurityGroupEgress",
				"ec2:RevokeSecurityGroupIngress"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
				}
			}
		},
		{
			"Sid": "CreateEMRPlacementGroups",
			"Effect": "Allow",
			"Action": [
				"ec2:CreatePlacementGroup"
			],
			"Resource": "arn:aws:ec2:*:*:placement-group/pg-*"
		},
		{
			"Sid": "DeletePlacementGroups",
			"Effect": "Allow",
			"Action": [
				"ec2:DeletePlacementGroup"
			],
			"Resource": "*"
		},
		{
			"Sid": "AutoScaling",
			"Effect": "Allow",
			"Action": [
				"application-autoscaling:DeleteScalingPolicy",
				"application-autoscaling:DeregisterScalableTarget",
				"application-autoscaling:DescribeScalableTargets",
				"application-autoscaling:DescribeScalingPolicies",
				"application-autoscaling:PutScalingPolicy",
				"application-autoscaling:RegisterScalableTarget"
			],
			"Resource": "*"
		},
		{
			"Sid": "ResourceGroupsForCapacityReservations",
			"Effect": "Allow",
			"Action": [
				"resource-groups:ListGroupResources"
			],
			"Resource": "*"
		},
		{
			"Sid": "AutoScalingCloudWatch",
			"Effect": "Allow",
			"Action": [
				"cloudwatch:PutMetricAlarm",
				"cloudwatch:DeleteAlarms",
				"cloudwatch:DescribeAlarms"
			],
			"Resource": "arn:aws:cloudwatch:*:*:alarm:*_EMR_Auto_Scaling"
		},
		{
			"Sid": "PassRoleForAutoScaling",
			"Effect": "Allow",
			"Action": "iam:PassRole",
			"Resource": "arn:aws:iam::*:role/EMR_AutoScaling_DefaultRole",
			"Condition": {
				"StringLike": {
					"iam:PassedToService": "application-autoscaling.amazonaws.com*"
				}
			}
		},
		{
			"Sid": "PassRoleForEC2",
			"Effect": "Allow",
			"Action": "iam:PassRole",
			"Resource": "arn:aws:iam::*:role/EMR_EC2_DefaultRole",
			"Condition": {
				"StringLike": {
					"iam:PassedToService": "ec2.amazonaws.com*"
    				}
    			}
    		},
                {
                        "Sid": "CreateAndModifyEmrServiceVPCEndpoint",
                        "Effect": "Allow",
                        "Action": [
                            "ec2:ModifyVpcEndpoint",
                            "ec2:CreateVpcEndpoint"
                        ],
                        "Resource": [
                            "arn:aws:ec2:*:*:vpc-endpoint/*",
                            "arn:aws:ec2:*:*:subnet/*",
                            "arn:aws:ec2:*:*:security-group/*",
                            "arn:aws:ec2:*:*:vpc/*"
                        ],
                        "Condition": {
                            "StringEquals": {
                                "aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
                            }
                        }
                },
                {
                        "Sid": "CreateEmrServiceVPCEndpoint",
                        "Effect": "Allow",
                        "Action": [
                            "ec2:CreateVpcEndpoint"
                        ],
                        "Resource": [
                            "arn:aws:ec2:*:*:vpc-endpoint/*"
                        ],
                        "Condition": {
                            "StringEquals": {
                                "aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
                                "aws:RequestTag/Name": "emr-service-vpce"
                            }
                        }
                },
                {
                        "Sid": "TagEmrServiceVPCEndpoint",
                        "Effect": "Allow",
                        "Action": [
                            "ec2:CreateTags"
                        ],
                        "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
                        "Condition": {
                            "StringEquals": {
                                "ec2:CreateAction": "CreateVpcEndpoint",
                                "aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
                                "aws:RequestTag/Name": "emr-service-vpce"
                            }
                        }
                }
	]
}

Il tuo ruolo di servizio dovrebbe utilizzare la seguente policy di attendibilità:

Importante

La policy di attendibilità seguente include le chiavi di condizione globale aws:SourceArn e aws:SourceAccount per limitare le autorizzazioni concesse ad Amazon EMR per determinate risorse dell'account. Il loro utilizzo può proteggerti dal problema del "confused deputy".

{
    "Version": "2008-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": "elasticmapreduce.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "<account-id>"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:elasticmapreduce:<region>:<account-id>:*"
                }
            }
        }
    ]
}
PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.