Configurazione dei ruoli di servizio IAM per le autorizzazioni di Amazon EMR per i servizi e risorse AWS - Amazon EMR

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dei ruoli di servizio IAM per le autorizzazioni di Amazon EMR per i servizi e risorse AWS

Amazon EMR e applicazioni come Hadoop e Spark hanno bisogno di autorizzazioni per accedere ad altre risorse AWS ed eseguire operazioni quando sono in esecuzione. Ogni cluster in Amazon EMR deve avere un ruolo di servizio e un ruolo per il profilo dell' EC2 istanza Amazon. Per ulteriori informazioni, consulta Ruoli IAM e Utilizzo dei profili dell'istanza nella Guida per l'utente IAM. Le policy IAM allegate a questi ruoli forniscono al cluster le autorizzazioni per interagire con altri servizi AWS per conto di un utente.

Un ruolo aggiuntivo, il ruolo Auto Scaling, è necessario se il cluster utilizza la scalabilità automatica in Amazon EMR. Il ruolo AWS di servizio per EMR Notebooks è richiesto se si utilizzano EMR Notebooks.

Amazon EMR fornisce ruoli e policy gestite predefiniti che determinano le autorizzazioni per ciascun ruolo. Le policy gestite vengono create e gestite da AWS, quindi vengono aggiornate automaticamente se i requisiti del servizio cambiano. Per ulteriori informazioni, consulta Policy gestite da AWS nella Guida per l'utente IAM.

Se si sta creando un cluster o un notebook per la prima volta in un account, i ruoli per Amazon EMR non esistono ancora. Dopo averle create, puoi visualizzare i ruoli, le policy ad esse associate e le autorizzazioni consentite o negate dalle politiche nella console IAM (https://console.aws.amazon.com/iam/). È possibile specificare ruoli predefiniti per Amazon EMR da creare e utilizzare, è possibile creare ruoli propri e specificarli individualmente al momento della creazione di un cluster per personalizzare le autorizzazioni, infine è possibile specificare ruoli predefiniti da utilizzare al momento della creazione di un cluster utilizzando la AWS CLI. Per ulteriori informazioni, consulta Personalizza i ruoli IAM con Amazon EMR.

Modifica di policy basate sull'identità per le autorizzazioni a passare i ruoli del servizio per Amazon EMR

Le policy gestite predefinite con autorizzazioni complete di Amazon EMR incorporano configurazioni di sicurezza iam:PassRole, tra cui:

  • Autorizzazioni iam:PassRole solo per specifici ruoli Amazon EMR predefiniti.

  • iam:PassedToServicecondizioni che consentono di utilizzare la policy solo con AWS servizi specifici, come elasticmapreduce.amazonaws.com eec2.amazonaws.com.

Puoi visualizzare la versione JSON delle policy Amazon _v2 EMRFullAccessPolicye Amazon EMRService Policy_v2 nella console IAM. Ti consigliamo di creare i nuovi cluster con le policy gestite v2.

Riepilogo del ruolo di servizio

La tabella seguente elenca i ruoli del servizio IAM associati ad Amazon EMR per riferimento rapido.

Funzione Ruolo predefinito Descrizione Policy gestita predefinita

Ruolo di servizio per Amazon EMR (ruolo EMR)

EMR_DefaultRole_V2

Consente ad Amazon EMR di chiamare altri AWS servizi per tuo conto durante il provisioning di risorse e l'esecuzione di azioni a livello di servizio. Questo ruolo è obbligatorio per tutti i cluster.

AmazonEMRServicePolicy_v2

Importante

Per richiedere le Istanze spot è necessario un ruolo collegato al servizio. Se questo ruolo non esiste, il ruolo di servizio Amazon EMR deve avere l'autorizzazione per crearlo, altrimenti si verifica un errore di autorizzazione. Se si prevede di richiedere istanze Spot, è necessario aggiornare questa policy per includere un'istruzione che consenta la creazione di questo ruolo collegato al servizio. Per ulteriori informazioni, consulta Ruolo di servizio per Amazon EMR (ruolo EMR) il ruolo collegato ai servizi per le richieste di istanze Spot nella Amazon EC2 User Guide.

Ruolo di servizio per le istanze del cluster (profilo EC2 dell'istanza) EC2

EMR_EC2_DefaultRole

I processi applicativi eseguiti sull'ecosistema Hadoop su istanze cluster utilizzano questo ruolo quando chiamano altri servizi. AWS Per accedere ai dati in Amazon S3 utilizzando EMRFS, è possibile specificare diversi ruoli da assumere in base alla posizione dei dati in Amazon S3. Ad esempio, più team possono accedere a un singolo "account di archiviazione" dei dati di Amazon S3. Per ulteriori informazioni, consulta Configurazione di ruoli IAM per le richieste EMRFS ad Amazon S3. Questo ruolo è obbligatorio per tutti i cluster.

AmazonElasticMapReduceforEC2Role. Per ulteriori informazioni, consulta Ruolo di servizio per le istanze del cluster (profilo EC2 dell'istanza) EC2.

Ruolo di servizio per il dimensionamento automatico in Amazon EMR (ruolo Auto Scaling)

EMR_AutoScaling_DefaultRole

Consente di eseguire azioni aggiuntive per ambienti con dimensionamento dinamico. Necessario solo per i cluster che utilizzano la scalabilità automatica in Amazon EMR. Per ulteriori informazioni, consulta Utilizzo del ridimensionamento automatico con una politica personalizzata, ad esempio gruppi in Amazon EMR.

AmazonElasticMapReduceforAutoScalingRole. Per ulteriori informazioni, consulta Ruolo di servizio per il dimensionamento automatico in Amazon EMR (ruolo Auto Scaling).

Ruolo di servizio per EMR Notebooks

EMR_Notebooks_DefaultRole

Fornisce le autorizzazioni necessarie a un notebook EMR per accedere ad AWS altre risorse ed eseguire azioni. Richiesto solo se si utilizza EMR Notebooks.

AmazonElasticMapReduceEditorsRole. Per ulteriori informazioni, consulta Ruolo di servizio per EMR Notebooks.

S3FullAccessPolicy è inoltre collegato per impostazione predefinita. Il contenuto di questa policy è mostrato di seguito.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": "*" } ] }

Ruolo collegato ai servizi

AWSServiceRoleForEMRCleanup

Amazon EMR crea automaticamente un ruolo collegato ai servizi. Se il servizio per Amazon EMR non è più in grado di pulire EC2 le risorse Amazon, Amazon EMR può utilizzare questo ruolo per eseguire la pulizia. Se un cluster usa le istanze Spot, le policy di autorizzazione associate a Ruolo di servizio per Amazon EMR (ruolo EMR) devono consentire la creazione di un ruolo collegato al servizio. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per Amazon EMR.

AmazonEMRCleanupPolicy