Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione dei ruoli di servizio IAM per le autorizzazioni di Amazon EMR per i servizi e risorse AWS
Amazon EMR e applicazioni come Hadoop e Spark hanno bisogno di autorizzazioni per accedere ad altre risorse AWS ed eseguire operazioni quando sono in esecuzione. Ogni cluster in Amazon EMR deve avere un ruolo di servizio e un ruolo per il profilo dell' EC2 istanza Amazon. Per ulteriori informazioni, consulta Ruoli IAM e Utilizzo dei profili dell'istanza nella Guida per l'utente IAM. Le policy IAM allegate a questi ruoli forniscono al cluster le autorizzazioni per interagire con altri servizi AWS per conto di un utente.
Un ruolo aggiuntivo, il ruolo Auto Scaling, è necessario se il cluster utilizza la scalabilità automatica in Amazon EMR. Il ruolo AWS di servizio per EMR Notebooks è richiesto se si utilizzano EMR Notebooks.
Amazon EMR fornisce ruoli e policy gestite predefiniti che determinano le autorizzazioni per ciascun ruolo. Le policy gestite vengono create e gestite da AWS, quindi vengono aggiornate automaticamente se i requisiti del servizio cambiano. Per ulteriori informazioni, consulta Policy gestite da AWS nella Guida per l'utente IAM.
Se si sta creando un cluster o un notebook per la prima volta in un account, i ruoli per Amazon EMR non esistono ancora. Dopo averle create, puoi visualizzare i ruoli, le policy ad esse associate e le autorizzazioni consentite o negate dalle politiche nella console IAM (https://console.aws.amazon.com/iam/
Modifica di policy basate sull'identità per le autorizzazioni a passare i ruoli del servizio per Amazon EMR
Le policy gestite predefinite con autorizzazioni complete di Amazon EMR incorporano configurazioni di sicurezza iam:PassRole
, tra cui:
Autorizzazioni
iam:PassRole
solo per specifici ruoli Amazon EMR predefiniti.iam:PassedToService
condizioni che consentono di utilizzare la policy solo con AWS servizi specifici, comeelasticmapreduce.amazonaws.com
eec2.amazonaws.com
.
Puoi visualizzare la versione JSON delle policy Amazon _v2 EMRFullAccessPolicye Amazon EMRService Policy_v2
Riepilogo del ruolo di servizio
La tabella seguente elenca i ruoli del servizio IAM associati ad Amazon EMR per riferimento rapido.
Funzione | Ruolo predefinito | Descrizione | Policy gestita predefinita |
---|---|---|---|
|
Consente ad Amazon EMR di chiamare altri AWS servizi per tuo conto durante il provisioning di risorse e l'esecuzione di azioni a livello di servizio. Questo ruolo è obbligatorio per tutti i cluster. |
ImportantePer richiedere le Istanze spot è necessario un ruolo collegato al servizio. Se questo ruolo non esiste, il ruolo di servizio Amazon EMR deve avere l'autorizzazione per crearlo, altrimenti si verifica un errore di autorizzazione. Se si prevede di richiedere istanze Spot, è necessario aggiornare questa policy per includere un'istruzione che consenta la creazione di questo ruolo collegato al servizio. Per ulteriori informazioni, consulta Ruolo di servizio per Amazon EMR (ruolo EMR) il ruolo collegato ai servizi per le richieste di istanze Spot nella Amazon EC2 User Guide. |
|
Ruolo di servizio per le istanze del cluster (profilo EC2 dell'istanza) EC2 |
|
I processi applicativi eseguiti sull'ecosistema Hadoop su istanze cluster utilizzano questo ruolo quando chiamano altri servizi. AWS Per accedere ai dati in Amazon S3 utilizzando EMRFS, è possibile specificare diversi ruoli da assumere in base alla posizione dei dati in Amazon S3. Ad esempio, più team possono accedere a un singolo "account di archiviazione" dei dati di Amazon S3. Per ulteriori informazioni, consulta Configurazione di ruoli IAM per le richieste EMRFS ad Amazon S3. Questo ruolo è obbligatorio per tutti i cluster. |
|
Ruolo di servizio per il dimensionamento automatico in Amazon EMR (ruolo Auto Scaling) |
|
Consente di eseguire azioni aggiuntive per ambienti con dimensionamento dinamico. Necessario solo per i cluster che utilizzano la scalabilità automatica in Amazon EMR. Per ulteriori informazioni, consulta Utilizzo del ridimensionamento automatico con una politica personalizzata, ad esempio gruppi in Amazon EMR. |
|
|
Fornisce le autorizzazioni necessarie a un notebook EMR per accedere ad AWS altre risorse ed eseguire azioni. Richiesto solo se si utilizza EMR Notebooks. |
|
|
|
Amazon EMR crea automaticamente un ruolo collegato ai servizi. Se il servizio per Amazon EMR non è più in grado di pulire EC2 le risorse Amazon, Amazon EMR può utilizzare questo ruolo per eseguire la pulizia. Se un cluster usa le istanze Spot, le policy di autorizzazione associate a Ruolo di servizio per Amazon EMR (ruolo EMR) devono consentire la creazione di un ruolo collegato al servizio. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per Amazon EMR. |
|
Argomenti
- Ruoli di servizio IAM utilizzati da Amazon EMR
- Personalizza i ruoli IAM con Amazon EMR
- Configurazione di ruoli IAM per le richieste EMRFS ad Amazon S3
- Utilizzo di policy basate su risorse per l'accesso Amazon EMR ad AWS Glue Data Catalog
- I ruoli IAM possono essere utilizzati con le applicazioni che richiamano direttamente i servizi AWS
- Consentire a utenti e gruppi di creare e modificare i ruoli