Policy EMR gestite da Amazon - Amazon EMR
Obiettivo sicuro: PassRoleAssegnazione di tag alle risorse per l'utilizzo delle policy gestiteAvvio del cluster nella console con policy v2AWS politiche gestite

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Policy EMR gestite da Amazon

Il modo più semplice per concedere l'accesso completo o in sola lettura alle EMR azioni Amazon richieste consiste nell'utilizzare le policy IAM gestite per Amazon. EMR Le policy gestite offrono il vantaggio di essere aggiornate automaticamente nel momento in cui i requisiti di autorizzazione cambiano. Se utilizzi policy inline, è possibile che si verifichino degli errori di autorizzazione in caso di modifiche al servizio.

Amazon EMR sostituirà le politiche gestite esistenti (politiche v1) a favore di nuove politiche gestite (politiche v2). Le nuove politiche gestite sono state ridotte per allinearle alle migliori pratiche. AWS Dopo che le politiche gestite v1 esistenti saranno diventate obsolete, non sarà più possibile allegarle a nuovi ruoli o utenti. IAM I ruoli e gli utenti esistenti che utilizzano policy obsolete possono continuare a utilizzarli. Le policy gestite v2 limitano l'accesso utilizzando i tag. Consentono solo EMR azioni Amazon specifiche e richiedono risorse del cluster etichettate con una chiave EMR specifica. Si consiglia di esaminare attentamente la documentazione prima di utilizzare le nuove policy v2.

Le politiche v1 verranno contrassegnate come obsolete con un'icona di avviso accanto ad esse nell'elenco delle politiche nella console. IAM Le policy obsolete avranno le seguenti caratteristiche:

  • Continuano a funzionare per tutti gli utenti, gruppi e ruoli attualmente collegati. Nessuna interruzione.

  • Non possono essere collegate a nuovi utenti, gruppi o ruoli. Se una delle policy viene scollegata da un'entità corrente, non è possibile collegarla nuovamente.

  • Dopo aver scollegato una policy v1 da tutte le entità correnti, la policy non sarà più visibile e non potrà essere utilizzata.

Nella tabella seguente sono riepilogate le modifiche tra le policy correnti (v1) e le policy v2.

Amazon ha EMR gestito le modifiche alle policy
Tipo di policy Nomi delle policy Scopo della policy Modifiche alla policy v2

Ruolo EMR di servizio predefinito e policy gestita allegata

Nome del ruolo: EMR_ DefaultRole

Politica V1 (da rendere obsoleta): AmazonElasticMapReduceRole(Service Role) EMR

Nome della policy v2 (con ambito): AmazonEMRServicePolicy_v2

Consente EMR ad Amazon di chiamare altri AWS servizi per tuo conto durante il provisioning di risorse e l'esecuzione di azioni a livello di servizio. Questo ruolo è obbligatorio per tutti i cluster.

Policy aggiunge la nuova autorizzazione. "ec2:DescribeInstanceTypeOfferings" Questa API operazione restituisce un elenco di tipi di istanze supportati da un elenco di determinate zone di disponibilità.

IAMpolitica gestita per EMR l'accesso completo ad Amazon per utente, ruolo o gruppo collegato

Nome della policy V2 (con ambito): AmazonEMRServicePolicy_v2

Concede agli utenti le autorizzazioni complete per EMR le azioni. Include iam: PassRole autorizzazioni per le risorse.

La policy aggiunge il prerequisito secondo cui gli utenti devono aggiungere tag utente alle risorse prima di poter utilizzare questa policy. Per informazioni, consulta Assegnazione di tag alle risorse per l'utilizzo delle policy gestite.

iam: PassRole l'azione richiede iam: PassedToService condizione impostata sul servizio specificato. L'accesso ad AmazonEC2, Amazon S3 e ad altri servizi non è consentito per impostazione predefinita. Vedi IAMManaged Policy per l'accesso completo (v2 Managed Default Policy).

IAMpolitica gestita per l'accesso in sola lettura da parte dell'utente, del ruolo o del gruppo collegato

Policy V1 (da essere resa obsoleta): AmazonElasticMapReduceReadOnlyAccess

Nome della policy V2 (con ambito): AmazonEMRReadOnlyAccessPolicy_v2

Consente agli utenti autorizzazioni di sola lettura per le azioni Amazon. EMR

Le autorizzazioni si riferiscono esclusivamente alle operazioni elasticmapreduce di sola lettura specificate. Per impostazione predefinita, l'accesso ad Amazon S3 non è consentito. Vedi Politica IAM gestita per l'accesso in sola lettura (politica predefinita gestita v2).

Ruolo di EMR servizio predefinito e policy gestita allegata

Nome del ruolo: EMR_ DefaultRole

Politica V1 (da rendere obsoleta): AmazonElasticMapReduceRole(Service Role) EMR

Nome della policy v2 (con ambito): AmazonEMRServicePolicy_v2

Consente EMR ad Amazon di chiamare altri AWS servizi per tuo conto durante il provisioning di risorse e l'esecuzione di azioni a livello di servizio. Questo ruolo è obbligatorio per tutti i cluster.

Il ruolo di servizio v2 e la policy predefinita v2 sostituiscono il ruolo e la policy obsoleti. La policy aggiunge il prerequisito secondo cui gli utenti devono aggiungere tag utente alle risorse prima di poter utilizzare questa policy. Per informazioni, consulta Assegnazione di tag alle risorse per l'utilizzo delle policy gestite. Per informazioni, consulta Ruolo di servizio per Amazon EMR (EMRruolo).

Ruolo di servizio per le istanze del cluster (profilo EC2 dell'istanza) EC2

Nome del ruolo: EMR_ _ EC2 DefaultRole

Nome policy obsoleta: AmazonElasticMapReduceforEC2Role

Consente alle applicazioni in esecuzione su un EMR cluster di accedere ad altre AWS risorse, come Amazon S3. Ad esempio, se esegui i processi Apache Spark che elaborano i dati da Amazon S3, la policy deve consentire l'accesso a tali risorse.

Sia il ruolo predefinito che la policy predefinita diventeranno presto obsoleti. Non esistono ruoli o policy gestiti AWS predefiniti sostitutivi. È necessario fornire una policy basata su risorse o su identità. Ciò significa che, per impostazione predefinita, le applicazioni in esecuzione su un EMR cluster non hanno accesso ad Amazon S3 o ad altre risorse a meno che non vengano aggiunte manualmente alla policy. Per informazioni, consulta Ruolo predefinito e policy gestita.

Altre politiche relative EC2 ai ruoli di servizio

Nomi delle politiche correnti: AmazonElasticMapReduceforAutoScalingRole, AmazonElasticMapReduceEditorsRole, A mazonEMRCleanup Policy

Fornisce le autorizzazioni necessarie ad Amazon EMR per accedere ad altre AWS risorse ed eseguire azioni se si utilizza la scalabilità automatica, i notebook o per ripulire le risorse. EC2

Nessuna modifica per v2.

Proteggere l'obiettivo: PassRole

Le politiche gestite predefinite di Amazon con EMR autorizzazioni complete incorporano configurazioni iam:PassRole di sicurezza, tra cui:

  • iam:PassRoleautorizzazioni solo per EMR ruoli Amazon predefiniti specifici.

  • iam:PassedToServicecondizioni che consentono di utilizzare la politica solo con AWS servizi specifici, come elasticmapreduce.amazonaws.com eec2.amazonaws.com.

È possibile visualizzare la JSON versione delle politiche A mazonEMRFull AccessPolicy _v2 e A mazonEMRService Policy_v2 nella console. IAM Ti consigliamo di creare i nuovi cluster con le policy gestite v2.

Per creare policy personalizzate, ti consigliamo di iniziare con le policy gestite e di modificarle in base alle tue esigenze.

Per informazioni su come allegare le policy a un utente (principals), consulta Lavorare con le policy gestite utilizzando i criteri contenuti nella Guida per l'utente. AWS Management Console IAM

Assegnazione di tag alle risorse per l'utilizzo delle policy gestite

Una mazonEMRService Policy_v2 e A mazonEMRFull AccessPolicy _v2 dipendono dall'accesso limitato alle risorse fornite o utilizzate da Amazon. EMR L'ambito inferiore si ottiene limitando l'accesso solo a quelle risorse a cui è associato un tag utente predefinito. Quando si utilizza una di queste due policy, è necessario passare il tag utente predefinito for-use-with-amazon-emr-managed-policies = true durante il provisioning del cluster. Amazon EMR propagherà quindi automaticamente quel tag. Inoltre, è necessario aggiungere un tag utente alle risorse elencate nella sezione seguente. Se utilizzi la EMR console Amazon per avviare il cluster, consultaConsiderazioni sull'utilizzo della EMR console Amazon per avviare cluster con policy gestite v2.

Per utilizzare le politiche gestite, inserisci il tag utente for-use-with-amazon-emr-managed-policies = true quando esegui il provisioning di un cluster con il metodo CLISDK, o un altro metodo.

Quando passi il tag, Amazon lo EMR propaga alla sottorete privataENI, all'EC2istanza e ai EBS volumi che crea. Amazon EMR inoltre contrassegna automaticamente i gruppi di sicurezza che crea. Tuttavia, se desideri che Amazon EMR venga avviato con un determinato gruppo di sicurezza, devi taggarlo. Per le risorse non create da AmazonEMR, devi aggiungere tag a tali risorse. Ad esempio, devi etichettare le EC2 sottoreti Amazon, i gruppi di EC2 sicurezza (se non creati da AmazonEMR) e VPCs (se desideri che Amazon crei gruppi EMR di sicurezza). Per avviare cluster con policy gestite v2VPCs, devi etichettarli VPCs con il tag utente predefinito. Per informazioni, consultare Considerazioni sull'utilizzo della EMR console Amazon per avviare cluster con policy gestite v2.

Assegnazione di tag propagata specificata dall'utente

Amazon EMR contrassegna le risorse che crea utilizzando i EMR tag Amazon specificati durante la creazione di un cluster. Amazon EMR applica i tag alle risorse che crea durante la vita del cluster.

Amazon EMR propaga i tag utente per le seguenti risorse:

  • Sottorete privata ENI (interfacce di rete elastiche di accesso al servizio)

  • EC2Istanze

  • EBSVolumi

  • EC2Modello di avvio

Gruppi di sicurezza con tag automatici

Amazon EMR contrassegna i gruppi di EC2 sicurezza che crea con il tag richiesto per le politiche gestite v2 per Amazon EMRfor-use-with-amazon-emr-managed-policies, indipendentemente dai tag specificati nel comando create cluster. Per un gruppo di sicurezza creato prima dell'introduzione delle policy gestite v2, Amazon EMR non contrassegna automaticamente il gruppo di sicurezza. Se si desidera utilizzare policy gestite v2 con i gruppi di sicurezza predefiniti già esistenti nell'account, è necessario taggare manualmente i gruppi di sicurezza con for-use-with-amazon-emr-managed-policies = true.

Risorse cluster con tag manuali

È necessario etichettare manualmente alcune risorse del cluster in modo che sia possibile accedervi dai ruoli EMR predefiniti di Amazon.

  • Devi etichettare manualmente i gruppi EC2 di sicurezza e le EC2 sottoreti con il tag Amazon EMR managed policy. for-use-with-amazon-emr-managed-policies

  • Devi contrassegnare manualmente un tag a VPC se desideri che Amazon EMR crei gruppi di sicurezza predefiniti. EMRproverà a creare un gruppo di sicurezza con il tag specifico se il gruppo di sicurezza predefinito non esiste già.

Amazon EMR contrassegna automaticamente le seguenti risorse:

  • EMR- gruppi di EC2 sicurezza creati

È necessario aggiungere i tag manualmente alle risorse seguenti:

  • EC2Sottorete

  • EC2Gruppi di sicurezza

È necessario taggare manualmente le risorse seguenti:

  • VPC- solo quando desideri che Amazon EMR crei gruppi di sicurezza

Considerazioni sull'utilizzo della EMR console Amazon per avviare cluster con policy gestite v2

Puoi effettuare il provisioning di cluster con policy gestite v2 utilizzando la console AmazonEMR. Ecco alcune considerazioni sull'utilizzo della console per avviare i EMR cluster Amazon.

  • Non è necessario passare il tag predefinito. Amazon aggiunge EMR automaticamente il tag e lo propaga ai componenti appropriati.

  • Per i componenti che devono essere etichettati manualmente, la vecchia EMR console Amazon tenta di taggarli automaticamente se disponi delle autorizzazioni necessarie per etichettare le risorse. Se non disponi delle autorizzazioni per etichettare le risorse o se desideri utilizzare la console, chiedi al tuo amministratore di etichettare tali risorse.

  • Non è possibile avviare cluster con policy gestite v2 a meno che non siano soddisfatti tutti i prerequisiti.

  • La vecchia EMR console Amazon mostra quali risorse (VPC/Subnet) devono essere taggate.

AWS politiche gestite per Amazon EMR

Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove API operazioni per i servizi esistenti.

Per ulteriori informazioni, consulta le politiche AWS gestite nella Guida IAM per l'utente.