Obiettivo sicuro: PassRole Assegnazione di tag alle risorse per l'utilizzo delle policy gestite Avvio del cluster nella console con policy v2 AWS politiche gestite

Policy gestite da Amazon EMR

Il modo più semplice di concedere accesso completo o in sola lettura alle operazioni di Amazon EMR necessarie è utilizzare le policy gestite da IAM per Amazon EMR. Le policy gestite offrono il vantaggio di essere aggiornate automaticamente nel momento in cui i requisiti di autorizzazione cambiano. Se utilizzi policy inline, è possibile che si verifichino degli errori di autorizzazione in caso di modifiche al servizio.

Amazon EMR renderà obsolete le policy gestite esistenti (policy v1), a favore di nuove policy gestite (policy v2). Le nuove politiche gestite sono state ridotte in modo da allinearle alle migliori pratiche. AWS Dopo che le policy gestite v1 renderà obsolete, non sarà possibile allegare queste policy a nuovi ruoli o utenti IAM. I ruoli e gli utenti esistenti che utilizzano policy obsolete possono continuare a utilizzarli. Le policy gestite v2 limitano l'accesso utilizzando i tag. Consentono solo operazioni Amazon EMR specifiche e richiedono risorse cluster contrassegnate con una chiave specifica per EMR. Si consiglia di esaminare attentamente la documentazione prima di utilizzare le nuove policy v2.

Le policy v1 verranno contrassegnate come obsolete con un'icona di avviso accanto a esse nell'elenco Policies (Policy) della console IAM. Le policy obsolete avranno le seguenti caratteristiche:

Continuano a funzionare per tutti gli utenti, gruppi e ruoli attualmente collegati. Nessuna interruzione.
Non possono essere collegate a nuovi utenti, gruppi o ruoli. Se una delle policy viene scollegata da un'entità corrente, non è possibile collegarla nuovamente.
Dopo aver scollegato una policy v1 da tutte le entità correnti, la policy non sarà più visibile e non potrà essere utilizzata.

Nella tabella seguente sono riepilogate le modifiche tra le policy correnti (v1) e le policy v2.

Modifiche alle policy gestite da Amazon EMR
Tipo di policy	Nomi delle policy	Scopo della policy	Modifiche alla policy v2
Ruolo di servizio EMR predefinito e policy gestita collegata	Nome del ruolo: EMR_ DefaultRole Criterio V1 (da rendere obsoleto): (ruolo del servizio AmazonElasticMapReduceRoleEMR) Nome della policy v2 (con ambito): AmazonEMRServicePolicy_v2	Consente ad Amazon EMR di chiamare altri AWS servizi per tuo conto durante il provisioning di risorse e l'esecuzione di azioni a livello di servizio. Questo ruolo è obbligatorio per tutti i cluster.	La policy aggiunge la nuova autorizzazione. `"ec2:DescribeInstanceTypeOfferings"` Questa operazione API restituisce un elenco di tipi di istanze supportati da un elenco di determinate zone di disponibilità.
Policy gestita da IAM per l'accesso completo ad Amazon EMR per utente, ruolo o gruppo collegato	Nome della policy V2 (con ambito): AmazonEMRServicePolicy_v2	Consente agli utenti autorizzazioni complete per le operazioni EMR. Include iam: PassRole autorizzazioni per le risorse.	La policy aggiunge il prerequisito secondo cui gli utenti devono aggiungere tag utente alle risorse prima di poter utilizzare questa policy. Per informazioni, consulta Assegnazione di tag alle risorse per l'utilizzo delle policy gestite. iam: PassRole l'azione richiede iam: PassedToService condizione impostata sul servizio specificato. L'accesso ad Amazon EC2, Amazon S3 e ad altri servizi non è consentito per impostazione predefinita. Consulta Policy IAM gestita per l'accesso completo (policy predefinita gestita v2).
Policy IAM gestita per un accesso di sola lettura parte di utente, ruolo o gruppo collegato	Policy V1 (da essere resa obsoleta): AmazonElasticMapReduceReadOnlyAccess Nome della policy V2 (con ambito): AmazonEMRReadOnlyAccessPolicy_v2	Consente agli utenti autorizzazioni di sola lettura per le operazioni di Amazon EMR.	Le autorizzazioni si riferiscono esclusivamente alle operazioni elasticmapreduce di sola lettura specificate. Per impostazione predefinita, l'accesso ad Amazon S3 non è consentito. Consulta Policy IAM gestita per l'accesso di sola lettura (policy predefinita gestita v2).
Ruolo di servizio EMR predefinito e policy gestita collegata	Nome del ruolo: EMR_ DefaultRole Criterio V1 (da rendere obsoleto): (ruolo del servizio AmazonElasticMapReduceRoleEMR) Nome della policy v2 (con ambito): AmazonEMRServicePolicy_v2	Consente ad Amazon EMR di chiamare altri AWS servizi per tuo conto durante il provisioning di risorse e l'esecuzione di azioni a livello di servizio. Questo ruolo è obbligatorio per tutti i cluster.	Il ruolo di servizio v2 e la policy predefinita v2 sostituiscono il ruolo e la policy obsoleti. La policy aggiunge il prerequisito secondo cui gli utenti devono aggiungere tag utente alle risorse prima di poter utilizzare questa policy. Per informazioni, consulta Assegnazione di tag alle risorse per l'utilizzo delle policy gestite. Per informazioni, consulta Ruolo di servizio per Amazon EMR (ruolo EMR).
Ruolo di servizio per le istanze del cluster (profilo dell' EC2 istanza) EC2	Nome del ruolo: EC2EMR_ _ DefaultRole Nome della politica obsoleto: Role AmazonElasticMapReducefor EC2	Consente alle applicazioni in esecuzione su un cluster EMR di accedere ad altre risorse AWS , ad esempio Amazon S3. Ad esempio, se esegui i processi Apache Spark che elaborano i dati da Amazon S3, la policy deve consentire l'accesso a tali risorse.	Sia il ruolo predefinito che la policy predefinita diventeranno presto obsoleti. Non esiste un ruolo o una politica gestiti AWS predefiniti sostitutivi. È necessario fornire una policy basata su risorse o su identità. Ciò significa che, per impostazione predefinita, le applicazioni in esecuzione su un cluster EMR non hanno accesso ad Amazon S3 o ad altre risorse a meno che non vengano aggiunte manualmente alla policy. Per informazioni, consulta Ruolo predefinito e policy gestita.
Altre politiche relative EC2 ai ruoli di servizio	Nomi delle politiche attuali: AmazonElasticMapReduceforAutoScalingRole, AmazonElasticMapReduceEditorsRole, Amazon EMRCleanup Policy	Fornisce le autorizzazioni necessarie ad Amazon EMR per accedere ad AWS altre risorse ed eseguire azioni se si utilizza la scalabilità automatica, i notebook o per ripulire le risorse. EC2	Nessuna modifica per v2.

Proteggere l'obiettivo: PassRole

Le policy gestite predefinite con autorizzazioni complete di Amazon EMR incorporano configurazioni di sicurezza iam:PassRole, tra cui:

Autorizzazioni iam:PassRole solo per specifici ruoli Amazon EMR predefiniti.
iam:PassedToServicecondizioni che consentono di utilizzare la politica solo con AWS servizi specifici, come elasticmapreduce.amazonaws.com eec2.amazonaws.com.

Puoi visualizzare la versione JSON delle policy Amazon _v2 EMRFullAccessPolicye Amazon EMRService Policy_v2 nella console IAM. Ti consigliamo di creare i nuovi cluster con le policy gestite v2.

Per creare policy personalizzate, ti consigliamo di iniziare con le policy gestite e di modificarle in base alle tue esigenze.

Per informazioni su come collegare policy a utenti (entità principali), consulta Utilizzo di policy gestite mediante la AWS Management Console nella Guida per l'utente IAM.

Assegnazione di tag alle risorse per l'utilizzo delle policy gestite

Amazon EMRService Policy_v2 e EMRFullAccessPolicyAmazon _v2 dipendono dall'accesso limitato alle risorse fornite o utilizzate da Amazon EMR. L'ambito inferiore si ottiene limitando l'accesso solo a quelle risorse a cui è associato un tag utente predefinito. Quando si utilizza una di queste due policy, è necessario passare il tag utente predefinito for-use-with-amazon-emr-managed-policies = true durante il provisioning del cluster. Amazon EMR propaga automaticamente tale tag. Inoltre, è necessario aggiungere un tag utente alle risorse elencate nella sezione seguente. Se utilizzi la console Amazon EMR per avviare il cluster, consulta la sezione Considerazioni sull'utilizzo della console Amazon EMR per avviare cluster con policy gestite v2.

Per utilizzare le policy gestite, passa il tag utente for-use-with-amazon-emr-managed-policies = true durante il provisioning di un cluster con la CLI, l'SDK o un altro metodo.

Quando passi il tag, Amazon EMR lo propaga alla sottorete privata ENI, all' EC2istanza e ai volumi EBS che crea. Amazon EMR assegna automaticamente tag anche ai gruppi di sicurezza creati. Tuttavia, se desideri che Amazon EMR venga avviato con un determinato gruppo di sicurezza, devi taggarlo. Per le risorse che non sono state create da Amazon EMR, è necessario aggiungere i tag a tali risorse. Ad esempio, devi etichettare le EC2 sottoreti Amazon, i gruppi EC2 di sicurezza (se non creati da Amazon EMR) e VPCs (se desideri che Amazon EMR crei gruppi di sicurezza). Per avviare cluster con policy gestite v2 VPCs, devi etichettarli VPCs con il tag utente predefinito. Per informazioni, consultare Considerazioni sull'utilizzo della console Amazon EMR per avviare cluster con policy gestite v2.

Assegnazione di tag propagata specificata dall'utente

Amazon EMR contrassegna le risorse create utilizzando i tag Amazon EMR specificati durante la creazione di un cluster. Amazon EMR applica tag alle risorse create durante il ciclo di vita del cluster.

Amazon EMR propaga i tag utente per le seguenti risorse:

ENI della sottorete privata (interfacce di rete elastiche di accesso ai servizi)
EC2 Istanze
Volumi EBS
EC2 Modello di avvio

Gruppi di sicurezza con tag automatici

Amazon EMR contrassegna i gruppi di EC2 sicurezza che crea con il tag richiesto per le politiche gestite v2 per Amazon EMRfor-use-with-amazon-emr-managed-policies, indipendentemente dai tag specificati nel comando create cluster. Per un gruppo di sicurezza creato prima dell'introduzione delle policy gestite v2, Amazon EMR non tagga automaticamente il gruppo di sicurezza. Se si desidera utilizzare policy gestite v2 con i gruppi di sicurezza predefiniti già esistenti nell'account, è necessario taggare manualmente i gruppi di sicurezza con for-use-with-amazon-emr-managed-policies = true.

Risorse cluster con tag manuali

Occorre taggare manualmente alcune risorse del cluster in modo che possano essere accessibili dai ruoli predefiniti di Amazon EMR.

È necessario etichettare manualmente i gruppi EC2 di sicurezza e le EC2 sottoreti con il tag di policy gestita di Amazon EMR. for-use-with-amazon-emr-managed-policies
Occorre taggare manualmente un VPC se vuoi che Amazon EMR crei gruppi di sicurezza predefiniti. EMR tenterà di creare un gruppo di sicurezza con il tag specifico se il gruppo di sicurezza predefinito non esiste già.

Amazon EMR tagga automaticamente le seguenti risorse:

Gruppi di sicurezza creati da EMR EC2

È necessario aggiungere i tag manualmente alle risorse seguenti:

EC2 Sottorete
EC2 Gruppi di sicurezza

È necessario taggare manualmente le risorse seguenti:

VPC: solo quando si desidera che Amazon EMR crei gruppi di sicurezza

Considerazioni sull'utilizzo della console Amazon EMR per avviare cluster con policy gestite v2

Puoi eseguire il provisioning di cluster con policy gestite v2 utilizzando la console Amazon EMR. Di seguito sono riportate alcune considerazioni quando utilizzi la console per avviare cluster Amazon EMR.

Non è necessario passare il tag predefinito. Amazon EMR aggiunge automaticamente il tag e lo propaga ai componenti appropriati.
Per i componenti che devono essere taggati manualmente, la vecchia console Amazon EMR tenta di applicare automaticamente i tag se disponi delle autorizzazioni necessarie per taggare le risorse. Se non disponi delle autorizzazioni per etichettare le risorse o se desideri utilizzare la console, chiedi all'amministratore di taggare tali risorse.
Non è possibile avviare cluster con policy gestite v2 a meno che non siano soddisfatti tutti i prerequisiti.
La vecchia console Amazon EMR mostra quali risorse (VPC/sottorete) devono essere taggate.

AWS politiche gestite per Amazon EMR

Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.

Per ulteriori informazioni, consulta Policy gestite da AWSnella Guida per l'utente di IAM.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Consentire agli utenti di visualizzare le loro autorizzazioni

Accesso completo (ambito v2)