Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di ruoli collegati ai servizi con Amazon EMR per la registrazione write-ahead
Amazon EMR utilizza AWS Identity and Access Management (IAM) ruoli collegati ai servizi. Un ruolo collegato al servizio è un tipo unico di IAM ruolo collegato direttamente ad Amazon. EMR I ruoli collegati ai servizi sono predefiniti da Amazon EMR e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto.
I ruoli collegati ai servizi funzionano insieme al ruolo di EMR servizio Amazon e al profilo di EC2 istanza Amazon per Amazon. EMR Per ulteriori informazioni sul ruolo del servizio e il profilo dell'istanza, consulta Configura i ruoli di IAM servizio per EMR le autorizzazioni Amazon su AWS servizi e risorse.
Un ruolo collegato al servizio semplifica la configurazione di Amazon EMR perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Amazon EMR definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo Amazon EMR può assumerne i ruoli. Le autorizzazioni definite includono la politica di fiducia e la politica di autorizzazione e tale politica di autorizzazione non può essere associata a nessun'altra entità. IAM
Puoi eliminare questo ruolo collegato al servizio per Amazon EMR solo dopo aver eliminato le relative risorse e aver terminato tutti i EMR cluster nell'account. In questo modo proteggi le tue EMR risorse Amazon in modo da non poter rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
Autorizzazioni di ruolo collegate al servizio per la registrazione write-ahead () WAL
Amazon EMR utilizza il ruolo collegato al servizio AWSServiceRoleForEMRWALper recuperare lo stato di un cluster.
Il ruolo AWSServiceRoleForEMRWAL collegato al servizio prevede che i seguenti servizi assumano il ruolo:
-
emrwal.amazonaws.com
La politica di EMRDescribeClusterPolicyForEMRWALautorizzazione per il ruolo collegato al servizio consente ad Amazon di EMR completare le seguenti azioni sulle risorse specificate:
-
Operazione:
DescribeCluster
su*
Devi configurare le autorizzazioni per consentire a un'IAMentità (in questo caso, Amazon EMRWAL) di creare, modificare o eliminare un ruolo collegato al servizio. Aggiungi le seguenti istruzioni, se necessario, alla politica di autorizzazione per il tuo profilo di istanza:
Per consentire a un'IAMentità di creare il ruolo collegato al AWSServiceRoleForEMRWAL servizio
Aggiungi la seguente dichiarazione alla politica delle autorizzazioni per l'IAMentità che deve creare il ruolo collegato al servizio:
{ "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/emrwal.amazonaws.com*/AWSServiceRoleForEMRWAL*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "emrwal.amazonaws.com", "elasticmapreduce.amazonaws.com.rproxy.goskope.com.cn" ] } } }
Per consentire a un'IAMentità di modificare la descrizione del ruolo collegato al servizio AWSServiceRoleForEMRWAL
Aggiungi la seguente dichiarazione alla politica delle autorizzazioni per l'IAMentità che deve modificare la descrizione di un ruolo collegato al servizio:
{ "Effect": "Allow", "Action": [ "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-service-role/emrwal.amazonaws.com*/AWSServiceRoleForEMRWAL*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "emrwal.amazonaws.com", "elasticmapreduce.amazonaws.com.rproxy.goskope.com.cn" ] } } }
Per consentire a un'IAMentità di eliminare il ruolo collegato al servizio AWSServiceRoleForEMRWAL
Aggiungi la seguente dichiarazione alla politica delle autorizzazioni per l'IAMentità che deve eliminare un ruolo collegato al servizio:
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/elasticmapreduce.amazonaws.com*/AWSServiceRoleForEMRCleanup*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "emrwal.amazonaws.com", "elasticmapreduce.amazonaws.com.rproxy.goskope.com.cn" ] } } }
Creazione di un ruolo collegato ai servizi per Amazon EMR
Non è necessario creare manualmente il AWSServiceRoleForEMRWAL ruolo. Amazon EMR crea automaticamente questo ruolo collegato ai servizi quando crei WAL uno spazio di lavoro con EMRWAL CLI o da AWS CloudFormation, oppure HBase creerà il ruolo collegato al servizio quando configuri uno spazio di lavoro per Amazon EMR WAL e il ruolo collegato al servizio non esiste ancora. Devi disporre delle autorizzazioni per creare un ruolo collegato al servizio. Per esempio le dichiarazioni che aggiungono questa funzionalità alla politica delle autorizzazioni di un'IAMentità (come un utente, un gruppo o un ruolo), vedi la sezione precedente,. Autorizzazioni di ruolo collegate al servizio per la registrazione write-ahead () WAL
Modifica di un ruolo collegato ai servizi per Amazon EMR
Amazon EMR non ti consente di modificare il ruolo AWSServiceRoleForEMRWAL collegato al servizio. Dopo aver creato un ruolo collegato al servizio, non puoi modificare il nome del ruolo collegato al servizio perché varie entità potrebbero fare riferimento al ruolo collegato al servizio. Tuttavia, è possibile modificare la descrizione del ruolo collegato al servizio utilizzando. IAM
Modifica della descrizione di un ruolo collegato al servizio (console) IAM
È possibile utilizzare la IAM console per modificare la descrizione di un ruolo collegato al servizio.
Per modificare la descrizione di un ruolo collegato ai servizi (console)
-
Nel riquadro di navigazione della IAM console, scegli Ruoli.
-
Scegliere il nome del ruolo da modificare.
-
Nella parte destra di Role description (Descrizione ruolo), scegli Edit (Modifica).
-
Digita una nuova descrizione nella casella e scegli Save changes (Salva modifiche).
Modifica della descrizione di un ruolo collegato al servizio () IAM CLI
È possibile utilizzare IAM i comandi di AWS Command Line Interface per modificare la descrizione di un ruolo collegato al servizio.
Per modificare la descrizione di un ruolo collegato al servizio () CLI
-
(Facoltativo) Per visualizzare la descrizione attuale di un ruolo, utilizza i seguenti comandi:
$
aws iam get-role --role-name
role-name
Usa il nome del ruolo, non ilARN, per fare riferimento ai ruoli con i CLI comandi. Ad esempio, se un ruolo presenta le seguenti caratteristicheARN:
arn:aws:iam::123456789012:role/myrole
, si fa riferimento al ruolo comemyrole
. -
Per aggiornare la descrizione di un ruolo collegato ai servizi, utilizza uno dei seguenti comandi:
$
aws iam update-role-description --role-name
role-name
--descriptiondescription
Modifica della descrizione di un ruolo collegato al servizio () IAM API
È possibile utilizzare il IAM API per modificare la descrizione di un ruolo collegato al servizio.
Per modificare la descrizione di un ruolo collegato al servizio () API
-
(Facoltativo) Per visualizzare la descrizione attuale di un ruolo, utilizza il seguente comando:
IAM API: GetRole
-
Per aggiornare la descrizione di un ruolo, utilizza il seguente comando:
IAM API: UpdateRoleDescription
Eliminazione di un ruolo collegato al servizio per Amazon EMR
Se non hai più bisogno di utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare quel ruolo collegato al servizio. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare.
Nota
L'operazione di registrazione write-ahead non viene influenzata dall'eliminazione del AWSServiceRoleForEMRWAL ruolo, ma Amazon EMR non eliminerà automaticamente i log che ha creato una volta terminato il cluster. EMR Pertanto, dovrai eliminare manualmente i EMR WAL log di Amazon se elimini il ruolo collegato al servizio.
Pulizia di un ruolo collegato ai servizi
Prima di poter eliminare un ruolo collegato IAM al servizio, devi prima confermare che il ruolo non abbia sessioni attive e rimuovere tutte le risorse utilizzate dal ruolo.
Per verificare se il ruolo collegato al servizio ha una sessione attiva nella console IAM
Apri la IAM console all'indirizzo. https://console.aws.amazon.com/iam/
-
Nel riquadro di navigazione, seleziona Ruoli. Seleziona il nome (non la casella di controllo) del AWSServiceRoleForEMRWAL ruolo.
-
Nella pagina Summary (Riepilogo) per il ruolo selezionato, scegli Access Advisor (Consulente accessi).
-
Nella scheda Access Advisor (Consulente accessi) esaminare l'attività recente per il ruolo collegato ai servizi.
Nota
Se non sei sicuro che Amazon EMR stia utilizzando il AWSServiceRoleForEMRWAL ruolo, puoi provare a eliminare il ruolo collegato al servizio. Se il servizio utilizza il ruolo, l'eliminazione non riesce e puoi visualizzare le regioni in cui viene utilizzato il ruolo collegato al servizio. Se viene utilizzato il ruolo collegato al servizio, è necessario attendere il termine della sessione prima di poter eliminare il ruolo collegato al servizio. Non puoi revocare la sessione per un ruolo collegato al servizio.
Per rimuovere EMR le risorse Amazon utilizzate da AWSServiceRoleForEMRWAL
-
Chiudi tutti i cluster del tuo account. Per ulteriori informazioni, consulta Termina un EMR cluster Amazon nello stato di avvio, in esecuzione o in attesa.
Eliminazione di un ruolo collegato al servizio (console) IAM
È possibile utilizzare la IAM console per eliminare un ruolo collegato al servizio.
Per eliminare un ruolo collegato ai servizi (console)
Apri la IAM console all'indirizzo. https://console.aws.amazon.com/iam/
-
Nel riquadro di navigazione, seleziona Ruoli. Seleziona la casella di controllo accanto a AWSServiceRoleForEMRWAL, non il nome o la riga stessa.
-
In operazioni Role (Ruolo) nella parte superiore della pagina, seleziona Delete (Elimina) ruolo.
-
Nella finestra di dialogo di conferma, esamina i dati dell'ultimo accesso al servizio, che mostrano l'ultima volta che ciascuno dei ruoli selezionati ha effettuato l'ultimo accesso a un AWS servizio. In questo modo potrai verificare se il ruolo è attualmente attivo. Per procedere, seleziona Yes, Delete (Sì, elimina).
-
Guarda le notifiche della IAM console per monitorare lo stato di avanzamento dell'eliminazione del ruolo collegato al servizio. Poiché l'eliminazione del ruolo IAM collegato al servizio è asincrona, dopo aver inviato il ruolo per l'eliminazione, l'operazione di eliminazione può avere esito positivo o negativo. Se il task non viene eseguito correttamente, puoi scegliere View details (Visualizza dettagli) o View Resources (Visualizza risorse) dalle notifiche per capire perché l'eliminazione non è stata effettuata. Se l'eliminazione non viene eseguita perché vi sono risorse nel servizio che sono usate dal ruolo, il motivo dell'errore include un elenco di risorse.
Eliminazione di un ruolo collegato al servizio () IAM CLI
È possibile utilizzare IAM i comandi di AWS Command Line Interface per eliminare un ruolo collegato al servizio. Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata.
Per eliminare un ruolo collegato al servizio () CLI
-
Per controllare lo stato dell'attività di eliminazione, devi acquisire il
deletion-task-id
dalla risposta. Per inviare una richiesta di eliminazione per un ruolo collegato ai servizi, digita il seguente comando:$
aws iam delete-service-linked-role --role-name AWSServiceRoleForEMRWAL
-
Digita il seguente comando per verificare lo stato del task di eliminazione:
$
aws iam get-service-linked-role-deletion-status --deletion-task-id
deletion-task-id
Lo stato di un task di eliminazione può essere
NOT_STARTED
,IN_PROGRESS
,SUCCEEDED
oFAILED
. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema.
Eliminazione di un ruolo collegato al servizio () IAM API
È possibile utilizzare il IAM API per eliminare un ruolo collegato al servizio. Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata.
Per eliminare un ruolo collegato al servizio () API
-
Per inviare una richiesta di eliminazione per un ruolo collegato al servizio, chiama. DeleteServiceLinkedRole Nella richiesta, specifica il nome del AWSServiceRoleForEMRWAL ruolo.
Per controllare lo stato dell'attività di eliminazione, devi acquisire il
DeletionTaskId
dalla risposta. -
Per verificare lo stato dell'eliminazione, chiama GetServiceLinkedRoleDeletionStatus. Nella richiesta, specificare il
DeletionTaskId
.Lo stato di un task di eliminazione può essere
NOT_STARTED
,IN_PROGRESS
,SUCCEEDED
oFAILED
. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema.
Regioni supportate per AWSServiceRoleForEMRWAL
Amazon EMR supporta l'utilizzo del ruolo AWSServiceRoleForEMRWAL collegato ai servizi nelle seguenti regioni.
Nome Regione | Identità della regione | Support in Amazon EMR |
---|---|---|
US East (N. Virginia) | us-east-1 | Sì |
Stati Uniti orientali (Ohio) | us-east-2 | Sì |
US West (N. California) | us-west-1 | Sì |
US West (Oregon) | us-west-2 | Sì |
Asia Pacific (Mumbai) | ap-south-1 | Sì |
Asia Pacifico (Singapore) | ap-southeast-1 | Sì |
Asia Pacifico (Sydney) | ap-southeast-2 | Sì |
Asia Pacifico (Tokyo) | ap-northeast-1 | Sì |
Europe (Frankfurt) | eu-central-1 | Sì |
Europa (Irlanda) | eu-west-1 | Sì |