EMR Serverless の使用を開始するための前提条件 - Amazon EMR
AWS アカウントへのサインアップ管理アクセスを持つユーザーを作成する許可を付与するAWS CLI をセットアップする コンソールを開きます。

EMR Serverless の使用を開始するための前提条件

このセクションでは、EMR Serverless を実行するための管理上の前提条件について説明します。これには、アカウント設定とアクセス許可の管理が含まれます。

AWS アカウントへのサインアップ

AWS アカウント がない場合は、以下のステップを実行して作成します。

AWS アカウントにサインアップするには

  1. https://portal.aws.amazon.com/billing/signup を開きます。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、通話呼び出しを受け取り、電話キーパッドで検証コードを入力するように求められます。

    AWS アカウント にサインアップすると、AWS アカウントのルートユーザー が作成されます。ルートユーザーには、アカウントのすべてのAWS のサービスとリソースへのアクセス権があります。セキュリティのベストプラクティスとして、ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。

サインアップ処理が完了すると、AWS からユーザーに確認メールが送信されます。https://aws.amazon.com/アカウント] をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。

管理アクセスを持つユーザーを作成する

AWS アカウント にサインアップしたら、AWS アカウントのルートユーザー をセキュリティで保護し、AWS IAM Identity Center を有効にして、管理ユーザーを作成します。これにより、日常的なタスクにルートユーザーを使用しないようにします。

AWS アカウントのルートユーザーをセキュリティで保護する

  1. ルートユーザー] を選択し、AWS アカウント のメールアドレスを入力して、アカウント所有者として AWS Management Console にサインインします。次のページでパスワードを入力します。

    ルートユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドルートユーザーとしてサインインするを参照してください。

  2. ルートユーザーの多要素認証 (MFA) を有効にします。

    手順については、「IAM ユーザーガイド」のAWS アカウント のルートユーザーの仮想 MFA デバイスを有効にする (コンソール)を参照してください。

管理アクセスを持つユーザーを作成する

  1. IAM アイデンティティセンターを有効にします。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「AWS IAM Identity Center の有効化」を参照してください。

  2. IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。

    IAM アイデンティティセンターディレクトリ をアイデンティティソースとして使用するチュートリアルについては、「AWS IAM Identity Center ユーザーガイド」の「デフォルト IAM アイデンティティセンターディレクトリを使用したユーザーアクセスの設定」を参照してください。

管理アクセス権を持つユーザーとしてサインインする

  • IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。

    IAM Identity Center ユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドAWS アクセスポータルにサインインするを参照してください。

追加のユーザーにアクセス権を割り当てる

  1. IAM アイデンティティセンターで、最小特権のアクセス許可を適用するというベストプラクティスに従ったアクセス許可セットを作成します。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」を参照してください。

  2. グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「グループの参加」を参照してください。

許可を付与する

本番環境では、よりきめ細かなポリシーを使用することをお勧めします。そのようなポリシーの例については、「EMR Serverless のユーザーアクセスポリシーの例」を参照してください。アクセス管理の詳細については、「IAM ユーザーガイド」の「AWS リソースのアクセス管理」を参照してください。

サンドボックス環境で EMR Serverless の使用を開始する必要があるユーザーには、次のようなポリシーを使用します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EMRStudioCreate",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreateStudioPresignedUrl",
                "elasticmapreduce:DescribeStudio",
                "elasticmapreduce:CreateStudio",
                "elasticmapreduce:ListStudios"
            ],
            "Resource": "*"
        },
        {
            "Sid": "EMRServerlessFullAccess",
            "Effect": "Allow",
            "Action": [
                "emr-serverless:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEC2ENICreationWithEMRTags",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "ops.emr-serverless.amazonaws.com"
                }
            }
        },
        {    
            "Sid": "AllowEMRServerlessServiceLinkedRoleCreation",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/*"
        }
    ]
}

アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。

プログラマチックアクセス権を付与する

AWS Management Console の外部で AWS を操作するには、ユーザーはプログラムによるアクセスが必要です。プログラマチックアクセス権を付与する方法は、AWS にアクセスしているユーザーのタイプによって異なります。

ユーザーにプログラマチックアクセス権を付与するには、以下のいずれかのオプションを選択します。

プログラマチックアクセス権を必要とするユーザー 目的 方法

ワークフォースアイデンティティ

(IAM アイデンティティセンターで管理されているユーザー)

 一時的な認証情報を使用して、AWS CLI、AWS SDK、または AWS API へのプログラマチックリクエストに署名します。

使用するインターフェイス用の手引きに従ってください。
IAM 一時的な認証情報を使用して、AWS CLI、AWS SDK、または AWS API へのプログラムによるリクエストに署名します。 IAM ユーザーガイド」の「AWS リソースでの一時的な認証情報の使用」の指示に従ってください。
IAM

(非推奨)

長期的な認証情報を使用して、AWS CLI、AWS SDK、AWS API へのプログラムによるリクエストに署名します。

使用するインターフェイス用の手順に従ってください。

AWS CLI のインストールと設定

EMR Serverless API を使用する場合は、AWS Command Line Interface (AWS CLI) の最新バージョンをインストールする必要があります。EMR Studio コンソールから EMR Serverless を使用するために AWS CLI は必要ありません。コンソールから EMR Serverless の使用を開始する の手順に従うことで CLI を必要とせず使用を開始できます。

AWS CLI をセットアップする方法

  1. macOS、Linux、または Windows 用の AWS CLI の最新バージョンをインストールするには、「最新バージョンの AWS CLI のインストールまたは更新」を参照してください。

  2. AWS CLI の設定と AWS のサービスへのアクセスの安全な設定 (EMR Serverless を含む) を行うには、「aws configureを使用したクイック設定」を参照してください。

  3. 設定を確認するには、コマンドプロンプトで次の DataBrew コマンドを入力します。

    aws emr-serverless help

    AWS CLI コマンドは、パラメータまたはプロファイルで設定しない限り、設定のデフォルトの AWS リージョン を使用します。パラメータを使用して AWS リージョン を設定するために、各コマンドに --region パラメータを追加できます。

    プロファイルを使用して AWS リージョン を設定するには、まず名前付きプロファイルを ~/.aws/config ファイルまたは %UserProfile%/.aws/config ファイル (Microsoft Windows の場合) に追加します。「AWS CLI の名前付きプロファイル」のステップに従います。その後、次の例のようなコマンドを使用して、AWS リージョン と他の設定を行います。

    [profile emr-serverless]
aws_access_key_id = ACCESS-KEY-ID-OF-IAM-USER
aws_secret_access_key = SECRET-ACCESS-KEY-ID-OF-IAM-USER
region = us-east-1
output = text

コンソールを開きます。

このセクションに記載されているコンソール指向のトピックのほとんどは、Amazon EMR コンソールを起点としています。AWS アカウントにまだサインインしていない場合は、サインインしてから Amazon EMR コンソールを開き、次のセクションに進んで Amazon EMR の使用開始のための操作を続けてください。