EMR での Amazon での Amazon S3 Access Grants の使用 EKS - Amazon EMR
概要クラスターを起動する考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

EMR での Amazon での Amazon S3 Access Grants の使用 EKS

EMR での Amazon の S3 Access Grants の概要 EKS

Amazon EMRリリース 6.15.0 以降では、Amazon S3 Access Grants は、 EMRの Amazon S3 データへのアクセスを強化するために使用できるスケーラブルなアクセスコントロールソリューションを提供しますEKS。S3 データのアクセス許可設定が複雑または大規模な場合は、Access Grants を使用して、ユーザー、ロール、アプリケーションの S3 データ権限をスケーリングできます。

S3 Access Grants を使用して、ランタイムロールまたはEKSクラスターEMR上の Amazon S3 データへのアクセスを強化します。 IAM

詳細については、「Amazon 管理ガイド」の「Amazon の S3 Access Grants EMR によるアクセスの管理」および「Amazon Simple Storage Service ユーザーガイド」のS3 Access Grants によるアクセスの管理」を参照してください。 EMR

このページでは、S3 Access Grants 統合EKSを使用して EMRの Amazon で Spark ジョブを実行するための要件について説明します。Amazon EMR on ではEKS、S3 Access Grants はジョブの実行ロールに追加のIAMポリシーステートメントと、 StartJobRun に追加のオーバーライド設定を必要としますAPI。他の Amazon EMRデプロイで S3 Access Grants をセットアップする手順については、次のドキュメントを参照してください。

データ管理のための S3 Access Grants を使用してEKSクラスターEMRで Amazon を起動する

で Amazon EMRの S3 Access Grants を有効にEKSし、Spark ジョブを起動できます。アプリケーションが S3 データをリクエストすると、Amazon S3 は特定のバケット、プレフィックス、またはオブジェクトを対象とする一時的な認証情報を提供します。

  1. EMR EKS クラスターで Amazon のジョブ実行ロールを設定します。Spark ジョブの実行に必要なIAMアクセス許可s3:GetDataAccess、および を含めますs3:GetAccessGrantsInstanceForPrefix

    {
    "Effect": "Allow",
    "Action": [
    "s3:GetDataAccess",
    "s3:GetAccessGrantsInstanceForPrefix"
    ],
    "Resource": [     //LIST ALL INSTANCE ARNS THAT THE ROLE IS ALLOWED TO QUERY
         "arn:aws_partition:s3:Region:account-id1:access-grants/default",
         "arn:aws_partition:s3:Region:account-id2:access-grants/default"
    ]
}
    注記

    S3 に直接アクセスするための追加のアクセス許可を持つジョブ実行用のIAMロールを指定すると、S3 Access Grants で定義したアクセス許可に関係なく、ユーザーはデータにアクセスできる場合があります。

  2. 次の例に示すように、Amazon EMRリリースラベルが 6.15 以上、emrfs-site分類が の Amazon EMR on EKSクラスターにジョブを送信します。red text の値を使用シナリオに適した値に置き換えます。

    {
  "name": "myjob", 
  "virtualClusterId": "123456",  
  "executionRoleArn": "iam_role_name_for_job_execution", 
  "releaseLabel": "emr-7.3.0-latest", 
  "jobDriver": {
    "sparkSubmitJobDriver": {
      "entryPoint": "entryPoint_location",
      "entryPointArguments": ["argument1", "argument2"],  
       "sparkSubmitParameters": "--class main_class"
    }
  }, 
  "configurationOverrides": {
    "applicationConfiguration": [
      {
        "classification": "emrfs-site", 
        "properties": {
          "fs.s3.s3AccessGrants.enabled": "true",
          "fs.s3.s3AccessGrants.fallbackToIAM": "false"
         }
      }
    ], 
  }
}

EMR での Amazon での S3 Access Grants に関する考慮事項 EKS

EMR で Amazon S3 Access Grants を Amazon と使用する場合の重要なサポート、互換性、動作情報についてはEKS、「Amazon EMR管理ガイド」の「Amazon での S3 Access Grants に関する考慮事項EMR」を参照してください。