AWS Glue Data Catalog への Amazon EMR アクセスのリソースベースのポリシーを使用する - Amazon EMR

AWS Glue Data Catalog への Amazon EMR アクセスのリソースベースのポリシーを使用する

AWS Glue を Amazon EMR で Hive、Spark、または Presto と共に使用する場合、AWS Glue はデータカタログのリソースへのアクセスを制御するリソースベースのポリシーをサポートします。これらのリソースには、データベース、テーブル、接続、ユーザー定義関数が含まれます。詳細については、「AWS Glue デベロッパーガイド」の「AWS Glue リソースポリシー」を参照してください。

リソースベースのポリシーを使用して、Amazon EMR 内から AWS Glue へのアクセスを制限する場合、許可ポリシーに指定するプリンシパルは、クラスターの作成時に指定された EC2 インスタンスプロファイルに関連付けられたロール ARN である必要があります。例えば、カタログにアタッチされたリソースベースのポリシーの場合、以下の例に示されている形式を使用して、クラスター EC2 インスタンスのデフォルトサービスロールのロール ARN である EMR_EC2_DefaultRolePrincipal として指定できます。

arn:aws:iam::acct-id:role/EMR_EC2_DefaultRole

acct-id は AWS Glue アカウント ID とは異なるものにすることができます。これにより、さまざまなアカウントで EMR クラスターからアクセスできます。異なるアカウントから、複数のプリンシパルを指定できます。