IAM サービスおよびリソースへの AWS Amazon EMR アクセス許可のサービスロールを設定する - Amazon EMR
Amazon のサービスロールを渡すアクセス許可のアイデンティティベースのポリシーの変更 EMRサービスロールの概要

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM サービスおよびリソースへの AWS Amazon EMR アクセス許可のサービスロールを設定する

Amazon EMRおよび Hadoop や Spark などのアプリケーションには、他の AWS リソースにアクセスし、実行時にアクションを実行するためのアクセス許可が必要です。Amazon の各クラスターには、Amazon EC2インスタンスプロファイルのサービスロールとロールEMRが必要です。詳細については、「 IAMユーザーガイド」の「 IAMロール」および「インスタンスプロファイルの使用」を参照してください。これらのロールにアタッチされている IAM ポリシーにより、クラスターはユーザーに代わって AWS の他のサービスとやり取りできます。

クラスターが Amazon で自動スケーリングを使用する場合は、追加のロールである Auto Scaling ロールが必要ですEMR。EMR ノートブックを使用する場合は、EMRノートブック AWS のサービスロールが必要です。

Amazon EMR には、各ロールのアクセス許可を決定するデフォルトのロールとデフォルトの管理ポリシーが用意されています。管理ポリシーは によって作成および管理されるため AWS、サービス要件が変更されると自動的に更新されます。IAM 「 ユーザーガイド」の「 AWS マネージドポリシー」を参照してください。

アカウントでクラスターまたはノートブックを初めて作成する場合、Amazon のロールはまだ存在EMRしていません。ロールを作成すると、IAM コンソール (https://console.aws.amazon.com/iam/) でロール、ロールにアタッチされたポリシー、およびポリシーで許可または拒否されるアクセス許可を確認できます。Amazon がEMR作成および使用するデフォルトのロールを指定したり、独自のロールを作成してクラスターを作成するときに個別に指定してアクセス許可をカスタマイズしたり、 を使用してクラスターを作成するときに使用するデフォルトのロールを指定したりできます AWS CLI。詳細については、「Amazon でIAMロールをカスタマイズする EMR」を参照してください。

Amazon のサービスロールを渡すアクセス許可のアイデンティティベースのポリシーの変更 EMR

Amazon EMRフルアクセス許可のデフォルトの管理ポリシーには、次のようなiam:PassRoleセキュリティ設定が組み込まれています。

  • iam:PassRole 特定のデフォルト Amazon EMRロールの 許可のみ。

  • iam:PassedToService elasticmapreduce.amazonaws.comや など、指定された AWS サービスでのみポリシーを使用できるようにする 条件ec2.amazonaws.com

AmazonEMRFullAccessPolicy_v2 および mazonEMRServicePolicy_v2 ポリシーJSONのバージョンは、 IAMコンソールで表示できます。v2 管理ポリシーを使用して新しいクラスターを作成することが推奨されます。

サービスロールの概要

次の表は、Amazon に関連付けられているIAMサービスロールEMRの一覧です。

関数 デフォルトロール 説明 デフォルト管理ポリシー

Amazon のサービスロール EMR (EMR ロール)

EMR_DefaultRole_V2

リソースEMRをプロビジョニングし AWS 、サービスレベルのアクションを実行するときに、Amazon がユーザーに代わって他の サービスを呼び出すことを許可します。このロールは、すべてのクラスターに必須です。

AmazonEMRServicePolicy_v2

重要

スポットインスタンスをリクエストするには、サービスリンクロールが必要です。このロールが存在しない場合、Amazon EMRサービスロールには作成するためのアクセス許可が必要です。そうしないと、アクセス許可エラーが発生します。スポットインスタンスをリクエストする場合は、このポリシーを更新して、このサービスにリンクされたロールの作成を許可するステートメントを含める必要があります。詳細については、「Amazon EC2ユーザーガイド」のAmazon のサービスロール EMR (EMR ロール)「」および「スポットインスタンスリクエストのサービスにリンクされたロール」を参照してください。 https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/spot-requests.html#service-linked-roles-spot-instance-requests

クラスターEC2インスタンスのサービスロール (EC2 インスタンスプロファイル)

EMR_EC2_DefaultRole

クラスターインスタンスで Hadoop エコシステム上で実行されるアプリケーションプロセスは、他の AWS サービスを呼び出すときにこのロールを使用します。を使用して Amazon S3 のデータにアクセスするにはEMRFS、Amazon S3 内のデータの場所に基づいて引き受けるさまざまなロールを指定できます。例えば、複数のチームが単一の Amazon S3 データ「ストレージアカウント」にアクセスできます。詳細については、「Amazon S3 へのEMRFSリクエストのIAMロールを設定する」を参照してください。このロールは、すべてのクラスターに必須です。

AmazonElasticMapReduceforEC2Role。詳細については、「クラスターEC2インスタンスのサービスロール (EC2 インスタンスプロファイル)」を参照してください。

Amazon での自動スケーリングのサービスロール EMR (Auto Scaling ロール)

EMR_AutoScaling_DefaultRole

動的なスケーリング環境用の追加のアクションを許可します。Amazon で自動スケーリングを使用するクラスターでのみ必要ですEMR。詳細については、「Amazon のインスタンスグループのカスタムポリシーで自動スケーリングを使用する EMR」を参照してください。

AmazonElasticMapReduceforAutoScalingRole。 詳細については、「」を参照してくださいAmazon での自動スケーリングのサービスロール EMR (Auto Scaling ロール)

EMR ノートブックのサービスロール

EMR_Notebooks_DefaultRole

EMR ノートブックが他の AWS リソースにアクセスしてアクションを実行するために必要なアクセス許可を提供します。EMR ノートブックが使用されている場合にのみ必要です。

AmazonElasticMapReduceEditorsRole。 詳細については、「」を参照してくださいEMR ノートブックのサービスロール

S3FullAccessPolicy もデフォルトでアタッチされます。このポリシーの内容は次のとおりです。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": "*"
        }
    ]
}

サービスにリンクされたロール

AWSServiceRoleForEMRCleanup

Amazon は、サービスにリンクされたロールEMRを自動的に作成します。Amazon のサービスEMRが Amazon EC2リソースをクリーンアップする機能を失った場合、Amazon はこのロールを使用してクリーンアップEMRできます。クラスターでスポットインスタンスを使用している場合、Amazon のサービスロール EMR (EMR ロール) にアタッチされているアクセス許可ポリシーは、サービスにリンクされたロールの作成を許可する必要があります。詳細については、「Amazon のサービスにリンクされたロールの使用 EMR」を参照してください。

AmazonEMRCleanupPolicy
トピック