기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
EMR Serverless에 대한 서비스 연결 역할 사용
Amazon EMR Serverless는 AWS Identity and Access Management (IAM) 서비스 연결 역할을 사용합니다. 서비스 연결 역할은 EMR Serverless 서비스에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 EMR Serverless에서 사전 정의하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할은 EMR Serverless를 더 쉽게 설정할 수 있습니다. EMR Serverless에서 서비스 연결 역할의 권한을 정의하므로 다르게 정의하지 않은 한, EMR Serverless에서만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔티티에 연결할 수 없습니다.
먼저 관련 리소스를 삭제한 후에만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 액세스 권한을 부주의로 삭제할 수 없기 때문에 EMR Serverless 리소스가 보호됩니다.
서비스 연결 역할을 지원하는 다른 서비스에 대한 자세한 내용은 AWS IAM으로 작업하는 서비스를 참조하고 서비스 연결 역할 열에서 예인 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 예 링크를 선택합니다.
EMR Serverless에 대한 서비스 연결 역할 권한
EMR Serverless는 AWSServiceRoleForAmazonEMRServerless라는 서비스 연결 역할을 사용하여 사용자를 대신하여 AWS APIs를 호출할 수 있도록 합니다.
AWSServiceRoleForAmazonEMRServerless 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
-
ops.emr-serverless.amazonaws.com
AmazonEMRServerlessServiceRolePolicy라는 이름의 역할 권한 정책은 EMR Serverless가 지정된 리소스에서 다음 작업을 완료하도록 허용합니다.
참고
관리형 정책 콘텐츠는 수시로 변경되므로 여기에 수록된 정책은 이전 버전일 수 있습니다. AWS Management Console에서 최신 AmazonEMRServerlessServiceRolePolicy
-
작업:
ec2:CreateNetworkInterface -
작업:
ec2:DeleteNetworkInterface -
작업:
ec2:DescribeNetworkInterfaces -
작업:
ec2:DescribeSecurityGroups -
작업:
ec2:DescribeSubnets -
작업:
ec2:DescribeVpcs -
작업:
ec2:DescribeDhcpOptions -
작업:
ec2:DescribeRouteTables -
작업:
cloudwatch:PutMetricData
다음은 전체 AmazonEMRServerlessServiceRolePolicy 정책입니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EC2PolicyStatement",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeRouteTables"
],
"Resource": "*"
},
{
"Sid": "CloudWatchPolicyStatement",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": [
"AWS/EMRServerless",
"AWS/Usage"
]
}
}
}
]
}EMR Serverless 위탁자가 이 역할을 수임하도록 허용하려면 다음 신뢰 정책을 역할에 연결합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"ops.emr-serverless.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 링크 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 권한을 참조하세요.
EMR Serverless에 대한 서비스 연결 역할 생성
서비스 링크 역할은 수동으로 생성할 필요가 없습니다. AWS Management Console (EMR Studio 사용), AWS CLI또는 AWS API에서 새 EMR Serverless 애플리케이션을 생성하면 EMR Serverless가 서비스 연결 역할을 생성합니다. IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 링크 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다.
IAM을 사용하여 AWSServiceRoleForEMRCleanup 서비스 연결 역할을 생성하는 방법
서비스 연결 역할을 생성해야 하는 IAM 개체의 권한 정책에 다음 명령문을 추가합니다.
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/ops.emr-serverless.amazonaws.com/AWSServiceRoleForAmazonEMRServerless*",
"Condition": {"StringLike": {"iam:AWSServiceName": "ops.emr-serverless.amazonaws.com"}}
}이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. 새 EMR Serverless 애플리케이션을 생성하면 EMR Serverless가 서비스 연결 역할을 자동으로 다시 생성합니다.
IAM 콘솔을 사용하여 EMR Serverless 사용 사례로 서비스 연결 역할을 생성할 수도 있습니다. AWS CLI 또는 AWS API에서 서비스 이름으로 ops.emr-serverless.amazonaws.com 서비스 연결 역할을 생성합니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 생성을 참조하세요. 이 서비스 연결 역할을 삭제하면 동일한 프로세스를 사용하여 역할을 다시 생성할 수 있습니다.
EMR Serverless에 대한 서비스 연결 역할 편집
다양한 엔터티가 역할을 참조할 수 있으므로 EMR Serverless는 AWSServiceRoleForAmazonEMRServerless 서비스 연결 역할을 편집할 수 없습니다. EMR Serverless 서비스 연결 역할에는 EMR Serverless에 필요한 모든 권한이 포함되어 있으므로 EMR Serverless 서비스 연결 역할이 사용하는 AWS소유 IAM 정책을 편집할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다.
IAM을 사용하여 AWSServiceRoleForEMRCleanup 서비스 연결 역할의 설명을 편집하는 방법
서비스 연결 역할의 설명을 편집해야 하는 IAM 개체의 권한 정책에 다음 명령문을 추가합니다.
{
"Effect": "Allow",
"Action": [
"iam: UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/ops.emr-serverless.amazonaws.com/AWSServiceRoleForAmazonEMRServerless*",
"Condition": {"StringLike": {"iam:AWSServiceName": "ops.emr-serverless.amazonaws.com"}}
}자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 편집을 참조하세요.
EMR Serverless에 대한 서비스 연결 역할 삭제
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 이 경우 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 그러나 서비스 연결 역할을 삭제하려면 먼저 모든 리전에서 모든 EMR Serverless 애플리케이션을 삭제해야 합니다.
참고
역할에 연결된 리소스를 삭제하려 할 때 EMR Serverless 서비스가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.
IAM을 사용하여 AWSServiceRoleForEMRCleanup 서비스 연결 역할을 삭제하는 방법
서비스 연결 역할을 삭제해야 하는 IAM 개체의 권한 정책에 다음 명령문을 추가합니다.
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/ops.emr-serverless.amazonaws.com/AWSServiceRoleForAmazonEMRServerless*",
"Condition": {"StringLike": {"iam:AWSServiceName": "ops.emr-serverless.amazonaws.com"}}
}IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면 다음을 수행하세요.
IAM 콘솔, AWS CLI또는 AWS API를 사용하여 AWSServiceRoleForAmazonEMRServerless 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서의 서비스에 연결 역할 삭제를 참조하십시오.
EMR Serverless 서비스 연결 역할에 대해 지원되는 리전
EMR Serverless는 서비스가 제공되는 모든 리전에서 서비스 연결 역할을 사용하도록 지원합니다. 자세한 내용은 AWS 리전 및 엔드포인트 단원을 참조하세요.
