As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Perfis de runtime do trabalho para o Amazon EMR Sem Servidor
Você pode especificar as permissões do perfil do IAM que a execução de trabalho do EMR Sem Servidor pode assumir ao chamar outros serviços em seu nome. Isso inclui acesso ao Amazon S3 para quaisquer fontes de dados, destinos e outros AWS recursos, como clusters do Amazon Redshift e tabelas do DynamoDB. Para saber mais sobre como criar um perfil, consulte Criação de um perfil de runtime de trabalhos.
Exemplos de políticas de runtime
Você pode anexar uma política de runtime, como a mostrada a seguir, a um perfil de runtime. A seguinte política de runtime de trabalhos permite:
-
Acesso de leitura aos buckets do Amazon S3 com exemplos do EMR.
-
Acesso total aos buckets do S3.
-
Crie e leia o acesso ao AWS Glue Data Catalog.
Para adicionar acesso a outros AWS recursos, como o DynamoDB, você precisará incluir permissões para eles na política ao criar a função de tempo de execução.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadAccessForEMRSamples", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::*.elasticmapreduce", "arn:aws:s3:::*.elasticmapreduce/*" ] }, { "Sid": "FullAccessToS3Bucket", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ] }, { "Sid": "GlueCreateAndReadDataCatalog", "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:CreateDatabase", "glue:GetDataBases", "glue:CreateTable", "glue:GetTable", "glue:UpdateTable", "glue:DeleteTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:CreatePartition", "glue:BatchCreatePartition", "glue:GetUserDefinedFunctions" ], "Resource": ["*"] } ] }
Transmissão de privilégios de perfil
Você pode anexar políticas de permissões do IAM ao perfil de um usuário para permitir que ele passe apenas perfis aprovados. Isso permite que os administradores controlem quais usuários podem transmitir perfis específicos de runtime de trabalho para trabalhos do EMR Sem Servidor. Para saber mais sobre como definir permissões, consulte Conceder permissões a um usuário para passar uma função para um AWS serviço.
Confira a seguir um exemplo de política que permite transmitir um perfil de runtime de trabalhos para a entidade principal de serviço do EMR Sem Servidor.
{ "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::1234567890:role/JobRuntimeRoleForEMRServerless", "Condition": { "StringLike": { "iam:PassedToService": "emr-serverless.amazonaws.com" } } }
Políticas de permissão gerenciadas associadas às funções de tempo de execução
Quando você envia execuções de trabalho para o EMR serverless por meio do console do EMR Studio, há uma etapa em que você escolhe uma função Runtime para associar ao seu aplicativo. Há políticas gerenciadas subjacentes associadas a cada seleção no console que é importante conhecer. As três seleções são as seguintes:
Todos os buckets — Quando você escolhe essa opção, ela especifica a política FullAccess AWS gerenciada do AmazonS3, que fornece acesso total a todos os buckets.
Buckets específicos — Isso especifica o identificador do nome de recurso (ARN) da Amazon de cada bucket que você escolher. Não há uma política gerenciada subjacente incluída.
Nenhuma — Nenhuma permissão de política gerenciada está incluída.
Recomendamos adicionar compartimentos específicos. Se você escolher todos os compartimentos, lembre-se de que ele define o acesso total a todos os compartimentos.
