As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Exemplos de políticas de acesso de usuários para EMR Serverless
Você pode configurar políticas refinadas para seus usuários, dependendo das ações que você deseja que cada usuário execute ao interagir com aplicativos sem servidor. EMR As políticas a seguir são exemplos que podem ajudar na configuração das permissões certas para os usuários. Esta seção se concentra somente nas EMR políticas sem servidor. Para exemplos de políticas de usuário do EMR Studio, consulte Configurar permissões de usuário do EMR Studio. Para obter informações sobre como anexar políticas aos IAM usuários (diretores), consulte Gerenciamento de IAM políticas no Guia do IAM usuário.
Política de usuários avançados
Para conceder todas as ações necessárias para o EMR Serverless, crie e anexe uma AmazonEMRServerlessFullAccess política ao IAM usuário, função ou grupo necessário.
Veja a seguir um exemplo de política que permite que usuários avançados criem e modifiquem aplicativos EMR sem servidor, além de realizar outras ações, como enviar e depurar trabalhos. Ele revela todas as ações que o EMR Serverless exige para outros serviços.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EMRServerlessActions", "Effect": "Allow", "Action": [ "emr-serverless:CreateApplication", "emr-serverless:UpdateApplication", "emr-serverless:DeleteApplication", "emr-serverless:ListApplications", "emr-serverless:GetApplication", "emr-serverless:StartApplication", "emr-serverless:StopApplication", "emr-serverless:StartJobRun", "emr-serverless:CancelJobRun", "emr-serverless:ListJobRuns", "emr-serverless:GetJobRun" ], "Resource": "*" } ] }
Quando você ativa a conectividade de rede com o seuVPC, os aplicativos EMR sem servidor criam interfaces de rede EC2 elástica da Amazon (ENIs) para se comunicar com VPC os recursos. A política a seguir garante que qualquer novo EC2 ENIs seja criado somente no contexto de aplicativos EMR sem servidor.
nota
É altamente recomendável definir essa política para garantir que os usuários não possam criar EC2ENIs, exceto no contexto da inicialização de aplicativos EMR sem servidor.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowEC2ENICreationWithEMRTags", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "ops.emr-serverless.amazonaws.com" } } } }
Se quiser restringir o acesso EMR sem servidor a determinadas sub-redes, você pode marcar cada sub-rede com uma condição de tag. Essa IAM política garante que os aplicativos EMR sem servidor só possam ser criados EC2 ENIs dentro de sub-redes permitidas.
{ "Sid": "AllowEC2ENICreationInSubnetAndSecurityGroupWithEMRTags", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/KEY": "VALUE" } } }
Importante
Se você for um administrador ou usuário avançado criando seu primeiro aplicativo, deverá configurar suas políticas de permissão para permitir a criação de uma função vinculada a serviços EMR sem servidor. Para saber mais, consulte Uso de perfis vinculados ao serviço para o EMR Sem Servidor.
A IAM política a seguir permite que você crie uma função vinculada ao serviço EMR sem servidor para sua conta.
{ "Sid":"AllowEMRServerlessServiceLinkedRoleCreation", "Effect":"Allow", "Action":"iam:CreateServiceLinkedRole", "Resource":"arn:aws:iam::account-id:role/aws-service-role/ops.emr-serverless.amazonaws.com/AWSServiceRoleForAmazonEMRServerless" }
Política de engenheiro de dados
Veja a seguir um exemplo de política que permite aos usuários permissões somente de leitura em aplicativos EMR sem servidor, bem como a capacidade de enviar e depurar trabalhos. Lembre-se de que, como essa política não nega explicitamente as ações, uma declaração de política diferente ainda pode ser usada para conceder acesso a ações específicas.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EMRServerlessActions", "Effect": "Allow", "Action": [ "emr-serverless:ListApplications", "emr-serverless:GetApplication", "emr-serverless:StartApplication", "emr-serverless:StartJobRun", "emr-serverless:CancelJobRun", "emr-serverless:ListJobRuns", "emr-serverless:GetJobRun" ], "Resource": "*" } ] }
Uso de tags para controle de acesso com
Você pode usar condições de tag para controle de acesso refinado. Por exemplo, você pode restringir os usuários de uma equipe para que eles só possam enviar trabalhos para aplicativos EMR sem servidor marcados com o nome da equipe.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EMRServerlessActions", "Effect": "Allow", "Action": [ "emr-serverless:ListApplications", "emr-serverless:GetApplication", "emr-serverless:StartApplication", "emr-serverless:StartJobRun", "emr-serverless:CancelJobRun", "emr-serverless:ListJobRuns", "emr-serverless:GetJobRun" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Team": "team-name" } } } ] }
