Controle do acesso aos modelos de trabalhos - Amazon EMR

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle do acesso aos modelos de trabalhos

A política StartJobRun permite impor que um usuário ou um perfil possa somente executar trabalhos usando modelos de trabalhos especificados e não possa executar operações StartJobRun sem usar os modelos de trabalhos especificados. Para conseguir isso, primeiro, certifique-se de conceder ao usuário ou ao perfil uma permissão de leitura para os modelos de trabalhos especificados, conforme mostrado abaixo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "emr-containers:DescribeJobTemplate",
            "Resource": [
                "job_template_1_arn",
                "job_template_2_arn",
                ...
            ]
        }
    ]
}

Para garantir que um usuário ou que um perfil seja capaz de invocar a operação StartJobRun somente ao usar modelos de trabalhos especificados, você pode atribuir a permissão de política StartJobRun apresentada a seguir para um determinado usuário ou perfil.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "emr-containers:StartJobRun",
            "Resource": [
                "virtual_cluster_arn",
            ],
            "Condition": [
                "StringEquals": {
                    "emr-containers:JobTemplateArn": [
                        "job_template_1_arn",
                        "job_template_2_arn",
                        ...
                    ]
                 }
                ]
            }
        }
    ]
}

Se o modelo de trabalho especificar um parâmetro de modelo de trabalho dentro do campo ARN do perfil de execução, o usuário poderá fornecer um valor para esse parâmetro e, assim, invocar StartJobRun usando um perfil de execução arbitrário. Para restringir os perfis de execução que o usuário pode fornecer, consulte Controle do acesso ao perfil de execução em Uso de perfis de execução de trabalho com o Amazon EMR no EKS.

Se nenhuma condição for especificada na política de ação StartJobRun acima para um determinado usuário ou perfil, o usuário ou o perfil terá permissão para invocar a ação StartJobRun no cluster virtual especificado usando um modelo de trabalho arbitrário ao qual ele tenha acesso de leitura ou usando um perfil de execução arbitrário.