Conceda aos usuários acesso à Amazon EMR em EKS - Amazon EMR

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conceda aos usuários acesso à Amazon EMR em EKS

Para qualquer ação que você realiza EMR na AmazonEKS, você precisa de uma IAM permissão correspondente para essa ação. Você deve criar uma IAM política que permita realizar EKS ações da EMR Amazon e anexar a política ao IAM usuário ou função que você usa.

Este tópico fornece etapas para a criação de uma nova política e para o anexo dela a um usuário. Também abrange as permissões básicas que você precisa para configurar seu EKS ambiente EMR Amazon On. Recomendamos redefinir as permissões para recursos específicos sempre que possível com base nas suas necessidades de negócios.

Criar uma nova IAM política e anexá-la a um usuário no console IAM

Crie uma nova IAM política
  1. Faça login no AWS Management Console e abra o IAM console em https://console.aws.amazon.com/iam/.

  2. No painel de navegação esquerdo do IAM console, escolha Políticas.

  3. Na página Policies (Políticas), escolha Create Policy (Criar política).

  4. Na janela Criar política, navegue até a JSON guia Editar. Crie um documento de política com uma ou mais JSON declarações, conforme mostrado nos exemplos a seguir este procedimento. Em seguida, escolha Analisar política.

  5. Na tela Review Policy (Revisar política), insira o Policy Name (Nome da política), por exemplo, AmazonEMROnEKSPolicy. Insira uma descrição opcional e, em seguida, escolha Criar política.

Anexe a política a um usuário ou a um perfil
  1. Faça login no AWS Management Console e abra o IAM console em https://console.aws.amazon.com/iam/

  2. No painel de navegação, escolha Policies.

  3. Na lista de políticas, marque a caixa de seleção ao lado da política criada na seção anterior. Você pode usar o menu Filtro e a caixa de pesquisa para filtrar a lista de políticas.

  4. Selecione Ações da política e escolha Anexar.

  5. Escolha o usuário ou o perfil ao qual a política será anexada. Você pode usar o menu Filter (Filtro) e a caixa de pesquisa para filtrar a lista de entidades principais. Após escolher o usuário ou o perfil ao qual a política será anexada, selecione Anexar política.

Permissões para o gerenciamento de clusters virtuais

Para gerenciar clusters virtuais em sua AWS conta, crie uma IAM política com as seguintes permissões. Essas permissões permitem que você crie, liste, descreva e exclua clusters virtuais em sua AWS conta.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "emr-containers.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "emr-containers:CreateVirtualCluster", "emr-containers:ListVirtualClusters", "emr-containers:DescribeVirtualCluster", "emr-containers:DeleteVirtualCluster" ], "Resource": "*" } ] }

EMRA Amazon é integrada ao gerenciamento de acesso ao EKS cluster da Amazon (CAM), para que você possa automatizar a configuração das políticas AuthN e AuthZ necessárias para executar trabalhos do Amazon Spark em namespaces de clusters EMR da Amazon. EKS Para fazer isso, você deve ter as seguintes permissões:

{ "Effect": "Allow", "Action": [ "eks:CreateAccessEntry" ], "Resource": "arn:<AWS_PARTITION>:eks:<AWS_REGION>:<AWS_ACCOUNT_ID>:cluster/<EKS_CLUSTER_NAME>" }, { "Effect": "Allow", "Action": [ "eks:DescribeAccessEntry", "eks:DeleteAccessEntry", "eks:ListAssociatedAccessPolicies", "eks:AssociateAccessPolicy", "eks:DisassociateAccessPolicy" ], "Resource": "arn:<AWS_PARTITION>:eks:<AWS_REGION>:<AWS_ACCOUNT_ID>:access-entry/<EKS_CLUSTER_NAME>/role/<AWS_ACCOUNT_ID>/AWSServiceRoleForAmazonEMRContainers/*" }

Para obter mais informações, consulte Automatizar a habilitação do acesso ao cluster para a Amazon EMR on EKS.

Quando a CreateVirtualCluster operação é invocada pela primeira vez a partir de uma AWS conta, você também precisa das CreateServiceLinkedRole permissões para criar a função vinculada ao serviço para a Amazon on. EMR EKS Para obter mais informações, consulte Uso de perfis vinculados ao serviço para o Amazon EMR no EKS.

Permissões para o envio de trabalhos

Para enviar trabalhos nos clusters virtuais da sua AWS conta, crie uma IAM política com as seguintes permissões. Essas permissões permitem iniciar, listar, descrever e cancelar execuções de trabalhos para todos os clusters virtuais em sua conta. Você deve considerar adicionar permissões para listar ou descrever clusters virtuais, o que permite verificar o estado do cluster virtual antes de enviar trabalhos.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "emr-containers:StartJobRun", "emr-containers:ListJobRuns", "emr-containers:DescribeJobRun", "emr-containers:CancelJobRun" ], "Resource": "*" } ] }

Permissões para a depuração e o monitoramento

Para obter acesso aos registros enviados para o Amazon S3 e CloudWatch, ou para visualizar os registros de eventos do aplicativo no EMR console da Amazon, crie uma IAM política com as seguintes permissões. Recomendamos redefinir as permissões para recursos específicos sempre que possível com base nas suas necessidades de negócios.

Importante

Se você não criou um bucket do Amazon S3, será necessário adicionar a permissão s3:CreateBucket à instrução de política. Se você não criou um grupo de logs, será necessário adicionar logs:CreateLogGroup à instrução de política.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "emr-containers:DescribeJobRun", "elasticmapreduce:CreatePersistentAppUI", "elasticmapreduce:DescribePersistentAppUI", "elasticmapreduce:GetPersistentAppUIPresignedURL" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:Get*", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": "*" } ] }

Para obter mais informações sobre como configurar uma execução de trabalho para enviar registros para o Amazon S3 CloudWatch, consulte Configurar uma execução de trabalho para usar registros do S3 e Configurar uma execução de trabalho para usar registros. CloudWatch