As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurar perfis de serviço do IAM para permissões do Amazon EMR aos serviços e recursos da AWS
O Amazon EMR e aplicações como o Hadoop e o Spark precisam de permissões para acessar outros recursos da AWS e realizar ações quando são executados. Cada cluster no Amazon EMR deve ter uma função de serviço e uma função para o perfil de EC2 instância da Amazon. Para obter mais informações, consulte Perfis do IAM e Usar perfis de instância no Guia do usuário do IAM. As políticas do IAM anexadas a esses perfis fornecem permissões para o cluster interoperar com outros serviços da AWS em nome de um usuário.
Um perfil adicional, o perfil do Auto Scaling, será necessário se o cluster usar a ajuste de escala automático no Amazon EMR. A função AWS de serviço para Notebooks EMR é necessária se você usa Notebooks EMR.
O Amazon EMR fornece perfis padrão e políticas gerenciadas padrão para determinar permissões para cada perfil. As políticas gerenciadas são criadas e mantidas por AWS, portanto, são atualizadas automaticamente se os requisitos de serviço mudarem. Consulte AWS managed policies no Guia do usuário do IAM.
Se você estiver criando um cluster ou um caderno pela primeira vez em uma conta, os perfis do Amazon EMR ainda não existirão. Depois de criá-las, você pode visualizar as funções, as políticas associadas a elas e as permissões permitidas ou negadas pelas políticas no console do IAM (https://console.aws.amazon.com/iam/
Modificar políticas baseadas em identidade para permissões a fim de transmitir perfis de serviço ao Amazon EMR
As políticas gerenciadas padrão de permissões completas do Amazon EMR incorporam configurações de segurança iam:PassRole
, incluindo estas:
Permissões
iam:PassRole
somente para perfis padrão específicos do Amazon EMR.iam:PassedToService
condições que permitem que você use a política somente com AWS serviços específicos, comoelasticmapreduce.amazonaws.com
ec2.amazonaws.com
e.
Você pode visualizar a versão JSON das políticas Amazon _v2 EMRFullAccessPolicye Amazon EMRService Policy_v2
Resumo do perfil de serviço
A tabela a seguir lista os perfis de serviço do IAM associadas ao Amazon EMR para referência rápida.
Função | Perfil padrão | Descrição | Política gerenciada padrão |
---|---|---|---|
|
Permite que o Amazon EMR chame outros AWS serviços em seu nome ao provisionar recursos e realizar ações em nível de serviço. Essa função é necessária para todos os clusters. |
ImportanteÉ necessário ter um perfil vinculado ao serviço para solicitar instâncias spot. Se esse perfil não existir, o perfil de serviço do Amazon EMR deve ter permissão para criá-lo ou ocorrerá um erro de permissão. Se você pretende solicitar instâncias spot, é necessário atualizar essa política para incluir uma instrução que permita a criação desse perfil vinculado ao serviço. Para obter mais informações, consulte Perfil de serviço para Amazon EMR (perfil do EMR) a função vinculada ao serviço para solicitações de instâncias spot no Guia EC2 do usuário da Amazon. |
|
Função de serviço para EC2 instâncias de cluster (perfil de EC2 instância) |
|
Os processos de aplicativos que são executados no ecossistema do Hadoop em instâncias de cluster usam essa função quando chamam outros AWS serviços. Para acessar os dados no Amazon S3 usando o EMRFS, você pode especificar diferentes perfis a serem assumidos com base no local dos dados no Amazon S3. Por exemplo, múltiplas equipes podem acessar uma única “conta de armazenamento” de dados do Amazon S3. Para obter mais informações, consulte Configurar perfis do IAM para solicitações do EMRFS para o Amazon S3. Essa função é necessária para todos os clusters. |
|
Perfil de serviço para ajuste de escala automático no Amazon EMR (perfil do Auto Scaling) |
|
Permite ações adicionais para ambientes de escalabilidade dinâmica. Necessária apenas para clusters que usam a ajuste de escala automático no Amazon EMR. Para obter mais informações, consulte Uso do ajuste de escala automático com uma política personalizada para grupos de instâncias no Amazon EMR. |
|
|
Fornece as permissões que um notebook EMR precisa para acessar outros AWS recursos e realizar ações. Necessário somente se forem usados cadernos EMR. |
|
|
|
O Amazon EMR cria automaticamente um perfil vinculado ao serviço. Se o serviço do Amazon EMR tiver perdido a capacidade de limpar os EC2 recursos da Amazon, o Amazon EMR poderá usar essa função para limpar. Se um cluster usar instâncias spot, a política de permissões anexada ao Perfil de serviço para Amazon EMR (perfil do EMR) deverá permitir a criação de uma função vinculada ao serviço. Para obter mais informações, consulte Uso de perfis vinculados ao serviço para o Amazon EMR. |
|
Tópicos
- Perfis de serviço do IAM usados pelo Amazon EMR
- Personalização de perfis do IAM com o Amazon EMR
- Configurar perfis do IAM para solicitações do EMRFS para o Amazon S3
- Usa políticas baseadas em recursos para acesso do Amazon EMR ao Catálogo de Dados do AWS Glue
- Usar perfis do IAM com aplicações que chamam diretamente os serviços da AWS
- Permitir que usuários e grupos criem e modifiquem perfis