As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Uso de perfis vinculados ao serviço para limpeza do Amazon EMR
O Amazon EMR usa funções vinculadas a serviços AWS Identity and Access Management (IAM). Um perfil vinculado ao serviço é um tipo especial de perfil do IAM vinculado diretamente ao Amazon EMR. As funções vinculadas ao serviço são predefinidas pelo Amazon EMR e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
As funções vinculadas ao serviço funcionam em conjunto com a função de serviço do Amazon EMR e o EC2 perfil de instância da Amazon para o Amazon EMR. Para obter mais informações sobre a função de serviço e o perfil da instância, consulte Configurar perfis de serviço do IAM para permissões do Amazon EMR aos serviços e recursos da AWS.
Um perfil vinculado ao serviço facilita a configuração do Amazon EMR porque você não precisa adicionar as permissões necessárias manualmente. O Amazon EMR define as permissões dos perfis vinculados ao serviço e, a não ser que esteja definido de outra forma, somente o Amazon EMR poderá assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM.
É possível excluir esse perfil vinculado ao serviço no Amazon EMR somente depois de excluir quaisquer recursos relacionados e encerrar todos os clusters do EMR na conta. Isso protege os recursos do Amazon EMR, para que você não possa remover inadvertidamente a permissão de acesso aos recursos.
Uso de perfis vinculados ao serviço para limpeza
O Amazon EMR usa a função baseada em serviços para conceder permissão AWSServiceRoleForEMRCleanupao Amazon EMR para encerrar e excluir recursos da Amazon EC2 em seu nome se a função vinculada ao serviço do Amazon EMR perder essa capacidade. O Amazon EMR cria o perfil vinculado ao serviço automaticamente durante a criação do cluster, caso ele ainda não exista.
A função AWSService RoleFor EMRCleanup vinculada ao serviço confia nos seguintes serviços para assumir a função:
-
elasticmapreduce.amazonaws.com
A política de permissões AWSService RoleFor EMRCleanup de função vinculada ao serviço permite que o Amazon EMR conclua as seguintes ações nos recursos especificados:
-
Ação:
DescribeInstancesemec2 -
Ação:
DescribeSpotInstanceRequestsemec2 -
Ação:
ModifyInstanceAttributeemec2 -
Ação:
TerminateInstancesemec2 -
Ação:
CancelSpotInstanceRequestsemec2 -
Ação:
DeleteNetworkInterfaceemec2 -
Ação:
DescribeInstanceAttributeemec2 -
Ação:
DescribeVolumeStatusemec2 -
Ação:
DescribeVolumesemec2 -
Ação:
DetachVolumeemec2 -
Ação:
DeleteVolumeemec2
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço.
Criar um perfil vinculado ao serviço para Amazon EMR
Você não precisa criar a AWSService RoleFor EMRCleanup função manualmente. Quando você inicia um cluster, seja pela primeira vez ou quando a função AWSService RoleFor EMRCleanup vinculada ao serviço não está presente, o Amazon EMR cria a função vinculada ao AWSService RoleFor EMRCleanup serviço para você. Você deve ter permissões para criar um perfil vinculado ao serviço. Para obter um exemplo de instrução que acrescenta essa possibilidade à política de permissões de uma entidade do IAM (por exemplo, um usuário, grupo ou perfil), consulte Uso de perfis vinculados ao serviço para limpeza do Amazon EMR.
Importante
Se você usou o Amazon EMR antes de 24 de outubro de 2017, quando as funções vinculadas ao serviço não eram suportadas, o Amazon EMR criou a função vinculada ao AWSService RoleFor EMRCleanup serviço em sua conta. Para obter mais informações, consulte Uma nova função apareceu na minha conta do IAM.
Editar um perfil vinculado ao serviço do Amazon EMR
O Amazon EMR não permite que você edite a função vinculada ao AWSService RoleFor EMRCleanup serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, você pode editar a descrição do perfil vinculado ao serviço usando o IAM.
Editar a descrição de uma função vinculada ao serviço (console do IAM)
Você pode usar o console do IAM para editar a descrição de uma função vinculada ao serviço.
Para editar a descrição de uma função vinculada ao serviço (console)
-
No painel de navegação do console do IAM, escolha Perfis.
-
Escolha o nome da função a ser modificada.
-
À direita de Descrição do perfil, escolha Editar.
-
Insira uma nova descrição na caixa e escolha Save changes (Salvar alterações).
Editar descrição de um perfil vinculado ao serviço (CLI do IAM)
Você pode usar os comandos do IAM do AWS Command Line Interface para editar a descrição de uma função vinculada ao serviço.
Para alterar a descrição de uma função (CLI)
-
(Opcional) Para visualizar a descrição atual de a uma função, use um dos comandos a seguir:
$aws iam get-role --role-namerole-nameUse o nome da função, não o nome de recurso da Amazon (ARN), para fazer referência às funções com os comandos da CLI. Por exemplo, se uma função tiver o seguinte nome de recurso da Amazon (ARN):
arn:aws:iam::123456789012:role/myrole, você fará referência à função comomyrole. -
Para atualizar a descrição de uma função vinculada a serviço, use um dos comandos a seguir:
$aws iam update-role-description --role-namerole-name--descriptiondescription
Editar a descrição de uma função vinculada ao serviço (API do IAM)
Você pode usar a API do IAM para editar a descrição de uma função vinculada ao serviço.
Para alterar a descrição de uma função (API)
-
(Opcional) Para visualizar a descrição atual de uma função, use o comando a seguir:
API do IAM: GetRole
-
Para atualizar a descrição de uma função, use o comando a seguir:
API do IAM: UpdateRoleDescription
Excluir um perfil vinculado ao serviço do Amazon EMR
Se você não precisar mais usar um recurso ou serviço que exija um perfil vinculado a um serviço, recomendamos excluir esse perfil. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar sua função vinculada ao serviço antes de excluí-la.
Limpar um perfil vinculado ao serviço
Antes de usar o IAM para excluir um perfil vinculado ao serviço, você deve primeiro confirmar que o perfil não tem sessões ativas e remover todos os recursos usados por ele.
Para verificar se a função vinculada ao serviço tem uma sessão ativa no console do IAM
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, selecione Perfis. Selecione o nome (não a caixa de seleção) da função AWSService RoleFor EMRCleanup vinculada ao serviço.
-
Na página Resumo do perfil vinculado ao serviço selecionado, escolha Consultor de acesso.
-
Na guia Consultor de acesso, revise a atividade recente para a função vinculada ao serviço.
nota
Se você não tiver certeza se o Amazon EMR está usando AWSService RoleFor EMRCleanup a função vinculada ao serviço, você pode tentar excluir a função vinculada ao serviço. Se o serviço estiver usando o perfil vinculado ao serviço, a exclusão falhará e você poderá exibir as regiões em que o perfil está sendo usado. Se o perfil vinculado ao serviço estiver sendo usado, você deverá aguardar o término da sessão antes de exclui-lo. Não é possível revogar a sessão de uma função vinculada a um serviço.
Para remover os recursos do Amazon EMR usados pelo AWSService RoleFor EMRCleanup
-
Encerre todos os clusters em sua conta. Para obter mais informações, consulte Encerramento de um cluster do Amazon EMR em estado iniciando, executando ou aguardando.
Excluir um perfil vinculado ao serviço (console do IAM)
É possível usar o console do IAM para excluir uma função vinculada ao serviço.
Para excluir uma função vinculada ao serviço (console)
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, selecione Perfis. Marque a caixa de seleção ao lado AWSService RoleForEMRCleanup, não o nome ou a linha em si.
-
Em ações de Função na parte superior da página, escolha a função Excluir.
-
Na caixa de diálogo de confirmação, revise os últimos dados acessados do serviço, que mostram quando cada uma das funções selecionadas acessou um AWS serviço pela última vez. Isso ajuda a confirmar se a função está ativa no momento. Para prosseguir, selecione Yes, Delete.
-
Monitore as notificações do console do IAM para progresso da exclusão da função vinculada ao serviço. Como a exclusão do perfil vinculado ao serviço do IAM é assíncrona, depois de enviar o perfil para exclusão, a tarefa de exclusão pode ou não ser bem-sucedida. Se a tarefa obtiver êxito, você poderá escolher Visualizar Detalhes ou Visualizar Recursos a partir das notificações para saber por que a exclusão falhou. Se houve falha na exclusão porque há recursos no serviço que estão sendo usados pela função, o motivo da falha incluirá uma lista de recursos.
Excluir um perfil vinculado ao serviço (CLI do IAM)
Você pode usar os comandos do IAM do AWS Command Line Interface para excluir uma função vinculada ao serviço. Como uma função vinculada ao serviço não podem ser excluída se estiver sendo usada ou tiver recursos associados, você deverá enviar uma solicitação de exclusão. Se essas condições não forem atendidas, essa solicitação poderá ser negada.
Para excluir uma função vinculado ao serviço (CLI)
-
Para verificar o status da tarefa de exclusão, você deve capturar o
deletion-task-idda resposta. Digite o seguinte comando para enviar uma solicitação de exclusão de função vinculada ao serviço:$aws iam delete-service-linked-role --role-name AWSServiceRoleForEMRCleanup -
Digite o seguinte comando para verificar o estado da tarefa de exclusão:
$aws iam get-service-linked-role-deletion-status --deletion-task-iddeletion-task-idO status da tarefa de exclusão pode ser
NOT_STARTED,IN_PROGRESS,SUCCEEDED, ouFAILED. Se a exclusão falhar, a chamada informará o motivo de falha para que você possa solucionar o problema.
Excluir uma função vinculada ao serviço (API do IAM)
É possível usar a API do IAM para excluir uma função vinculada ao serviço. Como uma função vinculada ao serviço não podem ser excluída se estiver sendo usada ou tiver recursos associados, você deverá enviar uma solicitação de exclusão. Se essas condições não forem atendidas, essa solicitação poderá ser negada.
Para excluir uma função vinculada ao serviço (API)
-
Para enviar uma solicitação de exclusão para uma função vinculada ao serviço, ligue. DeleteServiceLinkedRole Na solicitação, especifique o nome da AWSService RoleFor EMRCleanup função.
Para verificar o status da tarefa de exclusão, você deve capturar o
DeletionTaskIdda resposta. -
Para verificar o status da exclusão, chame GetServiceLinkedRoleDeletionStatus. Na solicitação, especifique o
DeletionTaskId.O status da tarefa de exclusão pode ser
NOT_STARTED,IN_PROGRESS,SUCCEEDED, ouFAILED. Se a exclusão falhar, a chamada informará o motivo de falha para que você possa solucionar o problema.
Regiões suportadas para AWSService RoleFor EMRCleanup
O Amazon EMR oferece suporte ao uso da função AWSService RoleFor EMRCleanup vinculada ao serviço nas seguintes regiões.
| Nome da região | Identidade da região | Compatível com o Amazon EMR |
|---|---|---|
| Leste dos EUA (Norte da Virgínia) | us-east-1 | Sim |
| Leste dos EUA (Ohio) | us-east-2 | Sim |
| Oeste dos EUA (N. da Califórnia) | us-west-1 | Sim |
| Oeste dos EUA (Oregon) | us-west-2 | Sim |
| Ásia-Pacífico (Mumbai) | ap-south-1 | Sim |
| Ásia Pacifico (Osaka) | ap-northeast-3 | Sim |
| Ásia-Pacífico (Seul) | ap-northeast-2 | Sim |
| Ásia-Pacífico (Singapura) | ap-southeast-1 | Sim |
| Ásia-Pacífico (Sydney) | ap-southeast-2 | Sim |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | Sim |
| Canadá (Central) | ca-central-1 | Sim |
| Europa (Frankfurt) | eu-central-1 | Sim |
| Europa (Irlanda) | eu-west-1 | Sim |
| Europa (Londres) | eu-west-2 | Sim |
| Europa (Paris) | eu-west-3 | Sim |
| América do Sul (São Paulo) | sa-east-1 | Sim |
