本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
从 EMR Serverless 访问另一个 AWS 账户中的 S3 数据
您可以从一个 AWS 账户运行 Amazon EMR 无服务器任务,并将其配置为访问属于另一个账户的 Amazon S3 存储桶中的数据。 AWS 本页介绍了如何配置从 EMR Serverless 对 S3 的跨账户访问。
在 EMR Serverless 上运行的任务可以使用 S3 存储桶策略或代入的角色从其他账户访问 Amazon S3 中的数据。 AWS
先决条件
要为 Amazon EMR Serverless 设置跨账户访问权限,您必须在登录两个账户的同时完成任务: AWS
-
AccountA:这是您在其中创建 Amazon EMR Serverless 应用程序的 AWS 账户。在设置跨账户访问之前,您必须在此账户中做好以下准备:-
Amazon EMR Serverless 应用程序,在其中运行作业。
-
作业执行角色,拥有在应用程序中运行作业所需的权限。有关更多信息,请参阅 Amazon EMR Serverless 的作业运行时角色。
-
-
AccountB:该 AWS 账户包含您希望 Amazon EMR Serverless 作业访问的 S3 存储桶。
使用 S3 存储桶策略访问跨账户 S3 数据
要访问 S3 存储桶 account B from account A,将以下策略附加到中的 S3 存储桶 account B.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Example permissions 1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountA:root"
},
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket_name_in_AccountB"
]
},
{
"Sid": "Example permissions 2",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountA:root"
},
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::bucket_name_in_AccountB/*"
]
}
]
}有关使用 S3 存储桶策略进行 S3 跨账户访问的更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的示例 2:存储桶所有者授予跨账户存储桶权限。
使用代入角色跨账户访问 S3 数据
为 Amazon EMR Serverless 设置跨账户访问权限的另一种方法是使用 () AssumeRole 中的 AWS Security Token Service 操作。AWS STS AWS STS 是一项全球 Web 服务,允许您为用户申请临时的、权限有限的证书。您可以使用通过 AssumeRole 创建的临时安全凭证对 EMR Serverless 和 Amazon S3 进行 API 调用。
以下步骤说明了如何使用代入角色从 EMR Serverless 跨账户访问 S3 数据:
-
创建 Amazon S3 存储桶,即
AccountB中的cross-account-bucket。有关更多信息,请参阅 Amazon Simple Storage Service 用户指南中的创建存储桶。如果您希望跨账户访问 DynamoDB,还可以在AccountB中创建 DynamoDB 表。有关更多信息,请参阅《Amazon DynamoDB 开发人员指南》中的创建 DynamoDB 表。 -
在
AccountB中创建Cross-Account-Role-BIAM 角色,以便可以访问cross-account-bucket。登录 AWS Management Console 并打开 IAM 控制台,网址为https://console.aws.amazon.com/iam/
。 -
选择 Roles (角色) 并创建新角色:
Cross-Account-Role-B。有关如何创建 IAM 角色的更多信息,请参阅《IAM 用户指南》中的创建 IAM 角色。 -
创建 IAM policy 来指定针对
Cross-Account-Role-B的权限以访问cross-account-bucketS3 存储桶,如以下策略声明所示。然后将 IAM policy 附加到Cross-Account-Role-B。有关更多信息,请参阅《IAM 用户指南》中的创建 IAM 策略。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": [ "arn:aws:s3:::cross-account-bucket", "arn:aws:s3:::cross-account-bucket/*" ] } ] }如果需要访问 DynamoDB,请创建 IAM 策略,指定跨账户访问 DynamoDB 表的权限。然后将 IAM policy 附加到
Cross-Account-Role-B。有关更多信息,请参阅《IAM 用户指南》中的 Amazon DynamoDB:允许访问特定表。以下是允许访问 DynamoDB 表
CrossAccountTable的策略。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "dynamodb:*", "Resource": "arn:aws:dynamodb:MyRegion:AccountB:table/CrossAccountTable" } ] } -
编辑
Cross-Account-Role-B角色的信任关系。-
要配置角色的信任关系,请在 IAM 控制台中为您在步骤 2 中创建的
Cross-Account-Role-B角色选择信任关系选项卡。 -
选择 Edit Trust Relationship (编辑信任关系)。
-
添加以下策略文档。这允许
AccountA中的Job-Execution-Role-A代入Cross-Account-Role-B角色。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountA:role/Job-Execution-Role-A" }, "Action": "sts:AssumeRole" } ] }
-
-
授
Job-Execution-Role-AAccountA予假设 AWS STSAssumeRole权限Cross-Account-Role-B。-
在 AWS 账户的 IAM 控制台中
AccountA,选择Job-Execution-Role-A。 -
添加以下
Job-Execution-Role-A策略语句以便对Cross-Account-Role-B角色执行AssumeRole操作。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::AccountB:role/Cross-Account-Role-B" } ] }
-
代入角色示例
您可以使用单个代入角色访问账户中的所有 S3 资源,或者在 Amazon EMR 6.11 及更高版本中,您可以配置多个 IAM 角色,以便在跨账户访问不同的 S3 存储桶时代入。
使用单个代入角色访问 S3 资源
注意
如果将作业配置为使用单个代入角色,整个作业中的所有 S3 资源都将使用该角色,包括 entryPoint 脚本。
如果您想使用单个代入角色访问账户 B 中的所有 S3 资源,请指定以下配置:
-
将 EMRFS 配置
fs.s3.customAWSCredentialsProvider指定为spark.hadoop.fs.s3.customAWSCredentialsProvider=com.amazonaws.emr.AssumeRoleAWSCredentialsProvider。 -
对于 Spark,使用
spark.emr-serverless.driverEnv.ASSUME_ROLE_CREDENTIALS_ROLE_ARN和spark.executorEnv.ASSUME_ROLE_CREDENTIALS_ROLE_ARN指定驱动程序和执行程序的环境变量。 -
对于 Hive,使用
hive.emr-serverless.launch.env.ASSUME_ROLE_CREDENTIALS_ROLE_ARN、tez.am.emr-serverless.launch.env.ASSUME_ROLE_CREDENTIALS_ROLE_ARN和tez.task.emr-serverless.launch.env.ASSUME_ROLE_CREDENTIALS_ROLE_ARN指定 Hive 驱动程序、Tez 应用程序主进程和 Tez 任务容器的环境变量。
以下示例展示了如何使用代入角色启动具有跨账户访问权限的 EMR Serverless 作业运行。
以下示例展示了如何使用代入角色启动有权跨账户访问 S3 的 EMR Serverless Spark 作业运行。
aws emr-serverless start-job-run \
--application-id application-id \
--execution-role-arn job-role-arn \
--job-driver '{
"sparkSubmit": {
"entryPoint": "entrypoint_location",
"entryPointArguments": [":argument_1:", ":argument_2:"],
"sparkSubmitParameters": "--conf spark.executor.cores=4 --conf spark.executor.memory=20g --conf spark.driver.cores=4 --conf spark.driver.memory=8g --conf spark.executor.instances=1"
}
}' \
--configuration-overrides '{
"applicationConfiguration": [{
"classification": "spark-defaults",
"properties": {
"spark.hadoop.fs.s3.customAWSCredentialsProvider": "spark.hadoop.fs.s3.customAWSCredentialsProvider=com.amazonaws.emr.AssumeRoleAWSCredentialsProvider",
"spark.emr-serverless.driverEnv.ASSUME_ROLE_CREDENTIALS_ROLE_ARN": "arn:aws:iam::AccountB:role/Cross-Account-Role-B",
"spark.executorEnv.ASSUME_ROLE_CREDENTIALS_ROLE_ARN": "arn:aws:iam::AccountB:role/Cross-Account-Role-B"
}
}]
}'使用多个代入角色访问 S3 资源
在 EMR Serverless 6.11.0 及更高版本中,您可以配置多个 IAM 角色,以便在访问不同的跨账户存储桶时代入。如果要使用账户 B 中的不同代入角色访问不同的 S3 资源,请在启动作业运行时使用以下配置:
-
将 EMRFS 配置
fs.s3.customAWSCredentialsProvider指定为com.amazonaws.emr.serverless.credentialsprovider.BucketLevelAssumeRoleCredentialsProvider。 -
指定 EMRFS 配置
fs.s3.bucketLevelAssumeRoleMapping,定义从 S3 存储桶名称到账户 B 中要代入的 IAM 角色的映射。该值的格式为bucket1->role1;bucket2->role2。
例如,您可以使用 arn:aws:iam:: 访问存储桶 AccountB:role/Cross-Account-Role-B-1bucket1,使用 arn:aws:iam:: 访问存储桶 AccountB:role/Cross-Account-Role-B-2bucket2。以下示例展示了如何通过多个代入角色启动具有跨账户访问权限的 EMR Serverless 作业运行。
以下示例展示了如何使用多个代入角色来创建 EMR Serverless Spark 作业运行。
aws emr-serverless start-job-run \
--application-id application-id \
--execution-role-arn job-role-arn \
--job-driver '{
"sparkSubmit": {
"entryPoint": "entrypoint_location",
"entryPointArguments": [":argument_1:", ":argument_2:"],
"sparkSubmitParameters": "--conf spark.executor.cores=4 --conf spark.executor.memory=20g --conf spark.driver.cores=4 --conf spark.driver.memory=8g --conf spark.executor.instances=1"
}
}' \
--configuration-overrides '{
"applicationConfiguration": [{
"classification": "spark-defaults",
"properties": {
"spark.hadoop.fs.s3.customAWSCredentialsProvider": "com.amazonaws.emr.serverless.credentialsprovider.BucketLevelAssumeRoleCredentialsProvider",
"spark.hadoop.fs.s3.bucketLevelAssumeRoleMapping": "bucket1->arn:aws:iam::AccountB:role/Cross-Account-Role-B-1;bucket2->arn:aws:iam::AccountB:role/Cross-Account-Role-B-2"
}
}]
}'