本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
开始使用 EMR Serverless 的先决条件
本节介绍了运行 EMR Serverless 的管理先决条件。其中包括账户配置和权限管理。
注册获取 AWS 账户
如果您没有 AWS 账户,请完成以下步骤来创建一个。
要注册 AWS 账户
打开https://portal.aws.amazon.com/billing/注册。
按照屏幕上的说明操作。
在注册时,将接到电话,要求使用电话键盘输入一个验证码。
当您注册时 AWS 账户,就会创建AWS 账户根用户一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行需要根用户访问权限的任务。
AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 https://aws.amazon.com/
创建具有管理访问权限的用户
注册后,请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center,启用并创建管理用户,这样您就不会使用 root 用户执行日常任务。
保护你的 AWS 账户根用户
-
选择 Root 用户并输入您的 AWS 账户 电子邮件地址,以账户所有者的身份登录。AWS Management Console
在下一页上,输入您的密码。 要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》中的 Signing in as the root user。
-
为您的根用户启用多重身份验证(MFA)。
有关说明,请参阅 I A M 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备(控制台)。
创建具有管理访问权限的用户
-
启用 IAM Identity Center。
有关说明,请参阅《AWS IAM Identity Center 用户指南》中的 Enabling AWS IAM Identity Center。
-
在 IAM Identity Center 中,为用户授予管理访问权限。
有关使用 IAM Identity Center 目录 作为身份源的教程,请参阅《用户指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户访问权限。
以具有管理访问权限的用户身份登录
-
要使用您的 IAM Identity Center 用户身份登录,请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录网址。
有关使用 IAM Identity Center 用户登录的帮助,请参阅AWS 登录 用户指南中的登录 AWS 访问门户。
将访问权限分配给其他用户
-
在 IAM Identity Center 中,创建一个权限集,该权限集遵循应用最低权限的最佳做法。
有关说明,请参阅《AWS IAM Identity Center 用户指南》中的 Create a permission set。
-
将用户分配到一个组,然后为该组分配单点登录访问权限。
有关说明,请参阅《AWS IAM Identity Center 用户指南》中的 Add groups。
授予权限
在生产环境中,我们建议您使用更精细的策略。有关此类策略的示例,请参阅 EMR Serverless 的用户访问策略示例。要了解有关访问管理的更多信息,请参阅 IAM 用户指南中的AWS 资源访问管理。
对于需要在沙盒环境中开始使用 EMR Serverless 的用户,请使用类似下面的策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EMRStudioCreate",
"Effect": "Allow",
"Action": [
"elasticmapreduce:CreateStudioPresignedUrl",
"elasticmapreduce:DescribeStudio",
"elasticmapreduce:CreateStudio",
"elasticmapreduce:ListStudios"
],
"Resource": "*"
},
{
"Sid": "EMRServerlessFullAccess",
"Effect": "Allow",
"Action": [
"emr-serverless:*"
],
"Resource": "*"
},
{
"Sid": "AllowEC2ENICreationWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "ops.emr-serverless.amazonaws.com"
}
}
},
{
"Sid": "AllowEMRServerlessServiceLinkedRoleCreation",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
]
}要提供访问权限,请为您的用户、组或角色添加权限:
-
中的用户和群组 AWS IAM Identity Center:
创建权限集合。按照《AWS IAM Identity Center 用户指南》中创建权限集的说明进行操作。
-
通过身份提供商在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》中针对第三方身份提供商创建角色(联合身份验证)的说明进行操作。
-
IAM 用户:
-
创建您的用户可以担任的角色。按照《IAM 用户指南》中为 IAM 用户创建角色的说明进行操作。
-
(不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》中向用户添加权限(控制台)中的说明进行操作。
-
授予编程式访问权限
如果用户想在 AWS 外部进行交互,则需要编程访问权限 AWS Management Console。授予编程访问权限的方式取决于正在访问的用户类型 AWS。
要向用户授予编程式访问权限,请选择以下选项之一。
| 哪个用户需要编程式访问权限? | 目的 | 方式 |
|---|---|---|
|
人力身份 (在 IAM Identity Center 中管理的用户) |
使用临时证书签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。 |
按照您希望使用的界面的说明进行操作。
|
| IAM | 使用临时证书签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。 | 按照 IAM 用户指南中的将临时证书与 AWS 资源配合使用中的说明进行操作。 |
| IAM | (不推荐使用) 使用长期凭证签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。 |
按照您希望使用的界面的说明进行操作。
|
安装和配置 AWS CLI
如果要使用 EMR Serverless APIs,则必须安装最新版本的 ()。 AWS Command Line Interface AWS CLI您不需要从 EMR Studio 控制台中使用 EMR Serverless,也可以按照中的步骤在没有 CLI 的情况下开始使用。 AWS CLI 从控制台开始使用 EMR Serverless
要设置 AWS CLI
-
要安装 AWS CLI 适用于 macOS、Linux 或 Windows 的最新版本,请参阅安装或更新最新版本的。 AWS CLI
-
要配置您的访问权限 AWS CLI 和安全设置 AWS 服务,包括 EMR Serverless,请参阅使用进行快速配置。
aws configure -
要验证设置,请在 DataBrew 命令提示符下输入以下命令。
aws emr-serverless helpAWS CLI 命令使用配置 AWS 区域 中的默认值,除非您使用参数或配置文件进行设置。要使用参数 AWS 区域 进行设置,可以将该
--region参数添加到每个命令中。要使用配置文件 AWS 区域 进行设置,请先在
~/.aws/config文件或文件中添加命名的配置%UserProfile%/.aws/config文件(适用于 Microsoft Windows)。按 AWS CLI的命名配置文件中的步骤执行操作。接下来,使用与以下示例类似的命令来设置您的 AWS 区域 和其他设置。[profile emr-serverless] aws_access_key_id = ACCESS-KEY-ID-OF-IAM-USER aws_secret_access_key = SECRET-ACCESS-KEY-ID-OF-IAM-USER region = us-east-1 output = text
打开 控制台
本节中大部分面向控制台的主题都是从 Amazon EMR 控制台
