创建任务执行角色

要在 Amazon EMR on EKS 上运行工作负载，您需要创建一个 IAM 角色。我们在本文档中将此角色称为任务执行角色。有关如何创建 IAM 角色的更多信息，请参阅《IAM 用户指南》中的创建 IAM 角色。

您必须创建 IAM policy 来指定任务执行角色的权限，然后将 IAM policy 添加到任务执行角色。

任务执行角色的下列策略允许访问资源目标、Amazon S3 和 CloudWatch。这些权限是监控任务和访问日志所必需的。要遵循使用 AWS CLI 的相同流程，您还可以使用 Amazon EMR on EKS 研讨会的为作业执行创建 IAM 角色部分中的步骤设置角色。

注意

应适当限定访问范围，而不是授予对任务执行角色中所有 S3 对象的权限。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents",
                "logs:CreateLogStream",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:*:*:*"
            ]
        }
    ]
}

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

在 EKS 集群上为服务账户（IRSA）启用 IAM 角色

更新任务执行角色的信任策略