创建任务执行角色 - Amazon EMR

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建任务执行角色

要在 Amazon EMR 上运行工作负载EKS,您需要创建一个IAM角色。我们在本文档中将此角色称为任务执行角色。有关如何创建IAM角色的更多信息,请参阅IAM用户指南中的创建IAM角色

您还必须创建一个IAM策略来指定任务执行角色的权限,然后将该IAM策略附加到任务执行角色。

以下任务执行角色策略允许访问资源目标、Amazon S3 和 CloudWatch。这些权限是监控任务和访问日志所必需的。要使用遵循相同的流程 AWS CLI,您也可以使用 Amazon EMR Workshop 的 “为任务执行创建IAM角色” 部分中的步骤来设置您的角色。EKS

注意

应适当限定访问范围,而不是授予对任务执行角色中所有 S3 对象的权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket" }, { "Effect": "Allow", "Action": [ "logs:PutLogEvents", "logs:CreateLogStream", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:*:*:*" ] } ] }

有关更多信息,请参阅使用任务执行角色、将任务运行配置为使用 S3 日志和将任务运行配置为使用 CloudWatch 日志