本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
EMR笔记本电脑的服务角色
每个EMR笔记本都需要访问其他 AWS 资源和执行操作的权限。附加到此服务角色的IAM策略为笔记本提供了与其他 AWS 服务互操作的权限。使用创建笔记本时 AWS Management Console,需要指定AWS 服务角色。您可以使用默认角色 EMR_Notebooks_DefaultRole,也可以指定您创建的角色。如果之前尚未创建 Notebook,则可以选择创建默认角色。
-
默认角色名为
EMR_Notebooks_DefaultRole。 -
默认情况下,附加到
EMR_Notebooks_DefaultRole的托管式策略是AmazonElasticMapReduceEditorsRole和S3FullAccessPolicy。
您的服务角色应该使用下面的信任策略。
重要
以下信任策略包括aws:SourceArn和aws:SourceAccount全局条件密钥,它们限制您向 Amazon EMR 授予您账户中特定资源的权限。使用这些策略可以防止混淆代理问题。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "elasticmapreduce.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "<account-id>" }, "ArnLike": { "aws:SourceArn": "arn:aws:elasticmapreduce:<region>:<account-id>:*" } } } ] }
版本 1 的内容 AmazonElasticMapReduceEditorsRole 如下所示。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "elasticmapreduce:ListInstances", "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListSteps" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "aws:elasticmapreduce:editor-id", "aws:elasticmapreduce:job-flow-id" ] } } } ] }
下面是 S3FullAccessPolicy 的内容。S3FullAccessPolicy允许您的 EMR Notebook 服务角色对您的中的对象执行所有 Amazon S3 操作 AWS 账户。当您为 Notebook 创建自定义服务角色时EMR,必须向您的服务角色授予 Amazon S3 权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": "*" } ] }
您可以将服务角色的读写权限范围缩小到要保存 Notebook 文件的 Amazon S3 位置。使用以下最小 Amazon S3 权限集。
"s3:PutObject", "s3:GetObject", "s3:GetEncryptionConfiguration", "s3:ListBucket", "s3:DeleteObject"
如果您的 Amazon S3 存储桶已加密,您必须为 AWS Key Management Service包含以下权限。
"kms:Decrypt", "kms:GenerateDataKey", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey"
当您将 Git 存储库链接到笔记本并需要为存储库创建密钥时,您必须在附加到 Amazon EMR 笔记本服务角色的IAM策略中添加secretsmanager:GetSecretValue权限。下面演示了一个示例策略:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] }
EMR笔记本服务角色权限
此表列出了 EMR Notebooks 使用服务角色执行的操作,以及每个操作所需的权限。
| 操作 | 权限 |
|---|---|
| 在笔记本和 Amazon EMR 集群之间建立安全的网络通道,并执行必要的清理操作。 |
|
| 使用存储在 AWS Secrets Manager 中的 Git 凭证将 Git 存储库链接到 Notebook。 |
|
| 将 AWS 标签应用于 N EMR otebook 在设置安全网络通道时创建的网络接口和默认安全组。有关更多信息,请参阅标记 AWS 资源。 |
|
| 访问 Notebook 文件和元数据或将它们上载到 Amazon S3。 |
仅当您使用加密的 Amazon S3 存储桶时才需要以下权限。
|
EMR笔记本对 AWS 托管策略的更新
查看自 2021 年 3 月 1 日以来EMR笔记本电脑 AWS 托管政策更新的详细信息。
| 更改 | 描述 | 日期 |
|---|---|---|
AmazonElasticMapReduceEditorsRole - Added
permissions |
EMR已添加笔记本 |
2023 年 2 月 8 日 |
EMR笔记本开始跟踪更改 |
EMR笔记本开始跟踪其 AWS 托管策略的更改。 |
2023 年 2 月 8 日 |
