將 Amazon S3 Access Grants 與 Amazon EMR on 搭配使用 EKS - Amazon EMR
概觀啟動叢集考量事項

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 Amazon S3 Access Grants 與 Amazon EMR on 搭配使用 EKS

Amazon EMR on 的 S3 Access Grants 概觀 EKS

使用 Amazon 6.15.0 版和更新EMR版本,Amazon S3 Access Grants 提供可擴展的存取控制解決方案,可讓您在 EMR上增強從 Amazon S3 資料的存取EKS。如果您的 S3 資料有複雜或大型的許可組態,您可以使用 Access Grants 來擴展使用者、角色和應用程式的 S3 資料許可。

使用 S3 Access Grants 來增強對 Amazon S3 資料的存取,超出執行時間角色或連接到具有EKS叢集EMR上 Amazon 存取權之身分IAM的角色所授予的許可。

如需詳細資訊,請參閱《Amazon 管理指南》中的使用 S3 Access Grants for EMR Amazon 管理存取權,以及《Amazon Simple Storage Service 使用者指南》中的使用 S3 Access Grants 管理存取權 EMR

此頁面說明在 EKS Amazon EMR 上使用 S3 Access Grants 整合執行 Spark 任務的要求。使用 Amazon EMR on EKS,S3 Access Grants 需要您任務執行角色中的其他IAM政策陳述式,以及 StartJobRun 的額外覆寫組態API。如需使用其他 Amazon EMR 部署設定 S3 Access Grants 的步驟,請參閱下列文件:

使用 S3 Access Grants 啟動EKS叢集EMR上的 Amazon 以進行資料管理

您可以在 EMR Amazon 上啟用 S3 Access Grants EKS並啟動 Spark 任務。當您的應用程式提出 S3 資料請求時,Amazon S3 會提供僅限於特定儲存貯體、字首或物件的臨時憑證。

  1. 在EKS叢集EMR上為您的 Amazon 設定任務執行角色。包含執行 Spark 任務所需的必要IAM許可,s3:GetDataAccess以及s3:GetAccessGrantsInstanceForPrefix

    {
    "Effect": "Allow",
    "Action": [
    "s3:GetDataAccess",
    "s3:GetAccessGrantsInstanceForPrefix"
    ],
    "Resource": [     //LIST ALL INSTANCE ARNS THAT THE ROLE IS ALLOWED TO QUERY
         "arn:aws_partition:s3:Region:account-id1:access-grants/default",
         "arn:aws_partition:s3:Region:account-id2:access-grants/default"
    ]
}
    注意

    如果您為任務執行指定角色,而該IAM角色具有直接存取 S3 的任何其他許可,則無論您在 S3 Access Grants 中定義的許可為何,使用者都可能可以存取資料

  2. 將任務提交至EKS叢集EMR上的 Amazonemrfs-site,Amazon EMR發行標籤為 6.15 或更高版本,分類如下圖所示。使用適合您使用案例的值取代 red text 中的值。

    {
  "name": "myjob", 
  "virtualClusterId": "123456",  
  "executionRoleArn": "iam_role_name_for_job_execution", 
  "releaseLabel": "emr-7.3.0-latest", 
  "jobDriver": {
    "sparkSubmitJobDriver": {
      "entryPoint": "entryPoint_location",
      "entryPointArguments": ["argument1", "argument2"],  
       "sparkSubmitParameters": "--class main_class"
    }
  }, 
  "configurationOverrides": {
    "applicationConfiguration": [
      {
        "classification": "emrfs-site", 
        "properties": {
          "fs.s3.s3AccessGrants.enabled": "true",
          "fs.s3.s3AccessGrants.fallbackToIAM": "false"
         }
      }
    ], 
  }
}

Amazon EMR on 的 S3 Access Grants 考量事項 EKS

如需在 EMR上使用 Amazon S3 Access Grants 搭配 Amazon 時的重要支援、相容性和行為資訊EKS,請參閱《Amazon EMR管理指南》中的 S3 Access Grants 搭配 Amazon 的考量EMR事項。