本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
控制對作業範本的存取
StartJobRun 政策可讓您強制使用者或角色只能使用您指定的作業範本來執行作業,而且如果不使用指定的作業範本,就無法執行 StartJobRun 操作。為此,首先確保為使用者或角色授予對指定作業範本的讀取許可,如下所示。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "emr-containers:DescribeJobTemplate", "Resource": [ "job_template_1_arn", "job_template_2_arn", ... ] } ] }
若要強制使用者或角色只能在使用指定的作業範本時調用 StartJobRun 操作,可將下列 StartJobRun 政策許可指派給指定的使用者或角色。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "emr-containers:StartJobRun", "Resource": [ "virtual_cluster_arn", ], "Condition": [ "StringEquals": { "emr-containers:JobTemplateArn": [ "job_template_1_arn", "job_template_2_arn", ... ] } ] } } ] }
如果任務範本在執行角色ARN欄位中指定任務範本參數,則使用者將能夠為此參數提供值StartJobRun,因此可以使用任意執行角色叫用 。若要限制使用者可以提供的執行角色,請參閱 搭配使用作業執行角色與 Amazon EMR on EKS 中的控制對執行角色的存取。
如果上述 StartJobRun 動作政策中未針對指定的使用者或角色指定任何條件,則將允許使用者或角色使用他們具有讀取權限的任意作業範本或使用任意執行角色,在指定虛擬叢集上調用 StartJobRun 動作。
