本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
注意
本頁所述的執行期角色功能僅適用於在 Amazon EC2 上執行的 Amazon EMR,而不是指 EMR Serverless 互動式應用程式中的執行期角色功能。若要進一步了解如何在 EMR Serverless 中使用執行期角色,請參閱《Amazon EMR Serverless 使用者指南》中的 作業執行期角色。
執行期角色是 AWS Identity and Access Management (IAM) 角色,您可以在將任務或查詢提交至 Amazon EMR 叢集時指定。您提交給 EMR 叢集的任務或查詢會使用執行時間角色來存取 AWS 資源,例如 Amazon S3 中的物件。
當您將 EMR Studio 工作區連接至使用 Amazon EMR 6.11 或更新版本的 EMR 叢集時,您可以為任務或查詢選取執行時間角色,以便在其存取 AWS 資源時使用。不過,如果 EMR 叢集不支援執行期角色,EMR 叢集在存取 AWS 資源時不會擔任該角色。
管理員必須先設定使用者許可,才能將執行期角色與 Amazon EMR Studio 工作區搭配使用,以便 Studio 使用者可以針對執行期角色呼叫 elasticmapreduce:GetClusterSessionCredentials API。然後,啟動具有執行期角色的新叢集,該角色可與 Amazon EMR Studio 工作區搭配使用。
設定執行期角色的使用者許可
設定使用者許可,以便 Studio 使用者可以針對使用者想要使用的執行期角色呼叫 elasticmapreduce:GetClusterSessionCredentials API。還必須在使用者開始使用 Studio 之前設定 設定 Amazon EC2 或 Amazon EKS 的 EMR Studio 使用者許可。
警告
若要授予此許可,請在授予呼叫者存取權以呼叫 GetClusterSessionCredentials API 時,根據 elasticmapreduce:ExecutionRoleArn 內容金鑰建立條件。下列範例示範如何執行此動作。
{
"Sid": "AllowSpecificExecRoleArn",
"Effect": "Allow",
"Action": [
"elasticmapreduce:GetClusterSessionCredentials"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"elasticmapreduce:ExecutionRoleArn": [
"arn:aws:iam::111122223333:role/test-emr-demo1",
"arn:aws:iam::111122223333:role/test-emr-demo2"
]
}
}
}下列範例示範如何允許 IAM 主體使用名為 test-emr-demo3 的 IAM 角色作為執行期角色。此外,政策持有者將只能使用叢集 ID j-123456789 來存取 Amazon EMR 叢集。
{
"Sid":"AllowSpecificExecRoleArn",
"Effect":"Allow",
"Action":[
"elasticmapreduce:GetClusterSessionCredentials"
],
"Resource": [
"arn:aws:elasticmapreduce:<region>:111122223333:cluster/j-123456789"
],
"Condition":{
"StringEquals":{
"elasticmapreduce:ExecutionRoleArn":[
"arn:aws:iam::111122223333:role/test-emr-demo3"
]
}
}
}下列範例可讓 IAM 主體使用名稱以字串 test-emr-demo4 開頭的任何 IAM 角色作為執行期角色。此外,政策持有者將只能存取以鍵/值對 tagKey: tagValue 標記的 Amazon EMR 叢集。
{
"Sid":"AllowSpecificExecRoleArn",
"Effect":"Allow",
"Action":[
"elasticmapreduce:GetClusterSessionCredentials"
],
"Resource": "*",
"Condition":{
"StringEquals":{
"elasticmapreduce:ResourceTag/tagKey": "tagValue"
},
"StringLike":{
"elasticmapreduce:ExecutionRoleArn":[
"arn:aws:iam::111122223333:role/test-emr-demo4*"
]
}
}
}啟動具有執行期角色的新叢集
您已擁有必要的許可,因此可啟動具有執行期角色的新叢集,該角色可與 Amazon EMR Studio 工作區搭配使用。
如果您已啟動具有執行期角色的新叢集,則可以跳至 在工作區中搭配使用 EMR 叢集與執行期角色 區段。
-
首先,完成 Amazon EMR 步驟的執行期角色 區段中的先決條件。
-
然後,啟動具有下列設定的叢集,以搭配 Amazon EMR Studio 工作區使用執行期角色。如需有關如何啟動叢集的指示,請參閱 指定 Amazon EMR 叢集的安全組態。
-
選擇發行標籤 emr-6.11.0 或更新版本。
-
選取 Spark、Livy 和 Jupyter Enterprise Gateway 作為您的叢集應用程式。
-
使用您在上一步中建立的安全組態。
-
或者,可以為 EMR 叢集啟用 Lake Formation。如需詳細資訊,請參閱使用 Amazon EMR 啟用 Lake Formation。
-
啟動叢集之後,就可以將啟用執行期角色的叢集與 EMR Studio 工作區搭配使用。
注意
當 ExecutionEngineConfig.Type 值為 EMR 時,StartNotebookExecution API 操作目前不支援 ExecutionRoleArn 值。
在工作區中搭配使用 EMR 叢集與執行期角色
設定並啟動叢集之後,就可以將啟用執行期角色的叢集與 EMR Studio 工作區搭配使用。
-
建立新工作區或啟動現有工作區。如需詳細資訊,請參閱建立 EMR Studio 工作區。
-
選擇已開啟的工作區左側邊欄中的 EMR 叢集索引標籤,展開運算類型區段,然後從 EC2 上的 EMR 叢集功能表中選擇您的叢集,並從執行期角色中選擇執行期角色。
-
選擇附接,將具有執行期角色的叢集附接至工作區。
注意
當您選擇執行時間角色時,請注意它可以具有與其相關聯的基礎受管政策。在大多數情況下,我們建議選擇有限的資源,例如特定的筆記本。如果您選擇包含所有筆記本存取權的執行期角色,例如,與該角色相關聯的受管政策會提供完整存取權。
考量事項
將啟用執行期角色的叢集與 Amazon EMR Studio 工作區搭配使用時,請謹記下列考量:
-
只有在將 EMR Studio 工作區附接至使用 Amazon EMR 6.11 或更新版本的 EMR 叢集時,才能選取執行期角色。
-
僅在 Amazon EC2 上執行的 Amazon EMR 支援本頁所述的執行期角色功能,而 EMR Serverless 互動式應用程式不支援。若要進一步了解 EMR Serverless 的執行期角色,請參閱《Amazon EMR Serverless 使用者指南》中的 作業執行期角色。
-
雖然您必須先設定其他許可,才能在將作業提交至叢集時指定執行期角色,但您不需要額外的許可即可存取 EMR Studio 作業區所產生的檔案。此類檔案的許可與沒有執行期角色的叢集所產生的檔案相同。
-
您無法將 EMR Studio 工作區中的 SQL Explorer 與具有執行期角色的叢集搭配使用。當工作區附接至啟用執行期角色的 EMR 叢集時,Amazon EMR 會停用 UI 中的 SQL Explorer。
-
您無法將 EMR Studio 工作區中的協同合作模式與具有執行期角色的叢集搭配使用。當工作區附接至啟用執行期角色的 EMR 叢集時,Amazon EMR 會停用工作區協同合作功能。只有附接工作區的使用者將依然可存取工作區。
-
您無法在啟用 IAM Identity Center Trusted Identity Propagation 的 Studio 中使用執行期角色。
-
您可能會遇到警告「頁面可能不安全!」 從 Spark UI 中,用於使用 Amazon EMR 7.4.0 版及更低版本的執行期角色啟用叢集。如果發生這種情況,請略過警示以繼續查看 Spark UI。
