Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configuración de los roles de servicio de IAM de los permisos de Amazon EMR para los servicios y recursos de AWS
Amazon EMR y las aplicaciones como Hadoop necesitan permisos para obtener acceso a otros recursos de AWS y realizar acciones cuando se ejecutan. Cada clúster de Amazon EMR debe tener un rol de servicio y un rol para el perfil de instancia de Amazon EC2. Para obtener más información, consulte Roles de IAM y Uso de perfiles de instancia en la Guía del usuario de IAM. Las políticas de IAM asociadas a estos roles proporcionan permisos que permiten al clúster interoperar con otros servicios de AWS en nombre de un usuario.
Es necesario otro rol adicional, el rol de escalado automático, si el clúster utiliza el escalado automático en Amazon EMR. El rol AWS de servicio de EMR Notebooks es obligatorio si utiliza EMR Notebooks.
Amazon EMR proporciona roles predeterminados y políticas administradas predeterminadas que determinan permisos los permisos de cada rol. Las políticas administradas las crea y mantiene AWS, por lo que se actualizan automáticamente si cambian los requisitos del servicio. Para obtener más información, consulte Políticas administradas por AWS en la Guía del usuario de IAM.
Si está creando un clúster o un cuaderno por primera vez en una cuenta, los roles de Cuadernos de Amazon EMR aún no existen. Una vez creados, es posible ver los roles, las políticas asociadas a ellos y los permisos concedidos o denegados por estas políticas en la consola de IAM (https://console.aws.amazon.com/iam/
Modificación de políticas basadas en identidades para obtener permisos y así transferir roles de servicio para Amazon EMR
Las políticas administradas de forma predeterminada con todos los permisos de Amazon EMR incorporan configuraciones de seguridad iam:PassRole
, entre las que se incluyen las siguientes:
Permisos
iam:PassRole
solo para roles específicos de Amazon EMR predeterminados.iam:PassedToService
condiciones que le permiten usar la política solo con AWS servicios específicos, comoelasticmapreduce.amazonaws.com
yec2.amazonaws.com
.
Puede ver la versión JSON de las políticas AmazonEMR FullAccessPolicy _v2 y AmazonEMR ServicePolicy _v2
Resumen de rol de servicio
En la siguiente tabla se muestran los roles de servicio de IAM asociados con Amazon EMR para una consulta rápida.
Función | Rol predeterminado | Descripción | Política administrada predeterminada |
---|---|---|---|
|
Permite a Amazon EMR llamar a otros AWS servicios en su nombre al aprovisionar recursos y realizar acciones a nivel de servicio. Este rol es necesario para todos los clústeres. |
importanteLa solicitud de instancias de spot requiere un rol vinculado a un servicio. Si este rol no existe, el rol de servicio de Amazon EMR debe tener permisos para crearlo; en caso contrario, se producirá un error de permisos. Si planea solicitar instancias de spot, debe actualizar esta política para incluir una instrucción que permita la creación de este rol vinculado a un servicio. Para obtener más información, consulte Rol de servicio para Amazon EMR (rol de EMR) un rol vinculado a un servicio para las solicitudes de instancias puntuales en la Guía del usuario de Amazon EC2. |
|
Rol de servicio para instancias de EC2 del clúster (perfil de instancia de EC2) |
|
Los procesos de aplicación que se ejecutan sobre el ecosistema de Hadoop en instancias de clúster utilizan esta función cuando llaman a otros servicios. AWS Para obtener acceso a los datos en Amazon S3 usando EMRFS, puede especificar diferentes roles que se asumirán en función de la ubicación de los datos en Amazon S3. Por ejemplo, varios equipos pueden acceder a una única “cuenta de almacenamiento” de datos de Amazon S3. Para obtener más información, consulte Configuración de roles de IAM para solicitudes de EMRFS a Amazon S3. Este rol es necesario para todos los clústeres. |
|
Rol de servicio para el escalado automático en Amazon EMR (rol de Auto Scaling) |
|
Permite acciones adicionales para entornos de escalado dinámico. Solo es obligatorio para los clústeres que utilizan el escalado automático en Amazon EMR. Para obtener más información, consulte Uso del escalado automático con una política personalizada para grupos de instancias. |
|
|
Proporciona los permisos que un bloc de notas EMR necesita para acceder a otros AWS recursos y realizar acciones. Necesario solo si se utiliza Cuadernos de Amazon EMR. |
También se asocia
|
|
|
Amazon EMR crea automáticamente un rol vinculado a un servicio. Si el servicio de Amazon EMR ha perdido la capacidad de limpiar los recursos de Amazon EC2, Amazon EMR puede utilizar este rol para limpiar. Si un clúster utiliza instancias de spot, la política de permisos vinculada al Rol de servicio para Amazon EMR (rol de EMR) debe permitir la creación de un rol vinculado al servicio. Para obtener más información, consulte Uso de funciones vinculadas a servicios para Amazon EMR. |
|
Temas
- Roles de servicio de IAM utilizados por Amazon EMR
- Personalización de roles de IAM
- Configuración de roles de IAM para solicitudes de EMRFS a Amazon S3
- Uso de políticas basadas en recursos para el acceso de Amazon EMR a Catálogo de datos de AWS Glue
- Uso de roles de IAM con las aplicaciones que llaman directamente a los servicios de AWS
- Cómo permitir a los usuarios y grupos crear y modificar roles