Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Políticas administradas por Amazon EMR
La forma más sencilla de conceder acceso completo o acceso de solo lectura a las acciones de Amazon EMR requeridas consiste en utilizar las políticas administradas de IAM para Amazon EMR. Las políticas administradas ofrecen el beneficio de que se actualizan automáticamente si cambian los requisitos de permisos. Si utiliza políticas insertadas, pueden producirse cambios en los servicios que provoquen la aparición de errores de permisos.
Amazon EMR dejará de utilizar las políticas administradas existentes (políticas de la versión 1) en favor de las nuevas políticas administradas (políticas de la versión 2). Se ha reducido el alcance de las nuevas políticas gestionadas para alinearlas con las mejores prácticas. AWS Una vez que las políticas administradas de la versión 1 estén obsoletas, no podrá adjuntarlas a ningún rol o usuario de IAM nuevo. Los roles y usuarios existentes que usan políticas obsoletas pueden seguir usándolas. Las políticas administradas de la versión 2 restringen el acceso mediante etiquetas. Solo permiten acciones específicas de Amazon EMR y requieren recursos de clúster etiquetados con una clave específica de EMR. Le recomendamos que revise detenidamente la documentación antes de utilizar las nuevas políticas de la versión 2.
Las políticas de la versión 1 se marcarán como obsoletas con un icono de advertencia a su lado en la lista Políticas de la consola de IAM. Las políticas obsoletas tienen las siguientes características:
-
Siguen funcionando para todos los usuarios, grupos y roles asociados en ese momento. Ningún elemento deja de funcionar.
-
No pueden asociarse a ningún usuario, grupo o rol nuevo. Si separa una política de una entidad actual, no puede volver a asociarla.
-
Después de separar una política de la versión 1 de todas las entidades actuales, la política dejará de estar visible y ya no podrá utilizarse.
La siguiente tabla resume los cambios entre las políticas actuales (versión 1) y las políticas de la versión 2.
Cambios en la política gestionada por Amazon EMR | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Tipo de política | Nombres de las políticas | Propósito de la política | Cambios en la política de la versión 2 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Rol de servicio de EMR predeterminado y política administrada adjunta |
Nombre del rol: EMR_ DefaultRole Política V1 (quedará obsoleta): AmazonElasticMapReduceRole(Rol de servicio EMR) Nombre de la política de la versión 2 (con ámbito de aplicación reducido): AmazonEMRServicePolicy_v2 |
Permite a Amazon EMR llamar a otros AWS servicios en su nombre al aprovisionar recursos y realizar acciones a nivel de servicio. Este rol es necesario para todos los clústeres. |
La política añade el nuevo permiso. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Política gestionada por IAM para el acceso total a Amazon EMR por usuario, rol o grupo asociado |
Nombre de la política de la versión 2 (con ámbito de aplicación): AmazonEMRServicePolicy_v2 |
Concede a los usuarios permisos completos para realizar acciones de EMR. Incluye iam: PassRole permisos para los recursos. |
La política agrega un requisito previo según el cual los usuarios deben agregar etiquetas de usuario a los recursos antes de poder usar esta política. Consulte Etiquetado de recursos para usar políticas administradas. iam: la PassRole acción requiere la PassedToService condición iam: establecida en el servicio especificado. El acceso a Amazon EC2, Amazon S3 y otros servicios no está permitido de forma predeterminada. Consulte Política administrada por IAM para un acceso total (política predeterminada administrada de la versión 2). |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Política administrada por IAM para el acceso de solo lectura por parte del usuario, rol o grupo asociado |
Política de la versión 1 (quedará obsoleta): AmazonElasticMapReduceReadOnlyAccess Nombre de la política de la versión 2 (con ámbito de aplicación): AmazonEMRReadOnlyAccessPolicy_v2 |
Concede a los usuarios permisos de solo lectura para realizar acciones de Amazon EMR. |
Los permisos permiten únicamente acciones específicas de solo lectura de elasticmapreduce. El acceso a Amazon S3 no está permitido de forma predeterminada. Consulte Política administrada por IAM para un acceso de solo lectura (política predeterminada administrada de la versión 2). |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Rol de servicio de EMR predeterminado y política administrada adjunta |
Nombre del rol: EMR_ DefaultRole Política V1 (quedará obsoleta): AmazonElasticMapReduceRole(Rol de servicio EMR) Nombre de la política de la versión 2 (con ámbito de aplicación reducido): AmazonEMRServicePolicy_v2 |
Permite a Amazon EMR llamar a otros AWS servicios en su nombre al aprovisionar recursos y realizar acciones a nivel de servicio. Este rol es necesario para todos los clústeres. |
El rol de servicio de la versión 2 y la política predeterminada de la versión 2 sustituyen a la política y al rol obsoletos. La política agrega un requisito previo según el cual los usuarios deben agregar etiquetas de usuario a los recursos antes de poder usar esta política. Consulte Etiquetado de recursos para usar políticas administradas. Consulte Rol de servicio para Amazon EMR (rol de EMR). |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Rol de servicio para instancias de EC2 del clúster (perfil de instancia de EC2) |
Política de la versión 1 (que quedará obsoleta): EMR_EC2_ (perfil de instancia) DefaultRole Nombre de AmazonElasticMapReduceforla política obsoleta: EC2Role |
Permite que las aplicaciones que se ejecutan en un clúster de EMR accedan a otros recursos de AWS , como Amazon S3. Por ejemplo, si ejecuta trabajos de Apache Spark que procesan datos de Amazon S3, la política debe permitir el acceso a dichos recursos. |
Tanto el rol predeterminado como la política predeterminada están en vías de quedar obsoletos. No hay ninguna política o función gestionada AWS predeterminada que la sustituya. Debe proporcionar una política basada en los recursos o en la identidad. Esto significa que, de forma predeterminada, las aplicaciones que se ejecuten en un clúster de EMR no tienen acceso a Amazon S3 ni a ningún otro recurso, a menos que las agregue manualmente a la política. Consulte Política administrada y rol predeterminados. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Otras políticas de rol de servicio de EC2 |
Nombres de la política actual: AmazonElasticMapReduceforAutoScalingRole, AmazonElasticMapReduceEditorsRole, AmazonEMR CleanupPolicy |
Proporciona los permisos que Amazon EMR necesita para acceder a otros AWS recursos y realizar acciones si utiliza el escalado automático, cuadernos o para limpiar los recursos de EC2. |
No hay cambios para la versión 2. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Asegurar iam: PassRole
Las políticas administradas de forma predeterminada con todos los permisos de Amazon EMR incorporan configuraciones de seguridad iam:PassRole, entre las que se incluyen las siguientes:
Permisos
iam:PassRolesolo para roles específicos de Amazon EMR predeterminados.iam:PassedToServicecondiciones que le permiten usar la política solo con AWS servicios específicos, comoelasticmapreduce.amazonaws.comyec2.amazonaws.com.
Puede ver la versión JSON de las políticas AmazonEMR FullAccessPolicy _v2 y AmazonEMR ServicePolicy _v2
Para crear políticas personalizadas, le recomendamos que comience a partir de las políticas administradas y las edite de acuerdo con sus requisitos.
Para obtener información sobre cómo asociar políticas a los usuarios (entidades principales), consulte Uso de políticas administradas con la AWS Management Console en la Guía del usuario de IAM.
Etiquetado de recursos para usar políticas administradas
AmazonEMR ServicePolicy _v2 y AmazonEMR FullAccessPolicy _v2 dependen del acceso limitado a los recursos que Amazon EMR aprovisiona o utiliza. La reducción del alcance se logra restringiendo el acceso únicamente a los recursos que tienen una etiqueta de usuario predefinida asociada a ellos. Si utiliza cualquiera de estas dos políticas, debe pasar la etiqueta de usuario predefinida for-use-with-amazon-emr-managed-policies =
true al aprovisionar el clúster. A continuación, Amazon EMR propagará automáticamente esa etiqueta. Además, debe agregar una etiqueta de usuario a los recursos que se enumeran en la siguiente sección. Si utiliza la consola de Amazon EMR para lanzar el clúster, consulte Consideraciones sobre el uso de la consola de Amazon EMR para lanzar clústeres con políticas administradas de la versión 2.
Para usar políticas administradas, pase la etiqueta de usuario for-use-with-amazon-emr-managed-policies = true al aprovisionar un clúster con la CLI, el SDK u otro método.
Al pasar la etiqueta, Amazon EMR la propaga a los volúmenes de EBS, las instancias de EC2 y las ENI de subred privada que cree. Amazon EMR también etiqueta automáticamente los grupos de seguridad que cree. Sin embargo, si desea que Amazon EMR se lance con un grupo de seguridad determinado, debe etiquetarlo. En el caso de los recursos que no haya creado Amazon EMR, debe agregar etiquetas a esos recursos. Por ejemplo, debe etiquetar las subredes de Amazon EC2, los grupos de seguridad de EC2 (si no los creó Amazon EMR) y las VPC (si desea que Amazon EMR cree grupos de seguridad). Para lanzar clústeres con políticas administradas desde la versión 2 en las VPC, debe etiquetar esas VPC con la etiqueta de usuario predefinida. Consulte, Consideraciones sobre el uso de la consola de Amazon EMR para lanzar clústeres con políticas administradas de la versión 2.
Etiquetado propagado especificado por el usuario
Amazon EMR etiqueta los recursos que crea mediante las etiquetas de Amazon EMR que especifique al crear un clúster. Amazon EMR aplica etiquetas a los recursos que cree durante la vida útil del clúster.
Amazon EMR propaga las etiquetas de usuario de los siguientes recursos:
-
ENI de Subred privada (interfaces de red elásticas de acceso a servicios)
-
Instancias EC2
-
Volúmenes de EBS
-
Plantillas de lanzamiento de EC2
Grupos de seguridad etiquetados automáticamente
Amazon EMR etiqueta los grupos de seguridad de EC2 que cree con la etiqueta necesaria para las políticas administradas de la versión 2 de Amazon EMR, for-use-with-amazon-emr-managed-policies, independientemente de las etiquetas que especifique en el comando create cluster. En el caso de un grupo de seguridad que se creó antes de la introducción de las políticas administradas de la versión 2, Amazon EMR no etiqueta automáticamente el grupo de seguridad. Si desea utilizar políticas administradas de la versión 2 con los grupos de seguridad predeterminados que ya existen en la cuenta, debe etiquetar los grupos de seguridad manualmente con for-use-with-amazon-emr-managed-policies = true.
Recursos de clúster etiquetados manualmente
Debe etiquetar manualmente algunos recursos del clúster para que los roles predeterminados de Amazon EMR puedan acceder a ellos.
-
Debe etiquetar manualmente los grupos de seguridad de EC2 y las subredes de EC2 con la etiqueta de política administrada de Amazon EMR
for-use-with-amazon-emr-managed-policies. -
Debe etiquetar manualmente una VPC si quiere que Amazon EMR cree grupos de seguridad predeterminados. EMR intentará crear un grupo de seguridad con la etiqueta específica si el grupo de seguridad predeterminado aún no existe.
Amazon EMR etiqueta automáticamente los siguientes recursos:
-
Grupos de seguridad de EC2 creados por EMR
Debe etiquetar de forma manual los siguientes recursos:
-
Subred de EC2
-
Grupos de seguridad de la EC2
De forma opcional, puede etiquetar de forma manual los siguientes recursos:
-
VPC: solo cuando desee que Amazon EMR cree grupos de seguridad
Consideraciones sobre el uso de la consola de Amazon EMR para lanzar clústeres con políticas administradas de la versión 2
Puede aprovisionar clústeres con políticas administradas de la versión 2 mediante la consola de Amazon EMR. Estas son algunas consideraciones que debe tener en cuenta al utilizar la consola para lanzar clústeres de Amazon EMR.
nota
Hemos rediseñado la consola de Amazon EMR. La capacidad de etiquetado automático aún no está disponible en la nueva consola, y la nueva consola tampoco muestra qué recursos (VPC/subredes) deben etiquetarse. Consulte Consola Amazon EMR para obtener más información sobre las diferencias entre la consola antigua y la nueva.
-
No es necesario pasar la etiqueta predefinida. Amazon EMR agrega automáticamente la etiqueta y la propaga a los componentes correspondientes.
-
En el caso de los componentes que deben etiquetarse manualmente, la antigua consola de Amazon EMR intenta etiquetarlos automáticamente si tiene los permisos necesarios para etiquetar los recursos. Si no tiene los permisos para etiquetar los recursos o si desea utilizar la nueva consola, pida al administrador que etiquete esos recursos.
-
No puede lanzar clústeres con políticas administradas de la versión 2, a menos que se cumplan todos los requisitos previos.
-
La consola antigua de Amazon EMR le muestra qué recursos (VPC/subredes) deben etiquetarse.
AWS políticas gestionadas para Amazon EMR
Una política AWS administrada es una política independiente creada y administrada por. AWS AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.
