Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Función de servicio para EMR ordenadores portátiles
Cada EMR bloc de notas necesita permisos para acceder a otros AWS recursos y realizar acciones. Las IAM políticas asociadas a esta función de servicio proporcionan permisos para que el portátil interactúe con otros AWS servicios. Al crear un bloc de notas utilizando el AWS Management Console, se especifica un rol AWS de servicio. Puede utilizar el rol predeterminado, EMR_Notebooks_DefaultRole o especificar un rol que haya creado. Si no se ha creado un bloc de notas anteriormente, puede elegir crear el rol predeterminado.
-
El nombre del rol predeterminado es
EMR_Notebooks_DefaultRole. -
Las políticas administradas predeterminadas asociadas a
EMR_Notebooks_DefaultRolesonAmazonElasticMapReduceEditorsRoleyS3FullAccessPolicy.
Su rol de servicio debe usar la siguiente política de confianza.
importante
La siguiente política de confianza incluye las claves de condición aws:SourceAccountglobal aws:SourceArny las claves de condición, que limitan los permisos que concedes EMR a Amazon a determinados recursos de tu cuenta. Con estas, podrá protegerse contra el problema del suplente confuso.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "elasticmapreduce.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "<account-id>" }, "ArnLike": { "aws:SourceArn": "arn:aws:elasticmapreduce:<region>:<account-id>:*" } } } ] }
El contenido de la versión 1 de AmazonElasticMapReduceEditorsRole es el siguiente.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "elasticmapreduce:ListInstances", "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListSteps" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "aws:elasticmapreduce:editor-id", "aws:elasticmapreduce:job-flow-id" ] } } } ] }
A continuación, se muestra el contenido de S3FullAccessPolicy. S3FullAccessPolicyPermite que su función de servicio para EMR Notebooks realice todas las acciones de Amazon S3 en los objetos de su Cuenta de AWS. Al crear un rol de servicio personalizado para EMR Notebooks, debe otorgarle permisos a Amazon S3 para ese rol de servicio.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": "*" } ] }
Puede limitar el acceso de lectura y escritura para su rol de servicio a la ubicación de Amazon S3 en la que desee guardar los archivos de su cuaderno. Utilice el siguiente conjunto mínimo de permisos de Amazon S3.
"s3:PutObject", "s3:GetObject", "s3:GetEncryptionConfiguration", "s3:ListBucket", "s3:DeleteObject"
Si su bucket de Amazon S3 está cifrado, debe incluir los siguientes permisos para AWS Key Management Service.
"kms:Decrypt", "kms:GenerateDataKey", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey"
Cuando vinculas los repositorios de Git a tu bloc de notas y necesitas crear un secreto para el repositorio, debes añadir el secretsmanager:GetSecretValue permiso en la IAM política adjunta al rol de servicio para los EMR blocs de notas de Amazon. A continuación se muestra una política de ejemplo:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] }
EMRPermisos de rol de servicio de Notebook
En esta tabla se enumeran las acciones que realiza EMR Notebooks con el rol de servicio, junto con los permisos necesarios para cada acción.
| Acción | Permisos |
|---|---|
| Establezca un canal de red seguro entre un portátil y un EMR clúster de Amazon y lleve a cabo las acciones de limpieza necesarias. |
|
| Usa las credenciales de Git almacenadas en AWS Secrets Manager para vincular los repositorios de Git a un cuaderno. |
|
| Aplica AWS etiquetas a la interfaz de red y a los grupos de seguridad predeterminados que EMR Notebooks crea al configurar el canal de red seguro. Para obtener más información, consulte Tagging AWS resources (Etiquetado de los recursos de ). |
|
| Acceda a los archivos y metadatos de los cuadernos en Amazon S3 o cárguelos. |
Los siguientes permisos solo son necesarios si utiliza un bucket de Amazon S3 cifrado.
|
EMRLos cuadernos actualizan las políticas gestionadas AWS
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas para EMR ordenadores portátiles desde el 1 de marzo de 2021.
| Cambio | Descripción | Fecha |
|---|---|---|
AmazonElasticMapReduceEditorsRole - Added
permissions |
EMRSe han añadido blocs de notas |
8 de febrero de 2023 |
EMRLos cuadernos empezaron a registrar los cambios |
EMRNotebooks comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas. |
8 de febrero de 2023 |
