EC2 perfil de instancia para Amazon EMR

Amazon EMR utiliza un rol de servicio de IAM para realizar acciones en su nombre para aprovisionar y administrar clústeres. La función de servicio para EC2 las instancias de clúster, también denominada perfil de EC2 instancia para Amazon EMR, es un tipo especial de función de servicio que se asigna a cada EC2 instancia de un clúster en el momento del lanzamiento.

Para definir los permisos para la interacción del clúster de EMR con los datos de Amazon S3 y con el metaalmacén de Hive protegido por Apache Ranger y otros AWS servicios, defina un perfil de EC2 instancia personalizado para usarlo en lugar del que EMR_EC2_DefaultRole se utiliza al lanzar el clúster.

Para obtener más información, consulte Función de servicio para EC2 instancias de clúster (perfil de EC2 instancia) y Personalización de roles de IAM con Amazon EMR.

Debe añadir las siguientes instrucciones al perfil de EC2 instancia predeterminado de Amazon EMR para poder etiquetar las sesiones y acceder al AWS Secrets Manager que almacena los certificados TLS.


    {
      "Sid": "AllowAssumeOfRolesAndTagging",
      "Effect": "Allow",
      "Action": ["sts:TagSession", "sts:AssumeRole"],
      "Resource": [
        "arn:aws:iam::<AWS_ACCOUNT_ID>:role/<RANGER_ENGINE-PLUGIN_DATA_ACCESS_ROLE_NAME>",
        "arn:aws:iam::<AWS_ACCOUNT_ID>:role/<RANGER_USER_ACCESS_ROLE_NAME>"
      ]
    },
    {
        "Sid": "AllowSecretsRetrieval",
        "Effect": "Allow",
        "Action": "secretsmanager:GetSecretValue",
        "Resource": [
            "arn:aws:secretsmanager:<REGION>:<AWS_ACCOUNT_ID>:secret:<PLUGIN_TLS_SECRET_NAME>*",
            "arn:aws:secretsmanager:<REGION>:<AWS_ACCOUNT_ID>:secret:<ADMIN_RANGER_SERVER_TLS_SECRET_NAME>*"
        ]
    }

nota

Para los permisos de Secrets Manager, no olvide el comodín (“*”) que aparece al final del nombre del secreto o sus solicitudes fallarán. El comodín es para las versiones de los secretos.

nota

Limite el alcance de la AWS Secrets Manager política a solo los certificados necesarios para el aprovisionamiento.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Roles de IAM para la integración nativa con Apache Ranger

Rol de IAM para Apache Ranger