Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acerca del rol de servicio de EMR Studio
Cada EMR Studio utiliza un rol de IAM con permisos que permiten al estudio interactuar con otros servicios. AWS Esta función de servicio debe incluir permisos que permitan a EMR Studio establecer un canal de red seguro entre los espacios de trabajo y los clústeres, almacenar los archivos del bloc de notas y acceder a ellos AWS Secrets Manager al vincular un espacio de trabajo a un repositorio de Git. Amazon S3 Control
Utilice el rol de servicio de Studio (en lugar de las políticas de sesión) para definir todos los permisos de acceso a Amazon S3 para almacenar los archivos de cuadernos y para definir los permisos de acceso de AWS Secrets Manager .
Cómo crear un rol de servicio para EMR Studio en Amazon o EC2 Amazon EKS
Siga las instrucciones de Creación de un rol para delegar permisos a un AWS servicio para crear el rol de servicio con la siguiente política de confianza.
importante
La siguiente política de confianza incluye las claves de condición globales
aws:SourceArnyaws:SourceAccountpara limitar los permisos que concede a EMR Studio a determinados recursos de su cuenta. Si lo hace, podrá protegerse contra el problema del suplente confuso.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "elasticmapreduce.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "<account-id>" }, "ArnLike": { "aws:SourceArn": "arn:aws:elasticmapreduce:<region>:<account-id>:*" } } } ] }Quite los permisos de rol predeterminados. A continuación, incluya los permisos del siguiente ejemplo de política de permisos de IAM. Como opción, puede crear una política personalizada que usa Permisos del rol de servicio de EMR Studio.
importante
-
Para que el control de acceso EC2 basado en etiquetas de Amazon funcione con EMR Studio, debe configurar el acceso a
ModifyNetworkInterfaceAttributela API tal y como se muestra en la siguiente política. -
Para asegurarse de que EMR Studio trabaje con el rol de servicio, no debe cambiar ninguna de estas instrucciones:
AllowAddingEMRTagsDuringDefaultSecurityGroupCreationyAllowAddingTagsDuringEC2ENICreation. -
Para usar la política de ejemplo, debe etiquetar los siguientes recursos con la clave
"for-use-with-amazon-emr-managed-policies"y el valor"true".-
Su Amazon Virtual Private Cloud (VPC) para EMR Studio.
-
Cada subred que desee utilizar con el estudio.
-
Cualquier grupo de seguridad de EMR Studio personalizado. Debe etiquetar los grupos de seguridad que haya creado durante el período de vista previa de EMR Studio si desea seguir utilizándolos.
-
Secretos guardados en él AWS Secrets Manager que los usuarios de Studio utilizan para vincular los repositorios de Git a un espacio de trabajo.
Puede aplicar etiquetas a los recursos mediante la pestaña Etiquetas de la pantalla de recursos correspondiente de la AWS Management Console.
-
Cuando proceda, cambie el
*"Resource":"en la siguiente política para especificar el nombre de recurso de Amazon (ARN) de los recursos que la instrucción cubre en sus casos de uso.*"{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowEMRReadOnlyActions", "Effect": "Allow", "Action": [ "elasticmapreduce:ListInstances", "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListSteps" ], "Resource": "*" }, { "Sid": "AllowEC2ENIActionsWithEMRTags", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true" } } }, { "Sid": "AllowEC2ENIAttributeAction", "Effect": "Allow", "Action": [ "ec2:ModifyNetworkInterfaceAttribute" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Sid": "AllowEC2SecurityGroupActionsWithEMRTags", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:DeleteNetworkInterfacePermission" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true" } } }, { "Sid": "AllowDefaultEC2SecurityGroupsCreationWithEMRTags", "Effect": "Allow", "Action": [ "ec2:CreateSecurityGroup" ], "Resource": [ "arn:aws:ec2:*:*:security-group/*" ], "Condition": { "StringEquals": { "aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true" } } }, { "Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags", "Effect": "Allow", "Action": [ "ec2:CreateSecurityGroup" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true" } } }, { "Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringEquals": { "aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true", "ec2:CreateAction": "CreateSecurityGroup" } } }, { "Sid": "AllowEC2ENICreationWithEMRTags", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "StringEquals": { "aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true" } } }, { "Sid": "AllowEC2ENICreationInSubnetAndSecurityGroupWithEMRTags", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true" } } }, { "Sid": "AllowAddingTagsDuringEC2ENICreation", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Sid": "AllowEC2ReadOnlyActions", "Effect": "Allow", "Action": [ "ec2:DescribeSecurityGroups", "ec2:DescribeNetworkInterfaces", "ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeSubnets", "ec2:DescribeVpcs" ], "Resource": "*" }, { "Sid": "AllowSecretsManagerReadOnlyActionsWithEMRTags", "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:*", "Condition": { "StringEquals": { "aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true" } } }, { "Sid": "AllowWorkspaceCollaboration", "Effect": "Allow", "Action": [ "iam:GetUser", "iam:GetRole", "iam:ListUsers", "iam:ListRoles", "sso:GetManagedApplicationInstance", "sso-directory:SearchUsers" ], "Resource": "*" } ] }-
Conceda a su rol de servicio acceso de lectura y escritura a su ubicación de Amazon S3 para EMR Studio. Utilice el siguiente conjunto mínimo de permisos. Para obtener más información, consulte el ejemplo Amazon S3: permite el acceso de lectura y escritura a objetos en un bucket de S3 mediante programación y en la consola.
"s3:PutObject", "s3:GetObject", "s3:GetEncryptionConfiguration", "s3:ListBucket", "s3:DeleteObject"Si cifra su bucket de Amazon S3, incluya los siguientes permisos para AWS Key Management Service.
"kms:Decrypt", "kms:GenerateDataKey", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey"-
Si quiere controlar el acceso a los secretos de Git a nivel de usuario, agregue permisos basados en etiquetas a
secretsmanager:GetSecretValueen la política de roles de usuario de EMR Studio y elimine los permisos a la políticasecretsmanager:GetSecretValuede la política de roles de servicio de EMR Studio. Para obtener más información acerca de cómo utilizar permisos detallados, consulte Creación de políticas de permisos para los usuarios de EMR Studio.
Rol de servicio mínimo para EMR sin servidor
Si desea ejecutar cargas de trabajo interactivas con EMR sin servidor a través de los cuadernos de EMR Studio, utilice la misma política de confianza que empleó para configurar EMR Studio en la sección anterior: Cómo crear un rol de servicio para EMR Studio en Amazon o EC2 Amazon EKS.
Para su política de IAM, la política mínima viable tiene los siguientes permisos. Actualice bucket-name
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": ["arn:aws:s3:::bucket-name/*"]
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": ["arn:aws:s3:::bucket-name"]
}
]
}Si pretende usar un bucket de Amazon S3 cifrado, agregue los siguientes permisos a su política:
"kms:Decrypt", "kms:GenerateDataKey", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey"
Permisos del rol de servicio de EMR Studio
En la siguiente tabla se enumeran las operaciones que EMR Studio realiza con el rol de servicio, junto con las acciones de IAM necesarias para cada operación.
| Operación | Acciones |
|---|---|
| Establezca un canal de red seguro entre un espacio de trabajo y un clúster de EMR y lleve a cabo las acciones de limpieza necesarias. |
|
| Usa las credenciales de Git almacenadas AWS Secrets Manager para vincular los repositorios de Git a un espacio de trabajo. |
|
| Aplique AWS etiquetas a la interfaz de red y a los grupos de seguridad predeterminados que EMR Studio crea al configurar el canal de red seguro. Para obtener más información, consulte Tagging AWS resources (Etiquetado de los recursos de ). |
|
| Acceda a los archivos y metadatos de los cuadernos en Amazon S3 o cárguelos. |
Si usa un bucket de Amazon S3 cifrado, incluya los siguientes permisos.
|
| Habilite y configure la colaboración en el espacio de trabajo. |
|
| Cifre las libretas y los archivos del espacio de trabajo de EMR Studio mediante claves administradas por el cliente (CMK) con AWS Key Management Service |
|
