Añadir AWS Secrets Manager permisos al rol de instancia de Amazon EMR

Amazon EMR utiliza un rol de servicio de IAM para realizar acciones en su nombre para aprovisionar y administrar clústeres. El rol de servicio para instancias de EC2 de clúster, también conocido como el perfil de instancia de EC2 para Amazon EMR, es un tipo especial de rol de servicio que Amazon EMR asigna a cada instancia de EC2 de un clúster en el momento del lanzamiento.

Para definir los permisos para que un clúster de EMR interactúe con los datos de Amazon S3 y otros productos de AWS , defina un perfil de instancia de Amazon EC2 personalizado en lugar de EMR_EC2_DefaultRole al lanzar el clúster. Para obtener más información, consulte Rol de servicio para instancias de EC2 del clúster (perfil de instancia de EC2) y Personalización de roles de IAM.

Añada las siguientes instrucciones al perfil de instancia EC2 predeterminado para permitir que Amazon EMR etiquete las sesiones y acceda al que almacena AWS Secrets Manager los certificados LDAP.

    {
      "Sid": "AllowAssumeOfRolesAndTagging",
      "Effect": "Allow",
      "Action": ["sts:TagSession", "sts:AssumeRole"],
      "Resource": [
        "arn:aws:iam::111122223333:role/LDAP_DATA_ACCESS_ROLE_NAME",
        "arn:aws:iam::111122223333:role/LDAP_USER_ACCESS_ROLE_NAME"
      ]
    },
    {
        "Sid": "AllowSecretsRetrieval",
        "Effect": "Allow",
        "Action": "secretsmanager:GetSecretValue",
        "Resource": [
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:LDAP_SECRET_NAME*",
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:ADMIN_LDAP_SECRET_NAME*"
        ]
    }

nota

Las solicitudes de clúster fallarán si olvida agregar el carácter comodín * al final del nombre del secreto al configurar los permisos de Secrets Manager. El comodín representa las versiones secretas.

También debe limitar el alcance de la AWS Secrets Manager política a solo los certificados que su clúster necesita para aprovisionar instancias.