Uso de roles vinculados a servicios para Amazon EMR para la limpieza - Amazon EMR

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a servicios para Amazon EMR para la limpieza

Amazon EMR usa AWS Identity and Access Management (IAM) roles vinculados a servicios. Un rol vinculado a un servicio es un tipo de IAM rol único que está vinculado directamente a Amazon. EMR Amazon predefine las funciones vinculadas al servicio EMR e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en tu nombre.

Los roles vinculados a servicios funcionan junto con el rol de EMR servicio de Amazon y el perfil de EC2 instancia de Amazon para Amazon. EMR Para obtener más información acerca del rol de servicio y del perfil de instancia, consulte Configurar las funciones IAM de servicio para EMR los permisos de Amazon a AWS los servicios y recursos.

Un rol vinculado a un servicio facilita la configuración de Amazon EMR porque no tienes que añadir manualmente los permisos necesarios. Amazon EMR define los permisos de sus funciones vinculadas a servicios y, a menos que se defina lo contrario, solo Amazon EMR puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.

Puedes eliminar este rol vinculado al servicio para Amazon EMR solo después de eliminar cualquier recurso relacionado y cancelar todos los EMR clústeres de la cuenta. Esto protege tus EMR recursos de Amazon para que no puedas eliminar inadvertidamente el permiso de acceso a los recursos.

Uso de roles vinculados a servicios para limpieza

Amazon EMR utiliza la AWSServiceRoleForEMRCleanupfunción basada en servicios para conceder a Amazon EMR permiso para cancelar y eliminar EC2 los recursos de Amazon en tu nombre si la función EMR vinculada al servicio de Amazon pierde esa capacidad. Amazon EMR crea el rol vinculado al servicio automáticamente durante la creación del clúster si aún no existe.

El rol AWSServiceRoleForEMRCleanup vinculado al servicio confía en los siguientes servicios para asumir el rol:

  • elasticmapreduce.amazonaws.com

La política de permisos de roles AWSServiceRoleForEMRCleanup vinculados al servicio permite EMR a Amazon realizar las siguientes acciones en los recursos especificados:

  • Acción: DescribeInstances en ec2

  • Acción: DescribeSpotInstanceRequests en ec2

  • Acción: ModifyInstanceAttribute en ec2

  • Acción: TerminateInstances en ec2

  • Acción: CancelSpotInstanceRequests en ec2

  • Acción: DeleteNetworkInterface en ec2

  • Acción: DescribeInstanceAttribute en ec2

  • Acción: DescribeVolumeStatus en ec2

  • Acción: DescribeVolumes en ec2

  • Acción: DetachVolume en ec2

  • Acción: DeleteVolume en ec2

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o función) crear, editar o eliminar la descripción de una función vinculada a un servicio.

Crear un rol vinculado a un servicio para Amazon EMR

No es necesario crear el rol manualmente. AWSServiceRoleForEMRCleanup Cuando lanzas un clúster, ya sea por primera vez o cuando el rol AWSServiceRoleForEMRCleanup vinculado al servicio no esté presente, Amazon EMR crea el rol AWSServiceRoleForEMRCleanup vinculado al servicio automáticamente. Debe tener permisos para crear un rol vinculado a servicios. Para ver una instrucción de ejemplo que añade esta capacidad a la política de permisos de una entidad de IAM (como un usuario, un grupo o un rol), consulte Uso de roles vinculados a servicios para Amazon EMR para la limpieza.

importante

Si utilizaste Amazon EMR antes del 24 de octubre de 2017, cuando no se admitían las funciones vinculadas a servicios, Amazon EMR creó la función AWSServiceRoleForEMRCleanup vinculada a servicios en tu cuenta. Para obtener más información, consulta Apareció un nuevo rol en mi cuenta. IAM

Edición de un rol vinculado a un servicio para Amazon EMR

Amazon EMR no te permite editar el rol AWSServiceRoleForEMRCleanup vinculado al servicio. Después de crear un rol vinculado a servicios, no puede cambiarle el nombre a este rol vinculado a servicios, ya que varias entidades pueden hacer referencia al rol vinculado a servicios. Sin embargo, puedes editar la descripción del rol vinculado al servicio utilizando. IAM

Edición de la descripción de un rol vinculado a un servicio (consola) IAM

Puede utilizar la consola de IAM para editar la descripción de un rol vinculado a un servicio.

Para editar la descripción de un rol vinculado a un servicio (consola)
  1. En el panel de navegación de la consola de IAM, elija Roles (Funciones).

  2. Seleccione el nombre del rol que desea modificar.

  3. En el extremo derecho de Descripción del rol, seleccione Editar.

  4. Ingrese una descripción nueva en el cuadro y elija Save changes (Guardar cambios).

Edición de la descripción de un rol vinculado a un servicio () IAM CLI

Puede utilizar IAM los comandos de AWS Command Line Interface para editar la descripción de un rol vinculado a un servicio.

Para cambiar la descripción de un rol vinculado a un servicio (CLI)
  1. (Opcional) Para ver la descripción actual de un rol, ejecute uno de los siguientes comandos:

    $ aws iam get-role --role-name role-name

    Utilice el nombre del rol, no elARN, para hacer referencia a los roles con los CLI comandos. Por ejemplo, si un rol tiene lo siguienteARN:arn:aws:iam::123456789012:role/myrole, se hace referencia al rol comomyrole.

  2. Para actualizar la descripción de un rol vinculado a un servicio, ejecute uno de los siguientes comandos:

    $ aws iam update-role-description --role-name role-name --description description

Edición de la descripción de un rol vinculado a un servicio () IAM API

Puede utilizar el IAM API para editar la descripción de un rol vinculado a un servicio.

Para cambiar la descripción de un rol vinculado a un servicio (API)
  1. (Opcional) Para ver la descripción actual de una función, ejecute el siguiente comando:

    IAM API: GetRole

  2. Para actualizar la descripción de una función, use el siguiente comando:

    IAM API: UpdateRoleDescription

Eliminar un rol vinculado a un servicio para Amazon EMR

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a servicios, le recomendamos que elimine dicho rol vinculado a servicios. De esta forma, no tendrá una entidad no utilizada cuya supervisión o mantenimiento no se realizan de forma activa. Sin embargo, debe limpiar el rol vinculado al servicio antes de eliminarlo.

Saneamiento de un rol vinculado a servicios

Antes de poder eliminar un rol vinculado IAM a un servicio, primero debes confirmar que el rol vinculado al servicio no tiene sesiones activas y eliminar todos los recursos que utilice el rol vinculado al servicio.

Para comprobar si el rol vinculado a un servicio tiene una sesión activa en la consola de IAM
  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Seleccione Roles en el panel de navegación. Seleccione el nombre (no la casilla de verificación) del rol vinculado al servicio. AWSServiceRoleForEMRCleanup

  3. En la página Resumen del rol vinculado a servicios seleccionado, elija Asesor de acceso.

  4. En la pestaña Access Advisor, revise la actividad reciente del rol vinculado al servicio.

    nota

    Si no estás seguro de si Amazon EMR está utilizando el rol AWSServiceRoleForEMRCleanup vinculado al servicio, puedes intentar eliminar el rol vinculado al servicio. Si el servicio está utilizando el rol vinculado a servicios, este no podrá eliminarse y podrá ver las regiones en las que se está utilizando el rol vinculado a servicios. Si el rol vinculado a servicios se está utilizando, debe esperar a que la sesión finalice para poder eliminar el rol vinculado a servicios. No se puede revocar la sesión de un rol vinculado a servicios.

Para eliminar EMR los recursos de Amazon utilizados por AWSServiceRoleForEMRCleanup

Eliminar un rol vinculado a un servicio (consola) IAM

Puede utilizar la consola de IAM para eliminar un rol vinculado a un servicio.

Para eliminar un rol vinculado a un servicio (consola)
  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Seleccione Roles en el panel de navegación. Seleccione la casilla de verificación situada junto a ella AWSServiceRoleForEMRCleanup, no el nombre o la fila en sí.

  3. En Role actions (Acciones de rol) en la parte superior de la página, elija Delete role (Eliminar rol).

  4. En el cuadro de diálogo de confirmación, revise los datos del servicio al que se accedió por última vez, que muestran cuándo accedió por última vez a un AWS servicio cada uno de los roles seleccionados. Esto lo ayuda a confirmar si el rol está actualmente activo. Para continuar, elija Yes, Delete.

  5. Consulte las notificaciones de la consola de IAM para monitorizar el progreso de la eliminación de la función vinculada al servicio. Como la eliminación de la función IAM vinculada al servicio es asincrónica, después de enviar la función vinculada al servicio para su eliminación, la tarea de eliminación puede realizarse correctamente o no. Si la tarea no se realiza correctamente, puede seleccionar View details (Ver detalles) o View Resources (Ver recursos) desde las notificaciones para obtener información sobre el motivo por el que no se pudo eliminar el rol. Si la eliminación no pudo producirse porque hay recursos en el servicio que está utilizando el rol, entonces el motivo del error incluye una lista de recursos.

Eliminar IAM CLI un rol vinculado a un servicio ()

Puede usar IAM los comandos de AWS Command Line Interface para eliminar un rol vinculado a un servicio. Como los roles vinculados a servicios no se puede eliminar si están en uso o tienen recursos asociados, debe enviar una solicitud de eliminación. Si estas condiciones no se cumplen, dicha solicitud se puede denegar.

Para eliminar un rol vinculado a un servicio (CLI)
  1. Para comprobar el estado de la tarea de eliminación, debe apuntar el valor de deletion-task-id de la respuesta. Escriba el siguiente comando para enviar una solicitud de eliminación de un rol vinculado a un servicio:

    $ aws iam delete-service-linked-role --role-name AWSServiceRoleForEMRCleanup
  2. Escriba el siguiente comando para comprobar el estado de la tarea de eliminación:

    $ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id

    El estado de la tarea de eliminación puede ser NOT_STARTED, IN_PROGRESS, SUCCEEDED o FAILED. Si ocurre un error durante la eliminación, la llamada devuelve el motivo del error para que pueda resolver el problema.

Eliminar un rol vinculado a un servicio () IAM API

Puede usar el para eliminar un IAM API rol vinculado a un servicio. Como los roles vinculados a servicios no se puede eliminar si están en uso o tienen recursos asociados, debe enviar una solicitud de eliminación. Si estas condiciones no se cumplen, dicha solicitud se puede denegar.

Para eliminar un rol vinculado a un servicio (API)
  1. Para enviar una solicitud de eliminación de un rol vinculado a un servicio, llama. DeleteServiceLinkedRole En la solicitud, especifique el nombre del AWSServiceRoleForEMRCleanup rol.

    Para comprobar el estado de la tarea de eliminación, debe apuntar el valor de DeletionTaskId de la respuesta.

  2. Para comprobar el estado de la tarea de eliminación, realice una llamada a GetServiceLinkedRoleDeletionStatus. En la solicitud, especifique el valor de DeletionTaskId.

    El estado de la tarea de eliminación puede ser NOT_STARTED, IN_PROGRESS, SUCCEEDED o FAILED. Si ocurre un error durante la eliminación, la llamada devuelve el motivo del error para que pueda resolver el problema.

Regiones compatibles para AWSServiceRoleForEMRCleanup

Amazon EMR admite el uso del rol AWSServiceRoleForEMRCleanup vinculado al servicio en las siguientes regiones.

Nombre de la región Identidad de la región Support en Amazon EMR
Este de EE. UU. (Norte de Virginia) us-east-1
Este de EE. UU. (Ohio) us-east-2
EE. UU Oeste (Norte de California) us-west-1
EE. UU. Oeste (Oregon) us-west-2
Asia Pacífico (Bombay) ap-south-1
Asia Pacífico (Osaka) ap-northeast-3
Asia Pacífico (Seúl) ap-northeast-2
Asia Pacífico (Singapur) ap-southeast-1
Asia Pacífico (Sídney) ap-southeast-2
Asia Pacífico (Tokio) ap-northeast-1
Canadá (Central) ca-central-1
Europa (Fráncfort) eu-central-1
Europa (Irlanda) eu-west-1
Europa (Londres) eu-west-2
Europa (París) eu-west-3
América del Sur (São Paulo) sa-east-1