Configurer l'accès intercompte - Amazon EMR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer l'accès intercompte

Pour configurer l'accès entre comptes pour EMR Serverless, procédez comme suit. Dans l'exemple, AccountA il s'agit du compte sur lequel vous avez créé votre application Amazon EMR Serverless et AccountB du compte sur lequel se trouve votre Amazon DynamoDB.

  1. Créez une table DynamoDB dans. AccountB Pour plus d'informations, voir Étape 1 : Création d'une table.

  2. Créez un rôle Cross-Account-Role-B IAM permettant d'accéder à AccountB la table DynamoDB.

    1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

    2. Choisissez Rôles, puis créez un nouveau rôle appeléCross-Account-Role-B. Pour plus d'informations sur la création de rôles IAM, consultez la section Création de rôles IAM dans le guide de l'utilisateur.

    3. Créez une politique IAM qui accorde les autorisations d'accès à la table DynamoDB entre comptes. Attachez ensuite la politique IAM au Cross-Account-Role-B.

      Voici une politique qui autorise l'accès à une table DynamoDBCrossAccountTable.

    4. Modifiez la relation de confiance du rôle Cross-Account-Role-B.

      Pour configurer la relation de confiance pour le rôle, choisissez l'onglet Relations de confiance dans la console IAM pour le rôle que vous avez créé à l'étape 2 : Cross-Account-Role-B.

      Sélectionnez Modifier la relation de confiance, puis ajoutez le document de politique suivant. Ce document permet AccountA à Job-Execution-Role-A in d'assumer ce Cross-Account-Role-B rôle.

      JSON
      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sts:AssumeRole"
      ],
      "Resource": "arn:aws:iam::123456789012:role/Job-Execution-Role-A",
      "Sid": "AllowSTSAssumerole"
    }
  ]
}

    5. Accordez Job-Execution-Role-A AccountA avec - STS Assume role les autorisations d'assumerCross-Account-Role-B.

      Dans la console IAM pour Compte AWS AccountA, sélectionnezJob-Execution-Role-A. Ajoutez la déclaration de politique générale suivante au rôle Job-Execution-Role-A pour autoriser l'action AssumeRole sur le rôle Cross-Account-Role-B.

      JSON
      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sts:AssumeRole"
      ],
      "Resource": [
        "arn:aws:iam::123456789012:role/Cross-Account-Role-B"
      ],
      "Sid": "AllowSTSAssumerole"
    }
  ]
}

    6. Définissez la dynamodb.customAWSCredentialsProvider propriété avec une valeur comme com.amazonaws.emr.AssumeRoleAWSCredentialsProvider dans la classification des sites principaux. Définissez la variable d'environnement ASSUME_ROLE_CREDENTIALS_ROLE_ARN avec la valeur ARN deCross-Account-Role-B.

  3. Exécutez le job Spark ou Hive en utilisantJob-Execution-Role-A.