EC2 profil d'instance pour Amazon EMR - Amazon EMR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

EC2 profil d'instance pour Amazon EMR

Amazon EMR utilise un rôle de service IAM pour effectuer des actions en votre nom afin d'allouer et de gérer les clusters. Le rôle de service pour les EC2 instances de cluster, également appelé profil d'EC2 instance pour Amazon EMR, est un type spécial de rôle de service attribué à chaque EC2 instance d'un cluster lors du lancement.

Pour définir les autorisations d'interaction du cluster EMR avec les données Amazon S3 et avec le métastore Hive protégé par Apache Ranger et d'autres AWS services, définissez un profil d' EC2 instance personnalisé à utiliser à la place du profil EMR_EC2_DefaultRole lorsque vous lancez votre cluster.

Pour plus d’informations, consultez Rôle de service pour les EC2 instances de cluster (profil d'EC2instance) et Personnalisez les rôles IAM avec Amazon EMR.

Vous devez ajouter les instructions suivantes au profil d' EC2 instance par défaut pour qu'Amazon EMR puisse baliser les sessions et accéder à celles AWS Secrets Manager qui stockent les certificats TLS.

    {
      "Sid": "AllowAssumeOfRolesAndTagging",
      "Effect": "Allow",
      "Action": ["sts:TagSession", "sts:AssumeRole"],
      "Resource": [
        "arn:aws:iam::<AWS_ACCOUNT_ID>:role/<RANGER_ENGINE-PLUGIN_DATA_ACCESS_ROLE_NAME>",
        "arn:aws:iam::<AWS_ACCOUNT_ID>:role/<RANGER_USER_ACCESS_ROLE_NAME>"
      ]
    },
    {
        "Sid": "AllowSecretsRetrieval",
        "Effect": "Allow",
        "Action": "secretsmanager:GetSecretValue",
        "Resource": [
            "arn:aws:secretsmanager:<REGION>:<AWS_ACCOUNT_ID>:secret:<PLUGIN_TLS_SECRET_NAME>*",
            "arn:aws:secretsmanager:<REGION>:<AWS_ACCOUNT_ID>:secret:<ADMIN_RANGER_SERVER_TLS_SECRET_NAME>*"
        ]
    }
Note

Pour les autorisations du Secrets Manager, n'oubliez pas le caractère générique (« * ») à la fin du nom du secret, sinon vos demandes échoueront. Le caractère générique est destiné aux versions secrètes.

Note

Limitez le champ d'application de la AWS Secrets Manager politique aux seuls certificats requis pour le provisionnement.