Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Rôle IAM pour Apache Ranger

PDF
Mode de mise au point
Rôle IAM pour Apache Ranger - Amazon EMR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ce rôle fournit des informations d'identification aux moteurs d'exécution fiables, tels qu'Apache Hive et Amazon EMR Record Server, pour accéder aux données Amazon S3. Utilisez uniquement ce rôle pour accéder aux données Amazon S3, y compris les clés KMS, si vous utilisez S3 SSE-KMS.

Ce rôle doit être créé avec la politique minimale indiquée dans l'exemple suivant.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CloudwatchLogsPermissions",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Effect": "Allow",
      "Resource": [
          "arn:aws:logs:<REGION>:<AWS_ACCOUNT_ID>:<CLOUDWATCH_LOG_GROUP_NAME_IN_SECURITY_CONFIGURATION>:*"
      ]
    },
    {
      "Sid": "BucketPermissionsInS3Buckets",
      "Action": [
        "s3:CreateBucket",
        "s3:DeleteBucket",
        "s3:ListAllMyBuckets",
        "s3:ListBucket"
      ],
      "Effect": "Allow",
      "Resource": [
 *"arn:aws:s3:::amzn-s3-demo-bucket1",
        "arn:aws:s3:::amzn-s3-demo-bucket2"*
        ]
    },
    {
      "Sid": "ObjectPermissionsInS3Objects",
      "Action": [
        "s3:GetObject",
        "s3:DeleteObject",
        "s3:PutObject"
      ],
      "Effect": "Allow",
      "Resource": [ 
 *"arn:aws:s3:::amzn-s3-demo-bucket1/*",
          "arn:aws:s3:::amzn-s3-demo-bucket2/*"
*        ]
    }
  ]
}
Important

L'astérisque « * » à la fin de la ressource de CloudWatch journal doit être inclus pour autoriser l'écriture dans les flux de journaux.

Note

Si vous utilisez la vue de cohérence EMRFS ou le chiffrement S3-SSE, ajoutez des autorisations aux tables DynamoDB et aux clés KMS afin que les moteurs d'exécution puissent interagir avec ces moteurs.

Le rôle IAM pour Apache Ranger est assumé par le rôle de profil d' EC2 instance. Utilisez l'exemple suivant pour créer une politique de confiance qui permet au rôle IAM d'Apache Ranger d'être assumé par le rôle de profil d' EC2 instance.

    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/<EC2 INSTANCE PROFILE ROLE NAME eg. EMR_EC2_DefaultRole>"
      },
      "Action": ["sts:AssumeRole", "sts:TagSession"]
    }
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.