IAMpolitiques pour les Amazon EMR Serverless appels dans Step Functions

Lorsque vous créez une machine d'état à l'aide de la console, un rôle d'exécution est Step Functions automatiquement créé pour votre machine d'état avec le moins de privilèges requis. Ces IAM rôles générés automatiquement sont valides pour la machine à états Région AWS dans laquelle vous créez la machine à états.

Les exemples de modèles suivants montrent comment AWS Step Functions générer des IAM politiques basées sur les ressources de votre définition de machine à états. Pour plus d’informations, consultez Comment Step Functions génère IAM des politiques pour les services intégrés et Découvrez les modèles d'intégration des services dans Step Functions.

Lorsque vous créez des IAM politiques, nous vous recommandons de ne pas y inclure de caractères génériques. En tant que bonne pratique en matière de sécurité, vous devez limiter autant que possible vos politiques. Vous ne devez utiliser des politiques dynamiques que lorsque certains paramètres d'entrée ne sont pas connus pendant l'exécution.

En outre, les utilisateurs administrateurs doivent faire preuve de prudence lorsqu'ils accordent à des utilisateurs non administrateurs des rôles d'exécution pour exécuter les machines d'état. Nous vous recommandons d'inclure passRole des politiques dans les rôles d'exécution si vous créez vous-même des politiques. Nous vous recommandons également d'ajouter les clés de aws:SourceAccount contexte aws:SourceARN et dans les rôles d'exécution.

Dans cette rubrique

IAMexemples de politiques

IAMexemples de politiques pour l'intégration EMR sans serveur avec Step Functions

IAMexemple de politique pour CreateApplication
IAMexemple de politique pour StartApplication
IAMexemple de politique pour StopApplication
IAMexemple de politique pour DeleteApplication
IAMexemple de politique pour StartJobRun
IAMexemple de politique pour CancelJobRun

IAMexemple de politique pour CreateApplication

Voici un exemple de IAM politique pour une machine à états dotée d'un CreateApplication État du flux de travail des tâches état.

Note

Vous devez spécifier les CreateServiceLinkedRole autorisations dans vos IAM politiques lors de la création de la toute première application de votre compte. Par la suite, il n'est pas nécessaire d'ajouter cette autorisation. Pour plus d'informations sur CreateServiceLinkedRole, voir CreateServiceLinkedRolele https://docs.aws.amazon.com/IAM/ dernier/ /. APIReference

Les ressources statiques et dynamiques pour les politiques suivantes sont identiques.

Run a Job (.sync)


{
   "Version": "2012-10-17",
   "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "emr-serverless:CreateApplication"
            ],
            "Resource": [
                "arn:aws:emr-serverless:{{region}}:{{accountId}}:/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "emr-serverless:GetApplication",
                "emr-serverless:DeleteApplication"
            ],
            "Resource": [
                "arn:aws:emr-serverless:{{region}}:{{accountId}}:/applications/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "events:PutTargets",
                "events:PutRule",
                "events:DescribeRule"
            ],
            "Resource": [
                "arn:aws:events:{{region}}:{{accountId}}:rule/StepFunctionsGetEventsForEMRServerlessApplicationRule"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::{{accountId}}:role/aws-service-role/ops.emr-serverless.amazonaws.com/AWS ServiceRoleForAmazonEMRServerless*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "ops.emr-serverless.amazonaws.com"
                }
            }
        }
   ]
}

Request Response


{
   "Version": "2012-10-17",
   
   "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "emr-serverless:CreateApplication"
            ],
            "Resource": [
                "arn:aws:emr-serverless:{{region}}:{{accountId}}:/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::{{accountId}}:role/aws-service-role/ops.emr-serverless.amazonaws.com/AWS ServiceRoleForAmazonEMRServerless*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "ops.emr-serverless.amazonaws.com"
                }
            }
        }
    ]
}

IAMexemple de politique pour StartApplication

Ressources statiques

Vous trouverez ci-dessous des exemples de IAM politique pour les ressources statiques lorsque vous utilisez une machine à états dotée d'un StartApplication État du flux de travail des tâches état.

Ressources dynamiques

Vous trouverez ci-dessous des exemples de IAM politiques relatives aux ressources dynamiques lorsque vous utilisez une machine à états dotée d'un StartApplication État du flux de travail des tâches état.

IAMexemple de politique pour StopApplication

Ressources statiques

Vous trouverez ci-dessous des exemples de IAM politique pour les ressources statiques lorsque vous utilisez une machine à états dotée d'un StopApplication État du flux de travail des tâches état.

Ressources dynamiques

Vous trouverez ci-dessous des exemples de IAM politiques relatives aux ressources dynamiques lorsque vous utilisez une machine à états dotée d'un StopApplication État du flux de travail des tâches état.

IAMexemple de politique pour DeleteApplication

Ressources statiques

Vous trouverez ci-dessous des exemples de IAM politique pour les ressources statiques lorsque vous utilisez une machine à états dotée d'un DeleteApplication État du flux de travail des tâches état.

Ressources dynamiques

Vous trouverez ci-dessous des exemples de IAM politiques relatives aux ressources dynamiques lorsque vous utilisez une machine à états dotée d'un DeleteApplication État du flux de travail des tâches état.

IAMexemple de politique pour StartJobRun

Ressources statiques

Vous trouverez ci-dessous des exemples de IAM politique pour les ressources statiques lorsque vous utilisez une machine à états dotée d'un StartJobRun État du flux de travail des tâches état.

Run a Job (.sync)


{
   "Version": "2012-10-17",
   "Statement": [
        {
           "Effect": "Allow",
           "Action": [
               "emr-serverless:StartJobRun"
            ],
           "Resource": [
                "arn:aws:emr-serverless:{{region}}:{{accountId}}:/applications/[[applicationId]]"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "[[jobExecutionRoleArn]]"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "emr-serverless.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "emr-serverless:GetJobRun",
                "emr-serverless:CancelJobRun"
            ],
            "Resource": [
                "arn:aws:emr-serverless:{{region}}:{{accountId}}:/applications/[[applicationId]]/jobruns/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "events:PutTargets",
                "events:PutRule",
                "events:DescribeRule"
            ],
            "Resource": [
                "arn:aws:events:{{region}}:{{accountId}}:rule/StepFunctionsGetEventsForEMRServerlessJobRule"
            ]
        }
    ]
}

Request Response


{
   "Version": "2012-10-17",
   "Statement": [
        {
           "Effect": "Allow",
           "Action": [
               "emr-serverless:StartJobRun"
            ],
           "Resource": [
                "arn:aws:emr-serverless:{{region}}:{{accountId}}:/applications/[[applicationId]]"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "[[jobExecutionRoleArn]]"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "emr-serverless.amazonaws.com"
                }
            }
        }
    ]
}

Ressources dynamiques

Vous trouverez ci-dessous des exemples de IAM politiques relatives aux ressources dynamiques lorsque vous utilisez une machine à états dotée d'un StartJobRun État du flux de travail des tâches état.

IAMexemple de politique pour CancelJobRun

Ressources statiques

Vous trouverez ci-dessous des exemples de IAM politique pour les ressources statiques lorsque vous utilisez une machine à états dotée d'un CancelJobRun État du flux de travail des tâches état.

Ressources dynamiques

Vous trouverez ci-dessous des exemples de IAM politiques relatives aux ressources dynamiques lorsque vous utilisez une machine à états dotée d'un CancelJobRun État du flux de travail des tâches état.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Amazon EMR sur EKS

Amazon EventBridge