Menyiapkan akses lintas akun - Amazon EMR

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan akses lintas akun

Untuk mengatur akses lintas akun untuk EMR Tanpa Server, selesaikan langkah-langkah berikut. Dalam contoh, AccountA adalah akun tempat Anda membuat aplikasi Amazon EMR Tanpa Server, dan AccountB merupakan akun tempat Amazon DynamoDB Anda berada.

  1. Buat tabel DynamoDB di. AccountB Untuk informasi selengkapnya, lihat Langkah 1: Membuat tabel.

  2. Buat peran Cross-Account-Role-B IAM AccountB yang dapat mengakses tabel DynamoDB.

    1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

    2. Pilih Peran, dan buat peran baru yang disebutCross-Account-Role-B. Untuk informasi selengkapnya tentang cara membuat peran IAM, lihat Membuat peran IAM di Panduan pengguna.

    3. Buat kebijakan IAM yang memberikan izin untuk mengakses tabel DynamoDB lintas akun. Kemudian lampirkan kebijakan IAM ke Cross-Account-Role-B.

      Berikut ini adalah kebijakan yang memberikan akses ke tabel DynamoDB. CrossAccountTable

    4. Cara mengedit hubungan kepercayaan untuk peran Cross-Account-Role-B.

      Untuk mengonfigurasi hubungan kepercayaan untuk peran tersebut, pilih tab Trust Relationships di konsol IAM untuk peran yang Anda buat di Langkah 2: Cross-Account-Role-B.

      Pilih Edit Trust Relationship dan kemudian tambahkan dokumen kebijakan berikut. Dokumen ini memungkinkan Job-Execution-Role-A AccountA untuk mengambil Cross-Account-Role-B peran ini.

      JSON
      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sts:AssumeRole"
      ],
      "Resource": "arn:aws:iam::123456789012:role/Job-Execution-Role-A",
      "Sid": "AllowSTSAssumerole"
    }
  ]
}

    5. Berikan Job-Execution-Role-A - STS Assume role izin untuk berasumsiCross-Account-Role-B. AccountA

      Di konsol IAM untuk Akun AWS AccountA, pilihJob-Execution-Role-A. Tambahkan pernyataan kebijakan berikut pada Job-Execution-Role-A untuk mengizinkan tindakan AssumeRole di peran Cross-Account-Role-B.

      JSON
      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sts:AssumeRole"
      ],
      "Resource": [
        "arn:aws:iam::123456789012:role/Cross-Account-Role-B"
      ],
      "Sid": "AllowSTSAssumerole"
    }
  ]
}

    6. Tetapkan dynamodb.customAWSCredentialsProvider properti dengan nilai seperti com.amazonaws.emr.AssumeRoleAWSCredentialsProvider dalam klasifikasi inti-situs. Atur variabel lingkungan ASSUME_ROLE_CREDENTIALS_ROLE_ARN dengan nilai ARN dari. Cross-Account-Role-B

  3. Jalankan Spark atau Hive job menggunakan. Job-Execution-Role-A