Kustom IAM role - Amazon EMR
Menentukan IAM role kustom ketika Anda membuat sebuah klaster

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kustom IAM role

Anda mungkin ingin menyesuaikan peran layanan IAM dan izin untuk membatasi hak sesuai dengan persyaratan keamanan Anda. Untuk menyesuaikan izin, kami merekomendasikan Anda membuat peran dan kebijakan baru. Mulai dengan izin di kebijakan terkelola untuk peran default (misalnya, AmazonElasticMapReduceforEC2Role dan AmazonElasticMapReduceRole). Kemudian, salin dan tempel konten untuk pernyataan kebijakan baru, modifikasi izin yang sesuai, dan melampirkan kebijakan izin yang sudah diubah untuk peran yang Anda buat. Anda harus memiliki izin IAM yang sesuai untuk bekerja dengan peran dan kebijakan. Untuk informasi selengkapnya, lihat Mengizinkan pengguna dan grup untuk membuat dan memodifikasi peran.

Jika Anda membuat peran EMR kustom untuk EC2, ikuti alur kerja basic, yang secara otomatis membuat profil instans dengan nama yang sama. Amazon EC2 mengizinkan Anda untuk membuat profil instans dan peran dengan nama yang berbeda, tetapi Amazon EMR tidak support konfigurasi ini, dan itu menghasilkan kesalahan "profil instans tidak valid" ketika Anda membuat klaster.

penting

Kebijakan inline tidak diperbarui secara otomatis ketika persyaratan layanan berubah. Jika Anda membuat dan melampirkan kebijakan inline, perhatikan bahwa pembaruan layanan mungkin terjadi yang tiba-tiba menyebabkan kesalahan izin. Untuk informasi lebih lanjut tentang, Kebijakan Terkelola dan Kebijakan Inline di Panduan Pengguna IAM dan Menentukan IAM role kustom ketika Anda membuat sebuah klaster.

Untuk informasi selengkapnya tentang IAM role, lihat topik berikut di bagian Panduan Pengguna IAM:

Menentukan IAM role kustom ketika Anda membuat sebuah klaster

Anda menentukan peran layanan untuk Amazon EMR dan peran untuk profil instans Amazon EC2 ketika Anda membuat sebuah klaster. Pengguna yang menciptakan klaster membutuhkan izin untuk mengambil dan menetapkan peran Amazon EMR dan instans EC2. Jika tidak, akun tidak diizinkan untuk memanggil kesalahan EC2 terjadi. Untuk informasi selengkapnya, lihat Mengizinkan pengguna dan grup untuk membuat dan memodifikasi peran.

Gunakan konsol untuk menentukan peran kustom

Ketika Anda membuat sebuah klaster, Anda dapat menentukan peran layanan kustom untuk Amazon EMR, peran kustom untuk profil instans EC2, dan peran Auto Scaling kustom menggunakan Opsi lanjutan. Saat Anda menggunakan Opsi cepat, peran layanan default dan peran default untuk profil instans EC2 ditentukan. Untuk informasi selengkapnya, lihat Peran layanan IAM yang digunakan oleh Amazon EMR.

catatan

Kami telah mendesain ulang konsol EMR Amazon agar lebih mudah digunakan. Lihat Konsol Amazon EMR untuk mempelajari tentang perbedaan antara pengalaman konsol lama dan baru.

New console
Untuk menentukan peran IAM kustom dengan konsol baru

Saat membuat klaster dengan konsol baru, Anda harus menentukan peran layanan khusus untuk Amazon EMR dan peran khusus untuk profil instans EC2. Untuk informasi selengkapnya, lihat Peran layanan IAM yang digunakan oleh Amazon EMR.

  1. Masuk ke AWS Management Console, dan buka konsol EMR Amazon di https://console.aws.amazon.com/emr.

  2. Di bawah EMR pada EC2 di panel navigasi kiri, pilih Clusters, lalu pilih Create cluster.

  3. Di bawah Konfigurasi dan izin keamanan, temukan peran IAM untuk profil instans dan peran Layanan untuk bidang EMR Amazon. Untuk setiap tipe peran, Anda memilih peran dari daftar. Hanya peran di akun Anda yang memiliki kebijakan kepercayaan yang sesuai untuk tipe peran yang tercantum.

  4. Pilih opsi lain yang berlaku untuk cluster Anda.

  5. Untuk meluncurkan cluster Anda, pilih Create cluster.

Old console
Untuk menentukan peran IAM kustom dengan konsol lama

Saat membuat klaster dengan konsol lama, Anda dapat menentukan peran layanan khusus untuk Amazon EMR, peran khusus untuk profil instans EC2, dan peran Auto Scaling khusus menggunakan opsi Lanjutan. Saat Anda menggunakan Opsi cepat, peran layanan default dan peran default untuk profil instans EC2 ditentukan. Untuk informasi selengkapnya, lihat Peran layanan IAM yang digunakan oleh Amazon EMR.

  1. Arahkan ke konsol EMR Amazon baru dan pilih Beralih ke konsol lama dari navigasi samping. Untuk informasi selengkapnya tentang apa yang diharapkan saat beralih ke konsol lama, lihat Menggunakan konsol lama.

  2. Memilih Buat klaster, Pergi ke opsi lanjutan.

  3. Memilih pengaturan klaster yang sesuai untuk aplikasi Anda sampai Anda mencapai Opsi Keamanan. Di bawah Izin, peran Default untuk Amazon EMR dipilih.

  4. Memilih Kustom.

  5. Untuk setiap tipe peran, Anda memilih peran dari daftar. Hanya peran di akun Anda yang memiliki kebijakan kepercayaan yang sesuai untuk tipe peran yang tercantum.

  6. Memilih opsi lain yang sesuai untuk klaster Anda dan lalu memilih Buat klaster.

Gunakan AWS CLI untuk menentukan peran kustom

Anda dapat menentukan peran layanan untuk Amazon EMR dan peran layanan untuk instance EC2 cluster secara eksplisit menggunakan opsi dengan perintah dari. create-cluster AWS CLI Gunakan opsi --service-role untuk menentukan peran layanan. Gunakan argumen InstanceProfile dari opsi --ec2-attributes untuk menentukan peran untuk profil instans EC2.

Peran Auto Scaling ditentukan menggunakan opsi terpisah, --auto-scaling-role. Untuk informasi selengkapnya, lihat Menggunakan penskalaan otomatis dengan kebijakan kustom untuk grup instans.

Untuk menentukan peran IAM kustom menggunakan AWS CLI

  • Perintah berikut menentukan peran layanan kustom MyCustomServiceRoleForEMR, dan peran kustom untuk profil instans EC2 MyCustomServiceRoleForClusterEC2Instances, saat meluncurkan cluster. Contoh ini menggunakan peran Amazon EMR default.

    catatan

    Karakter lanjutan baris Linux (\) disertakan untuk dibaca. Karakter ini bisa dihapus atau digunakan dalam perintah Linux. Untuk Windows, hapus atau ganti dengan caret (^).

    aws emr create-cluster --name "Test cluster" --release-label emr-7.1.0 \
--applications Name=Hive Name=Pig --service-role MyCustomServiceRoleForEMR \
--ec2-attributes InstanceProfile=MyCustomServiceRoleForClusterEC2Instances,\
KeyName=myKey --instance-type m5.xlarge --instance-count 3

Anda dapat menggunakan opsi ini untuk menentukan peran default secara eksplisit alih-alih menggunakan opsi --use-default-roles. Opsi --use-default-roles menentukan peran layanan dan peran untuk profil instans EC2 didefinisikan di file config untuk AWS CLI.

Contoh berikut menunjukkan isi config file untuk menentukan peran kustom untuk Amazon EMR. AWS CLI Dengan file konfigurasi ini, ketika --use-default-roles opsi ditentukan, cluster dibuat menggunakan MyCustomServiceRoleForEMRdan MyCustomServiceRoleForClusterEC2Instances. Secara default, file config menentukan default service_role sebagai AmazonElasticMapReduceRole dan instance_profile default sebagai EMR_EC2_DefaultRole.

[default]
output = json
region = us-west-1
aws_access_key_id = myAccessKeyID
aws_secret_access_key = mySecretAccessKey
emr =
     service_role = MyCustomServiceRoleForEMR
     instance_profile = MyCustomServiceRoleForClusterEC2Instances