Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kebijakan yang EMR dikelola Amazon
Cara termudah untuk memberikan akses penuh atau akses hanya-baca ke EMR tindakan Amazon yang diperlukan adalah dengan menggunakan kebijakan IAM terkelola untuk Amazon. EMR Kebijakan terkelola menawarkan manfaat pemutakhiran secara otomatis jika persyaratan izin berubah. Jika Anda menggunakan kebijakan inline, perubahan layanan dapat terjadi yang menyebabkan kesalahan izin muncul.
Amazon EMR akan menghentikan kebijakan terkelola yang ada (kebijakan v1) demi kebijakan terkelola baru (kebijakan v2). Kebijakan terkelola baru telah dicakup untuk diselaraskan AWS praktik terbaik. Setelah kebijakan terkelola v1 yang ada tidak digunakan lagi, Anda tidak akan dapat melampirkan kebijakan ini ke peran atau pengguna baru IAM mana pun. Peran dan pengguna yang ada yang menggunakan kebijakan yang tidak lagi digunakan dapat terus menggunakannya. Kebijakan terkelola v2 membatasi akses menggunakan tag. Mereka hanya mengizinkan EMR tindakan Amazon yang ditentukan dan memerlukan sumber daya klaster yang ditandai dengan kunci EMR -spesifik. Kami merekomendasikan bahwa Anda hati-hati meninjau dokumentasi sebelum menggunakan kebijakan v2 baru.
Kebijakan v1 akan ditandai usang dengan ikon peringatan di sebelahnya dalam daftar Kebijakan di konsol. IAM Kebijakan yang tidak lagi digunakan akan memiliki karakteristik sebagai berikut:
-
Kebijakan terus berfungsi untuk semua pengguna, grup, dan peran yang dilampirkan saat ini. Tidak ada yang rusak.
-
Kebijakan tidak dapat dilampirkan pada pengguna, grup, atau peran baru. Jika Anda melepas salah satu kebijakan dari entitas yang ada, Anda tidak dapat melampirkannya kembali.
-
Setelah Anda melepaskan kebijakan v1 dari semua entitas saat ini, kebijakan tidak lagi akan terlihat dan tidak lagi dapat digunakan.
Tabel berikut merangkum perubahan antara kebijakan saat ini (v1) dan kebijakan v2.
Amazon EMR mengelola perubahan kebijakan | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Jenis kebijakan | Nama kebijakan | Tujuan kebijakan | Perubahan kebijakan v2 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Peran EMR layanan default dan kebijakan terkelola terlampir |
Nama peran: EMR_ DefaultRole Kebijakan V1 (tidak digunakan lagi): AmazonElasticMapReduceRole(Peran Layanan) EMR Nama kebijakan (dicakup) V2: AmazonEMRServicePolicy_v2 |
Memungkinkan Amazon EMR menelepon yang lain AWS layanan atas nama Anda saat menyediakan sumber daya dan melakukan tindakan tingkat layanan. Peran ini diperlukan untuk semua klaster. |
Kebijakan menambahkan izin baru |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
IAMkebijakan terkelola untuk EMR akses Amazon penuh oleh pengguna, peran, atau grup terlampir |
Nama kebijakan V2 (cakupan): AmazonEMRServicePolicy_v2 |
Memungkinkan pengguna izin penuh untuk EMR tindakan. Termasuk iam: PassRole izin untuk sumber daya. |
Kebijakan menambahkan prasyarat bahwa pengguna harus menambahkan tanda pengguna ke sumber daya sebelum mereka dapat menggunakan kebijakan ini. Lihat Penandaan sumber daya untuk menggunakan kebijakan terkelola. iam: PassRole tindakan membutuhkan iam: PassedToService kondisi disetel ke layanan tertentu. Akses ke AmazonEC2, Amazon S3, dan layanan lainnya tidak diizinkan secara default. Lihat Kebijakan IAM Terkelola untuk Akses Penuh (v2 Kebijakan Default Terkelola). |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
IAMkebijakan terkelola untuk akses hanya-baca oleh pengguna, peran, atau grup terlampir |
Kebijakan V1 (tidak digunakan lagi): AmazonElasticMapReduceReadOnlyAccess Nama kebijakan V2 (cakupan): AmazonEMRReadOnlyAccessPolicy_v2 |
Memungkinkan pengguna izin hanya-baca untuk tindakan Amazon. EMR |
Izin hanya mengizinkan tindakan hanya-baca elasticmapreduce yang ditentukan. Akses ke Amazon S3 adalah akses yang tidak diizinkan secara default. Lihat Kebijakan IAM Terkelola untuk Akses Hanya Baca (v2 Kebijakan Default Terkelola). |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Peran EMR layanan default dan kebijakan terkelola terlampir |
Nama peran: EMR_ DefaultRole Kebijakan V1 (tidak digunakan lagi): AmazonElasticMapReduceRole(Peran Layanan) EMR Nama kebijakan (dicakup) V2: AmazonEMRServicePolicy_v2 |
Memungkinkan Amazon EMR menelepon yang lain AWS layanan atas nama Anda saat menyediakan sumber daya dan melakukan tindakan tingkat layanan. Peran ini diperlukan untuk semua klaster. |
Peran layanan v2 dan kebijakan default v2 menggantikan peran dan kebijakan yang tidak lagi digunakan. Kebijakan menambahkan prasyarat bahwa pengguna harus menambahkan tanda pengguna ke sumber daya sebelum mereka dapat menggunakan kebijakan ini. Lihat Penandaan sumber daya untuk menggunakan kebijakan terkelola. Lihat Peran layanan untuk Amazon EMR (EMRperan). |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Peran layanan untuk EC2 instance cluster (profil EC2 instance) |
Nama peran: EMR_ EC2 _ DefaultRole Nama kebijakan yang tidak lagi digunakan: AmazonElasticMapReduceforEC2Role |
Memungkinkan aplikasi yang berjalan di EMR cluster untuk mengakses yang lain AWS sumber daya, seperti Amazon S3. Misalnya, jika Anda menjalankan tugas Apache Spark yang memproses data dari Amazon S3, kebijakan perlu mengizinkan akses ke sumber daya tersebut. |
Peran default dan kebijakan default berada di jalur yang tidak lagi digunakan. Tidak ada pengganti AWS peran atau kebijakan terkelola default. Anda harus memberikan kebijakan berbasis sumber daya atau kebijakan berbasis identitas. Ini berarti, secara default, aplikasi yang berjalan di EMR klaster tidak memiliki akses ke Amazon S3 atau sumber daya lainnya kecuali jika Anda menambahkannya secara manual ke kebijakan. Lihat Peran default dan kebijakan terkelola. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Kebijakan peran EC2 layanan lainnya |
Nama kebijakan saat ini: AmazonElasticMapReduceforAutoScalingRole AmazonElasticMapReduceEditorsRole,, mazonEMRCleanup Kebijakan |
Memberikan izin yang EMR dibutuhkan Amazon untuk mengakses lainnya AWS sumber daya dan melakukan tindakan jika menggunakan penskalaan otomatis, notebook, atau untuk membersihkan EC2 sumber daya. |
Tidak ada perubahan untuk v2. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Mengamankan iam: PassRole
Kebijakan terkelola default EMR izin penuh Amazon menggabungkan konfigurasi iam:PassRole keamanan, termasuk yang berikut ini:
iam:PassRoleizin hanya untuk EMR peran Amazon default tertentu.iam:PassedToServicekondisi yang memungkinkan Anda untuk menggunakan kebijakan dengan hanya ditentukan AWS layanan, sepertielasticmapreduce.amazonaws.comdanec2.amazonaws.com.
Anda dapat melihat JSON versi kebijakan A mazonEMRFull AccessPolicy _v2
Untuk membuat kebijakan khusus, kami merekomendasikan sebaiknya Anda mulai dengan kebijakan terkelola dan mengeditnya sesuai dengan kebutuhan Anda.
Untuk informasi tentang cara melampirkan kebijakan ke pengguna (prinsipal), lihat Bekerja dengan kebijakan terkelola menggunakan AWS Management Console di Panduan Pengguna IAM.
Penandaan sumber daya untuk menggunakan kebijakan terkelola
mazonEMRServicePolicy_v2 dan A mazonEMRFull AccessPolicy _v2 bergantung pada akses cakupan ke bawah ke sumber daya yang disediakan atau digunakan Amazon. EMR Cakupan ke bawah dicapai dengan membatasi akses hanya ke sumber daya yang memiliki tag pengguna yang telah ditentukan sebelumnya yang terkait dengannya. Bila Anda menggunakan salah satu dari dua kebijakan ini, Anda harus meneruskan tag pengguna yang telah ditentukan for-use-with-amazon-emr-managed-policies =
true saat Anda menyediakan klaster. Amazon kemudian EMR akan secara otomatis menyebarkan tag itu. Selain itu, Anda harus menambahkan tag pengguna ke sumber daya yang tercantum di bagian berikut. Jika Anda menggunakan EMR konsol Amazon untuk meluncurkan cluster Anda, lihatPertimbangan untuk menggunakan EMR konsol Amazon untuk meluncurkan cluster dengan kebijakan terkelola v2.
Untuk menggunakan kebijakan terkelola, teruskan tag pengguna for-use-with-amazon-emr-managed-policies = true saat Anda menyediakan klaster denganCLI,SDK, atau metode lain.
Saat Anda meneruskan tag, Amazon EMR menyebarkan tag ke subnet pribadiENI, EC2 instance, dan EBS volume yang dibuatnya. Amazon EMR juga secara otomatis menandai grup keamanan yang dibuatnya. Namun, jika Anda EMR ingin Amazon diluncurkan dengan grup keamanan tertentu, Anda harus menandainya. Untuk sumber daya yang tidak dibuat oleh AmazonEMR, Anda harus menambahkan tag ke sumber daya tersebut. Misalnya, Anda harus menandai EC2 subnet Amazon, grup EC2 keamanan (jika tidak dibuat oleh AmazonEMR), dan VPCs (jika Anda EMR ingin Amazon membuat grup keamanan). Untuk meluncurkan klaster dengan kebijakan terkelola v2VPCs, Anda harus menandai klaster tersebut VPCs dengan tag pengguna yang telah ditentukan sebelumnya. Lihat, Pertimbangan untuk menggunakan EMR konsol Amazon untuk meluncurkan cluster dengan kebijakan terkelola v2.
Penyebaran penandaan yang ditentukan pengguna
Amazon EMR menandai sumber daya yang dibuatnya menggunakan EMR tag Amazon yang Anda tentukan saat membuat klaster. Amazon EMR menerapkan tag ke sumber daya yang dibuatnya selama masa cluster.
Amazon EMR menyebarkan tag pengguna untuk sumber daya berikut:
-
Private Subnet ENI (akses layanan antarmuka jaringan elastis)
-
EC2Contoh
-
EBSVolume
-
EC2Template Peluncuran
Grup keamanan bertanda otomatis
Amazon EMR menandai grup EC2 keamanan yang dibuatnya dengan tag yang diperlukan untuk kebijakan terkelola v2 untuk Amazon EMRfor-use-with-amazon-emr-managed-policies, terlepas dari tag yang Anda tentukan dalam perintah create cluster. Untuk grup keamanan yang dibuat sebelum pengenalan kebijakan terkelola v2, Amazon EMR tidak secara otomatis menandai grup keamanan. Jika Anda ingin menggunakan kebijakan terkelola v2 dengan grup keamanan default yang sudah ada di akun, Anda perlu memberi tanda pada grup keamanan secara manual dengan for-use-with-amazon-emr-managed-policies = true.
Sumber daya klaster yang beri tanda secara manual
Anda harus menandai beberapa sumber daya cluster secara manual sehingga dapat diakses oleh peran EMR default Amazon.
-
Anda harus menandai grup dan EC2 subnet EC2 keamanan secara manual dengan tag
for-use-with-amazon-emr-managed-policieskebijakan EMR terkelola Amazon. -
Anda harus menandai secara manual VPC jika Anda EMR ingin Amazon membuat grup keamanan default. EMRakan mencoba membuat grup keamanan dengan tag tertentu jika grup keamanan default belum ada.
Amazon EMR secara otomatis menandai sumber daya berikut:
-
EMR-Grup EC2 Keamanan yang dibuat
Anda harus secara manual memberi tanda pada sumber daya berikut:
-
EC2Subnet
-
EC2Grup Keamanan
Opsional, Anda dapat secara manual memberi tanda pada sumber daya berikut:
-
VPC- hanya ketika Anda EMR ingin Amazon membuat grup keamanan
Pertimbangan untuk menggunakan EMR konsol Amazon untuk meluncurkan cluster dengan kebijakan terkelola v2
Anda dapat menyediakan kluster dengan kebijakan terkelola v2 menggunakan EMR konsol Amazon. Berikut adalah beberapa pertimbangan saat Anda menggunakan konsol untuk meluncurkan EMR cluster Amazon.
-
Anda tidak perlu melewati tag yang telah ditentukan. Amazon EMR secara otomatis menambahkan tag dan menyebarkannya ke komponen yang sesuai.
-
Untuk komponen yang perlu diberi tag secara manual, EMR konsol Amazon lama mencoba memberi tag secara otomatis jika Anda memiliki izin yang diperlukan untuk menandai sumber daya. Jika Anda tidak memiliki izin untuk menandai sumber daya atau jika Anda ingin menggunakan konsol, minta administrator untuk menandai sumber daya tersebut.
-
Anda tidak dapat meluncurkan cluster dengan kebijakan terkelola v2 kecuali semua prasyarat terpenuhi.
-
EMRKonsol Amazon lama menunjukkan sumber daya (VPC/Subnet) mana yang perlu diberi tag.
AWS kebijakan terkelola untuk Amazon EMR
Sesi AWS kebijakan terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa AWS kebijakan terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk semua AWS pelanggan untuk digunakan. Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam AWS kebijakan terkelola. Jika AWS memperbarui izin yang ditentukan dalam AWS kebijakan terkelola, pembaruan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui AWS kebijakan terkelola saat baru Layanan AWS diluncurkan atau API operasi baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, silakan lihat AWS kebijakan terkelola dalam Panduan IAM Pengguna.
