Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Peran layanan untuk EMR Notebook
Setiap EMR buku catatan membutuhkan izin untuk mengakses yang lain AWS sumber daya dan melakukan tindakan. IAMKebijakan yang dilampirkan pada peran layanan ini memberikan izin bagi notebook untuk berinteraksi dengan yang lain AWS layanan. Saat Anda membuat buku catatan menggunakan AWS Management Console, Anda menentukan AWS peran layanan. Anda dapat menggunakan peran default, EMR_Notebooks_DefaultRole, atau tentukan peran yang Anda buat. Jika notebook belum dibuat sebelumnya, Anda dapat memilih untuk membuat peran default.
-
Nama peran default adalah
EMR_Notebooks_DefaultRole. -
Kebijakan terkelola default yang dilampirkan
EMR_Notebooks_DefaultRoleadalahAmazonElasticMapReduceEditorsRoledanS3FullAccessPolicy.
Peran layanan Anda harus menggunakan kebijakan kepercayaan berikut.
penting
Kebijakan kepercayaan berikut mencakup aws:SourceArndan kunci kondisi aws:SourceAccountglobal, yang membatasi izin yang Anda berikan kepada Amazon EMR ke sumber daya tertentu di akun Anda. Menggunakannya dapat melindungi Anda dari masalah wakil yang membingungkan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "elasticmapreduce.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "<account-id>" }, "ArnLike": { "aws:SourceArn": "arn:aws:elasticmapreduce:<region>:<account-id>:*" } } } ] }
Isi dari versi 1 AmazonElasticMapReduceEditorsRole adalah sebagai berikut.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "elasticmapreduce:ListInstances", "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListSteps" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "aws:elasticmapreduce:editor-id", "aws:elasticmapreduce:job-flow-id" ] } } } ] }
Berikut ini adalah isi dariS3FullAccessPolicy. S3FullAccessPolicyIni memungkinkan peran layanan Anda untuk EMR Notebook untuk melakukan semua tindakan Amazon S3 pada objek di Akun AWS. Saat membuat peran layanan kustom untuk EMR Notebook, Anda harus memberikan izin Amazon S3 peran layanan Anda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": "*" } ] }
Anda dapat mencatat akses baca dan tulis untuk peran layanan Anda ke lokasi Amazon S3 tempat Anda ingin menyimpan file notebook. Gunakan set minimum izin Amazon S3 berikut.
"s3:PutObject", "s3:GetObject", "s3:GetEncryptionConfiguration", "s3:ListBucket", "s3:DeleteObject"
Jika bucket Amazon S3 Anda dienkripsi, Anda harus menyertakan izin berikut untuk AWS Key Management Service.
"kms:Decrypt", "kms:GenerateDataKey", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey"
Saat Anda menautkan repositori Git ke buku catatan Anda dan perlu membuat rahasia untuk repositori, Anda harus menambahkan secretsmanager:GetSecretValue izin dalam IAM kebijakan yang dilampirkan ke peran layanan untuk notebook Amazon. EMR Kebijakan contoh ditunjukkan di bawah ini:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] }
EMRIzin peran layanan buku catatan
Tabel ini mencantumkan tindakan yang dilakukan EMR Notebook menggunakan peran layanan, bersama dengan izin yang diperlukan untuk setiap tindakan.
| Tindakan | Izin |
|---|---|
| Buat saluran jaringan aman antara notebook dan EMR klaster Amazon, dan lakukan tindakan pembersihan yang diperlukan. |
|
| Gunakan kredensial Git yang disimpan di AWS Secrets Manager untuk menautkan repositori Git ke buku catatan. |
|
| Terapkan AWS tag ke antarmuka jaringan dan grup keamanan default yang dibuat EMR Notebook saat mengatur saluran jaringan aman. Untuk informasi selengkapnya, lihat Penandaan AWS sumber daya. |
|
| Mengakses atau mengunggah file notebook dan metadata ke Amazon S3. |
Izin berikut hanya diperlukan jika Anda menggunakan bucket Amazon S3 terenkripsi.
|
EMRNotebook diperbarui ke AWS kebijakan terkelola
Lihat detail tentang pembaruan AWS kebijakan terkelola untuk EMR Notebook sejak 1 Maret 2021.
| Perubahan | Deskripsi | Tanggal |
|---|---|---|
AmazonElasticMapReduceEditorsRole - Added
permissions |
EMRNotebook ditambahkan |
Februari 8, 2023 |
EMRNotebook mulai melacak perubahan |
EMRNotebook mulai melacak perubahan AWS kebijakan terkelola. |
Februari 8, 2023 |
