Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan peran terkait layanan untuk logging penulisan di depan
Amazon EMR menggunakan peran terkait layanan AWS Identity and Access Management (IAM). Peran tertaut layanan adalah tipe IAM role unik yang ditautkan langsung ke Amazon EMR. Peran terkait layanan telah ditentukan sebelumnya oleh Amazon EMR dan mencakup semua izin yang diperlukan layanan untuk memanggil layanan lain atas nama Anda. AWS
Peran terkait layanan bekerja sama dengan peran layanan EMR Amazon dan profil instans Amazon EC2 untuk Amazon EMR. Untuk informasi selengkapnya tentang peran layanan dan profil instans, lihat Konfigurasi peran layanan IAM untuk izin Amazon EMR untuk layanan AWS dan sumber daya.
Peran terkait layanan membuat pengaturan EMR Amazon lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Amazon EMR mendefinisikan izin peran terkait layanannya, dan kecuali ditentukan lain, hanya EMR Amazon yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran terkait layanan ini untuk Amazon EMR hanya setelah Anda menghapus sumber daya terkait dan menghentikan semua kluster EMR di akun. Ini melindungi sumber daya EMR Amazon Anda sehingga Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Izin peran terkait layanan untuk logging penulisan ke depan (WAL)
Amazon EMR menggunakan peran terkait layanan AWSServiceRoleForEMRWALuntuk mengambil status klaster.
Peran AWSServiceRoleForEMRWAL terkait layanan mempercayai layanan berikut untuk mengambil peran:
-
emrwal.amazonaws.com
Kebijakan EMRDescribeClusterPolicyForEMRWALizin untuk peran terkait layanan memungkinkan Amazon EMR menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
-
Tindakan:
DescribeClusterpada*
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (dalam hal ini, Amazon EMR WAL) untuk membuat, mengedit, atau menghapus peran terkait layanan. Tambahkan pernyataan berikut sesuai kebutuhan ke kebijakan izin untuk profil instans Anda:
Untuk mengizinkan entitas IAM membuat peran terkait AWSServiceRoleForEMRWAL layanan
Menambahkan pernyataan berikut ke kebijakan izin untuk entitas IAM yang perlu membuat peran tertaut layanan.
{ "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/emrwal.amazonaws.com*/AWSServiceRoleForEMRWAL*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "emrwal.amazonaws.com", "elasticmapreduce.amazonaws.com.cn" ] } } }
Untuk mengizinkan entitas IAM mengedit deskripsi peran terkait AWSServiceRoleForEMRWAL layanan
Menambahkan pernyataan berikut ke kebijakan izin untuk entitas IAM yang perlu mengedit Deskripsi peran tertaut layanan.
{ "Effect": "Allow", "Action": [ "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-service-role/emrwal.amazonaws.com*/AWSServiceRoleForEMRWAL*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "emrwal.amazonaws.com", "elasticmapreduce.amazonaws.com.cn" ] } } }
Untuk mengizinkan entitas IAM menghapus peran terkait AWSServiceRoleForEMRWAL layanan
Menambahkan pernyataan berikut ke kebijakan izin untuk entitas IAM yang perlu menghapus peran tertaut layanan:
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/elasticmapreduce.amazonaws.com*/AWSServiceRoleForEMRCleanup*", "Condition": { "StringLike": { "iam:AWSServiceName": [ "emrwal.amazonaws.com", "elasticmapreduce.amazonaws.com.cn" ] } } }
Membuat peran tertaut layanan untuk Amazon EMR
Anda tidak perlu membuat AWSServiceRoleForEMRWAL peran secara manual. Amazon EMR membuat peran terkait layanan ini secara otomatis saat Anda membuat ruang kerja WAL dengan EMRWAL CLI atau dari AWS CloudFormation, atau HBase akan membuat peran terkait layanan saat Anda mengonfigurasi ruang kerja untuk Amazon EMR WAL dan peran terkait layanan belum ada. Anda harus memiliki izin untuk membuat peran terkait layanan. Misalnya pernyataan yang menambahkan kemampuan ini ke kebijakan izin entitas IAM (seperti pengguna, grup, atau peran), lihat bagian sebelumnya,. Izin peran terkait layanan untuk logging penulisan ke depan (WAL)
Menyunting peran tertaut layanan untuk Amazon EMR
Amazon EMR tidak memungkinkan Anda mengedit peran terkait AWSServiceRoleForEMRWAL layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran terkait layanan karena berbagai entitas mungkin mereferensikan peran terkait layanan. Namun, Anda dapat mengedit deskripsi peran terkait layanan menggunakan IAM.
Menyunting deskripsi peran terkait layanan (konsol IAM)
Anda dapat menggunakan konsol IAM untuk menyunting deskripsi peran terkait layanan.
Untuk menyunting deskripsi peran terkait layanan (konsol IAM)
-
Di panel navigasi konsol IAM, pilih Peran.
-
Memilih nama peran yang akan dimodifikasi.
-
Ke sebelah kanan Deskripsi peranmemilih Sunting.
-
Memasukkan Deskripsi baru di kotak, dan memilih Simpan perubahan.
Mengedit Deskripsi peran tertaut layanan (IAM CLI)
Anda dapat menggunakan perintah IAM dari AWS Command Line Interface untuk mengedit deskripsi peran terkait layanan.
Untuk mengubah Deskripsi peran tertaut layanan (CLI)
-
(Opsional) Untuk melihat Deskripsi peran saat ini, gunakan perintah-perintah berikut:
$aws iam get-role --role-namerole-nameGunakan nama peran, bukan ARN, untuk merujuk ke peran dengan perintah CLI. Misalnya, jika peran memiliki ARN berikut:
arn:aws:iam::123456789012:role/myrole, referensi Anda ke peran sebagaimyrole. -
Untuk memperbarui Deskripsi peran tertaut layanan, gunakan perintah berikut:
$aws iam update-role-description --role-namerole-name--descriptiondescription
Menyunting Deskripsi peran tertaut layanan (API IAM)
Anda dapat menggunakan IAM API untuk menyunting deskripsi peran terkait layanan.
Untuk mengubah deskripsi peran terkait layanan (API)
-
(Opsional) Untuk melihat deskripsi peran saat ini, gunakan perintah berikut:
API IAM: GetRole
-
Untuk memperbarui deskripsi dari sebuah peran, gunakan perintah berikut:
API IAM: UpdateRoleDescription
Menghapus peran tertaut layanan untuk Amazon EMR
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran terkait layanan tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan dan tidak dipantau atau dipelihara secara aktif. Namun, Anda harus membersihkan peran terkait layanan sebelum dapat menghapusnya.
catatan
Operasi logging write-ahead tidak terpengaruh jika Anda menghapus AWSServiceRoleForEMRWAL peran tersebut, tetapi Amazon EMR tidak akan menghapus log yang dibuatnya secara otomatis setelah klaster EMR Anda berakhir. Oleh karena itu, Anda harus menghapus log Amazon EMR WAL secara manual jika Anda menghapus peran terkait layanan.
Membersihkan peran terkait layanan
Sebelum dapat menggunakan IAM untuk menghapus peran tertaut layanan, Anda harus mengonfirmasi terlebih dahulu bahwa peran tersebut tidak memiliki sesi aktif dan menghapus sumber daya yang digunakan oleh peran tersebut.
Untuk memastikan peran terkait layanan memiliki sesi aktif di konsol IAM
Buka konsol IAM di https://console.aws.amazon.com/iam/
. -
Di panel navigasi, pilih Peran. Pilih nama (bukan kotak centang) AWSServiceRoleForEMRWAL peran.
-
Di halaman Ringkasan untuk peran yang dipilihmemilih Penasihat Akses.
-
Di tab Penasihat Akses, tinjau aktivitas terbaru untuk peran tertaut layanan.
catatan
Jika Anda tidak yakin apakah Amazon EMR menggunakan peran AWSServiceRoleForEMRWAL tersebut, Anda dapat mencoba menghapus peran terkait layanan. Jika layanan menggunakan peran, penghapusan gagal dan Anda dapat melihat Wilayah tempat peran terkait layanan digunakan. Jika peran terkait layanan sedang digunakan, Anda harus menunggu sesi berakhir sebelum Anda dapat menghapus peran terkait layanan. Anda tidak dapat mencabut sesi untuk peran terkait layanan.
Untuk menghapus sumber daya EMR Amazon yang digunakan oleh AWSServiceRoleForEMRWAL
-
Akhiri semua grup di akun Anda. Untuk informasi selengkapnya, lihat Mengakhiri suatu klaster.
Menghapus peran tertaut layanan (Konsol IAM)
Anda dapat menggunakan konsol IAM untuk menghapus sebuah peran terkait layanan.
Untuk menghapus peran terkait layanan (konsol)
Buka konsol IAM di https://console.aws.amazon.com/iam/
. -
Di panel navigasi, pilih Peran. Pilih kotak centang di sebelah AWSServiceRoleForEMRWAL, bukan nama atau baris itu sendiri.
-
Untuk Tindakan peran di bagian atas halaman, pilih Hapus peran.
-
Di kotak dialog konfirmasi, tinjau data layanan yang terakhir diakses, yang menunjukkan kapan masing-masing peran yang dipilih terakhir mengakses AWS layanan. Ini membantu Anda mengonfirmasi aktif tidaknya peran tersebut saat ini. Untuk melanjutkan, pilih Ya, Hapus.
-
Perhatikan notifikasi konsol IAM untuk memantau kemajuan penghapusan peran tertaut layanan. Karena penghapusan peran terkait layanan IAM bersifat asinkron, setelah Anda mengirimkan peran tersebut untuk penghapusan, tugas penghapusan dapat berhasil atau gagal. Jika tugas tersebut gagal, Anda dapat memilih Lihat detail atau Lihat Sumber Daya dari notifikasi untuk mempelajari alasan penghapusan gagal. Jika penghapusan gagal karena ada sumber daya di layanan yang digunakan oleh peran tersebut, maka alasan kegagalan tersebut mencakup daftar sumber daya.
Menghapus peran tertaut layanan (IAM CLI)
Anda dapat menggunakan perintah IAM dari AWS Command Line Interface untuk menghapus peran terkait layanan. Karena peran tertaut layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus kirim permintaan penghapusan. Permintaan tersebut dapat ditolak jika syarat ini tidak terpenuhi.
Untuk menghapus peran tertaut layanan (CLI)
-
Untuk memeriksa status tugas penghapusan, Anda harus menangkap
deletion-task-iddari tanggapan. Ketik perintah berikut dan kirim permintaan penghapusan peran tertaut layanan:$aws iam delete-service-linked-role --role-name AWSServiceRoleForEMRWAL -
Ketik perintah berikut untuk memeriksa status tugas penghapusan:
$aws iam get-service-linked-role-deletion-status --deletion-task-iddeletion-task-idStatus tugas penghapusan adalah
NOT_STARTED,IN_PROGRESS,SUCCEEDED, atauFAILED. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan agar Anda dapat memecahkan masalah.
Menghapus peran terkait layanan (IAM API)
Anda dapat menggunakan API IAM untuk menghapus peran tertaut layanan. Karena peran tertaut layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus kirim permintaan penghapusan. Permintaan tersebut dapat ditolak jika syarat ini tidak terpenuhi.
Untuk menghapus peran terkait layanan (API)
-
Untuk mengirimkan permintaan penghapusan peran terkait layanan, hubungi. DeleteServiceLinkedRole Dalam permintaan, tentukan nama AWSServiceRoleForEMRWAL peran.
Untuk memeriksa status tugas penghapusan, Anda harus menangkap
DeletionTaskIddari tanggapan. -
Untuk memeriksa status penghapusan, hubungi. GetServiceLinkedRoleDeletionStatus Di permintaan tersebut, tentukan
DeletionTaskId.Status tugas penghapusan dapat berupa
NOT_STARTED,IN_PROGRESS,SUCCEEDED, atauFAILED. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan agar Anda dapat memecahkan masalah.
Wilayah yang Didukung untuk AWSServiceRoleForEMRWAL
Amazon EMR mendukung penggunaan peran AWSServiceRoleForEMRWAL terkait layanan di Wilayah berikut.
| Nama Wilayah | Identitas wilayah | Support di Amazon EMR |
|---|---|---|
| US East (N. Virginia) | us-east-1 | Ya |
| US East (Ohio) | us-east-2 | Ya |
| US West (N. California) | us-west-1 | Ya |
| US West (Oregon) | us-west-2 | Ya |
| Asia Pacific (Mumbai) | ap-south-1 | Ya |
| Asia Pacific (Singapore) | ap-southeast-1 | Ya |
| Asia Pacific (Sydney) | ap-southeast-2 | Ya |
| Asia Pacific (Tokyo) | ap-northeast-1 | Ya |
| Eropa (Frankfurt) | eu-central-1 | Ya |
| Eropa (Irlandia) | eu-west-1 | Ya |
