Configurazione dell'accesso multi-account - Amazon EMR

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dell'accesso multi-account

Per configurare l'accesso tra più account per EMR Serverless, completare i seguenti passaggi. Nell'esempio, AccountA è l'account in cui hai creato l'applicazione Amazon EMR Serverless ed AccountB è l'account in cui si trova Amazon DynamoDB.

  1. Crea una tabella DynamoDB in. AccountB Per ulteriori informazioni, consulta Fase 1: Creare una tabella.

  2. Crea un ruolo Cross-Account-Role-B IAM in AccountB grado di accedere alla tabella DynamoDB.

    1. Accedi AWS Management Console e apri la console IAM all'indirizzo. https://console.aws.amazon.com/iam/

    2. Scegli Ruoli e crea un nuovo ruolo chiamatoCross-Account-Role-B. Per ulteriori informazioni su come creare ruoli IAM, consulta Creazione di ruoli IAM nella guida per l'utente.

    3. Crea una policy IAM che conceda le autorizzazioni per accedere alla tabella DynamoDB tra account. Quindi, allega la policy IAM a Cross-Account-Role-B.

      Di seguito è riportata una politica che concede l'accesso a una tabella DynamoDB. CrossAccountTable

    4. Modifica la relazione di fiducia per il ruolo Cross-Account-Role-B.

      Per configurare la relazione di trust per il ruolo, scegli la scheda Trust Relationships nella console IAM per il ruolo che hai creato nel passaggio 2:. Cross-Account-Role-B

      Seleziona Modifica relazione di fiducia, quindi aggiungi il seguente documento politico. Questo documento consente Job-Execution-Role-A AccountA di assumere questo Cross-Account-Role-B ruolo.

      JSON
      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sts:AssumeRole"
      ],
      "Resource": "arn:aws:iam::123456789012:role/Job-Execution-Role-A",
      "Sid": "AllowSTSAssumerole"
    }
  ]
}

    5. Concedi Job-Execution-Role-A AccountA con - STS Assume role le autorizzazioni da assumereCross-Account-Role-B.

      Nella console IAM per Account AWS AccountA, selezionaJob-Execution-Role-A. Aggiungi la seguente istruzione di policy a Job-Execution-Role-A per autorizzare l'operazione AssumeRole nel ruolo Cross-Account-Role-B.

      JSON
      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sts:AssumeRole"
      ],
      "Resource": [
        "arn:aws:iam::123456789012:role/Cross-Account-Role-B"
      ],
      "Sid": "AllowSTSAssumerole"
    }
  ]
}

    6. Imposta la dynamodb.customAWSCredentialsProvider proprietà con il valore come com.amazonaws.emr.AssumeRoleAWSCredentialsProvider nella classificazione del sito principale. Imposta la variabile di ambiente ASSUME_ROLE_CREDENTIALS_ROLE_ARN con il valore ARN di. Cross-Account-Role-B

  3. Esegui il job Spark o Hive utilizzando. Job-Execution-Role-A