Concessione dell'accesso ad Amazon EMR su EKS agli utenti - Amazon EMR

Concessione dell'accesso ad Amazon EMR su EKS agli utenti

Per qualsiasi azione eseguita su Amazon EMR su EKS, occorre disporre di un'autorizzazione IAM corrispondente. Innanzitutto, dovrai creare una policy IAM che ti permetta di eseguire le operazioni di Amazon EMR su EKS e di allegare la policy all'utente o al ruolo IAM che utilizzi.

In questo argomento vengono illustrati i passaggi per la creazione di una nuova policy e il relativo collegamento a un utente IAM. Inoltre, vengono elencate le autorizzazioni di base necessarie per configurare l'ambiente Amazon EMR su EKS. Consigliamo di perfezionare le autorizzazioni a risorse specifiche quando possibile in base alle esigenze aziendali.

Creazione di una nuova policy IAM e collegamento della stessa a un utente IAM nella console IAM

Creazione di una nuova policy IAM

  1. Accedi alla AWS Management Console e apri la console di IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione della console IAM seleziona Policies (Policy).

  3. Nella pagina Policies (Policy), scegli Create a policy (Crea una policy).

  4. Nella finestra Create policy (Crea policy), vai alla scheda Edit JSON (Modifica JSON). Crea un documento di policy con una o più istruzioni JSON, come illustrato negli esempi che seguono questa procedura. Poi, scegli Review policy (Esamina policy).

  5. Nella schermata Review policy (Verifica policy), inserisci il Policy Name (Nome policy), ad esempio AmazonEMROnEKSPolicy. Immetti una descrizione opzionale, quindi scegli Create policy (Crea policy).

Collegamento della policy a un utente o ruolo IAM

  1. Accedi alla AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/

  2. Nel pannello di navigazione, seleziona Policies (Policy).

  3. Nell'elenco di policy, seleziona la casella di controllo accanto alla policy creata nella sezione precedente. Puoi usare il menu Filter (Filtro) e la casella di ricerca per filtrare l'elenco di policy.

  4. Scegli Policy actions (Operazioni di policy), quindi Attach (Collega).

  5. Seleziona l'utente o il ruolo a cui desideri collegare la policy. Puoi usare il menu Filter (Filtro) e la casella di ricerca per filtrare l'elenco delle entità principali. Dopo aver scelto l'utente o il ruolo a cui collegare la policy, scegli Attach policy (Collega policy).

Autorizzazioni per la gestione dei cluster virtuali

Per gestire i cluster virtuali nell'account AWS, crea una policy IAM con le autorizzazioni seguenti. Queste autorizzazioni ti consentono di creare, elencare, descrivere ed eliminare cluster virtuali nel tuo account AWS.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "emr-containers.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "emr-containers:CreateVirtualCluster", "emr-containers:ListVirtualClusters", "emr-containers:DescribeVirtualCluster", "emr-containers:DeleteVirtualCluster" ], "Resource": "*" } ] }

Quando l'operazione CreateVirtualCluster viene richiamata per la prima volta da un account AWS, sono altresì necessarie autorizzazioni CreateServiceLinkedRole per creare il ruolo collegato ai servizi di Amazon EMR su EKS. Per ulteriori informazioni, consulta . Utilizzo di ruoli collegati ai servizi per Amazon EMR su EKS.

Autorizzazioni per inviare i processi

Per inviare i processi sui cluster virtuali nell'account AWS, crea una policy IAM con le autorizzazioni seguenti. Queste autorizzazioni ti consentono di avviare, elencare, descrivere ed annullare esecuzioni di processo per tutti i cluster virtuali nel tuo account. È consigliabile aggiungere autorizzazioni per elencare o descrivere cluster virtuali, il che ti consente di controllare lo stato del cluster virtuale prima di inviare i processi.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "emr-containers:StartJobRun", "emr-containers:ListJobRuns", "emr-containers:DescribeJobRun", "emr-containers:CancelJobRun" ], "Resource": "*" } ] }

Autorizzazioni per il debug e il monitoraggio

Per ottenere l'accesso ai log inviati su Amazon S3 e CloudWatch o per visualizzare i log di eventi dell'applicazione nella console Amazon EMR, crea una policy IAM con le seguenti autorizzazioni. Consigliamo di perfezionare le autorizzazioni a risorse specifiche quando possibile in base alle esigenze aziendali.

Importante

Se non hai creato un bucket Amazon S3, dovrai aggiungere l'autorizzazione s3:CreateBucket per la dichiarazione di policy. Se non hai creato un gruppo di log, dovrai aggiungere logs:CreateLogGroup alla dichiarazione di policy.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "emr-containers:DescribeJobRun", "elasticmapreduce:CreatePersistentAppUI", "elasticmapreduce:DescribePersistentAppUI", "elasticmapreduce:GetPersistentAppUIPresignedURL" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:Get*", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": "*" } ] }

Per ulteriori informazioni su come configurare un'esecuzione di processo per inviare i log su Amazon S3 e CloudWatch, consulta Configurazione di un'esecuzione di processo per utilizzare i log S3 e Configurazione di un'esecuzione di processo per utilizzare CloudWatch Logs.