Personalizza IAM i ruoli - Amazon EMR

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Personalizza IAM i ruoli

Potresti voler personalizzare i ruoli e le autorizzazioni del IAM servizio per limitare i privilegi in base ai tuoi requisiti di sicurezza. Per personalizzare le autorizzazioni, si consiglia di creare nuovi ruoli e policy. Iniziare con le autorizzazioni nelle policy gestite per i ruoli predefiniti (ad esempio, AmazonElasticMapReduceforEC2Role e AmazonElasticMapReduceRole). Quindi, copiare e incollare il contenuto in nuove istruzione della policy, modificare le autorizzazioni come appropriato e collegare le policy di autorizzazione modificate ai ruoli creati. È necessario disporre delle IAM autorizzazioni appropriate per utilizzare ruoli e politiche. Per ulteriori informazioni, consulta Consentire a utenti e gruppi di creare e modificare i ruoli.

Se crei un EMR ruolo personalizzato perEC2, segui il flusso di lavoro di base, che crea automaticamente un profilo di istanza con lo stesso nome. Amazon EC2 consente di creare profili e ruoli di istanza con nomi diversi, ma Amazon EMR non supporta questa configurazione e genera un errore di «profilo di istanza non valido» durante la creazione del cluster.

Importante

Le policy in linea non vengono aggiornate automaticamente quando i requisiti di servizio cambiano. Se si creano e si collegano policy in linea, occorre tenere presente che potrebbero verificarsi aggiornamenti del servizio responsabili di errori di autorizzazione imprevisti. Per ulteriori informazioni, consulta Managed Policies e Inline Policies nella Guida per l'IAMutente e. Specificate IAM i ruoli personalizzati quando create un cluster

Per ulteriori informazioni sull'utilizzo IAM dei ruoli, consulta i seguenti argomenti nella Guida per l'IAMutente:

Specificate IAM i ruoli personalizzati quando create un cluster

Quando crei un cluster, specifichi il ruolo del servizio per Amazon EMR e il ruolo per il profilo dell'EC2istanza Amazon. L'utente che crea i cluster necessita delle autorizzazioni per recuperare e assegnare ruoli ad Amazon e alle istanze. EMR EC2 In caso contrario, si verifica un errore di chiamata di un account non autorizzato. EC2 Per ulteriori informazioni, consulta Consentire a utenti e gruppi di creare e modificare i ruoli.

Utilizzo della console per specificare i ruoli personalizzati

Quando crei un cluster, puoi specificare un ruolo di servizio personalizzato per AmazonEMR, un ruolo personalizzato per il profilo dell'EC2istanza e un ruolo Auto Scaling personalizzato utilizzando le opzioni avanzate. Quando utilizzi le opzioni Quick, vengono specificati il ruolo di servizio e il ruolo predefinito per il profilo dell'EC2istanza. Per ulteriori informazioni, consulta IAMruoli di servizio utilizzati da Amazon EMR.

Console
Per specificare IAM ruoli personalizzati con la console

Quando crei un cluster con la console, devi specificare un ruolo di servizio personalizzato per Amazon EMR e un ruolo personalizzato per il profilo dell'EC2istanza. Per ulteriori informazioni, consulta IAMruoli di servizio utilizzati da Amazon EMR.

  1. Accedi a e apri AWS Management Console la EMR console Amazon all'indirizzo https://console.aws.amazon.com/emr.

  2. EC2Nel riquadro di navigazione a sinistra, scegli Cluster, quindi scegli Crea cluster. EMR

  3. In Configurazione e autorizzazioni di sicurezza, trova il IAMruolo, ad esempio il profilo e il ruolo di servizio per EMR i campi Amazon. Per ogni tipo di ruolo, selezionare un ruolo dall'elenco. Vengono elencati solo i ruoli all'interno dell'account che dispongono della policy di affidabilità appropriata per quel tipo di ruolo.

  4. Scegli qualsiasi altra opzione applicabile al cluster.

  5. Per avviare il cluster, scegli Create cluster (Crea cluster).

Usa il AWS CLI per specificare ruoli personalizzati

Puoi specificare un ruolo di servizio per Amazon EMR e un ruolo di servizio per EC2 le istanze di cluster in modo esplicito utilizzando le opzioni con il create-cluster comando di. AWS CLI L'opzione --service-role consente di specificare il ruolo di servizio. Utilizza l'InstanceProfileargomento dell'--ec2-attributesopzione per specificare il ruolo per il profilo dell'EC2istanza.

Il ruolo Auto Scaling viene specificato mediante un'opzione distinta, --auto-scaling-role. Per ulteriori informazioni, consulta Utilizzo del dimensionamento automatico con una policy personalizzata per i gruppi di istanze.

Per specificare IAM ruoli personalizzati utilizzando il AWS CLI
  • Il comando seguente specifica il ruolo di servizio personalizzato, MyCustomServiceRoleForEMRe un ruolo personalizzato per il profilo dell'EC2istanza, MyCustomServiceRoleForClusterEC2Instances, quando si avvia un cluster. Questo esempio utilizza il EMR ruolo Amazon predefinito.

    Nota

    I caratteri di continuazione della riga Linux (\) sono inclusi per questioni di leggibilità. Possono essere rimossi o utilizzati nei comandi Linux. Per Windows, rimuoverli o sostituirli con un accento circonflesso (^).

    aws emr create-cluster --name "Test cluster" --release-label emr-7.2.0 \ --applications Name=Hive Name=Pig --service-role MyCustomServiceRoleForEMR \ --ec2-attributes InstanceProfile=MyCustomServiceRoleForClusterEC2Instances,\ KeyName=myKey --instance-type m5.xlarge --instance-count 3

È possibile utilizzare queste opzioni per specificare esplicitamente i ruoli predefiniti anziché utilizzare l'opzione --use-default-roles. L'--use-default-rolesopzione specifica il ruolo del servizio e il ruolo per il profilo dell'EC2istanza definito nel config file per. AWS CLI

L'esempio seguente mostra il contenuto di un config file per AWS CLI i ruoli personalizzati specificati per Amazon. EMR Con questo file di configurazione, quando viene specificata l'--use-default-rolesopzione, il cluster viene creato utilizzando MyCustomServiceRoleForEMR e MyCustomServiceRoleForClusterEC2Instances. Per impostazione predefinita, il config file specifica l'impostazione predefinita service_role come AmazonElasticMapReduceRole e l'impostazione predefinita instance_profile comeEMR_EC2_DefaultRole.

[default] output = json region = us-west-1 aws_access_key_id = myAccessKeyID aws_secret_access_key = mySecretAccessKey emr = service_role = MyCustomServiceRoleForEMR instance_profile = MyCustomServiceRoleForClusterEC2Instances