Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione dei ruoli di servizio IAM per le autorizzazioni di Amazon EMR per i servizi e risorse AWS
Amazon EMR e applicazioni come Hadoop e Spark hanno bisogno di autorizzazioni per accedere ad altre risorse AWS ed eseguire operazioni quando sono in esecuzione. Ogni cluster in Amazon EMR deve avere un ruolo di servizio e un ruolo per il profilo dell'istanza Amazon EC2. Per ulteriori informazioni, consulta Ruoli IAM e Utilizzo dei profili dell'istanza nella Guida per l'utente IAM. Le policy IAM allegate a questi ruoli forniscono al cluster le autorizzazioni per interagire con altri servizi AWS per conto di un utente.
Un ruolo aggiuntivo, il ruolo Auto Scaling, è necessario se il cluster utilizza la scalabilità automatica in Amazon EMR. Il ruolo AWS di servizio per EMR Notebooks è richiesto se si utilizzano EMR Notebooks.
Amazon EMR fornisce ruoli e policy gestite predefiniti che determinano le autorizzazioni per ciascun ruolo. Le policy gestite vengono create e gestite da AWS, quindi vengono aggiornate automaticamente se i requisiti del servizio cambiano. Per ulteriori informazioni, consulta Policy gestite da AWS nella Guida per l'utente IAM.
Se si sta creando un cluster o un notebook per la prima volta in un account, i ruoli per Amazon EMR non esistono ancora. Una volta creati, è possibile visualizzare i ruoli, le policy allegate e le autorizzazioni consentite o negate dalle policy nella console IAM (https://console.aws.amazon.com/iam/
Modifica di policy basate sull'identità per le autorizzazioni a passare i ruoli del servizio per Amazon EMR
Le policy gestite predefinite con autorizzazioni complete di Amazon EMR incorporano configurazioni di sicurezza iam:PassRole
, tra cui:
Autorizzazioni
iam:PassRole
solo per specifici ruoli Amazon EMR predefiniti.iam:PassedToService
condizioni che consentono di utilizzare la politica solo con AWS servizi specifici, ad esempioelasticmapreduce.amazonaws.com
eec2.amazonaws.com
.
Puoi visualizzare la versione JSON delle policy AmazonEMR FullAccessPolicy _v2 e ServicePolicyAmazonEMR
Riepilogo del ruolo di servizio
La tabella seguente elenca i ruoli del servizio IAM associati ad Amazon EMR per riferimento rapido.
Funzione | Ruolo predefinito | Descrizione | Policy gestita predefinita |
---|---|---|---|
|
Consente ad Amazon EMR di chiamare altri AWS servizi per tuo conto durante il provisioning di risorse e l'esecuzione di azioni a livello di servizio. Questo ruolo è obbligatorio per tutti i cluster. |
ImportantePer richiedere le Istanze spot è necessario un ruolo collegato al servizio. Se questo ruolo non esiste, il ruolo di servizio Amazon EMR deve avere l'autorizzazione per crearlo, altrimenti si verifica un errore di autorizzazione. Se si prevede di richiedere istanze Spot, è necessario aggiornare questa policy per includere un'istruzione che consenta la creazione di questo ruolo collegato al servizio. Per ulteriori informazioni, consulta Ruolo di servizio per Amazon EMR (ruolo EMR) il ruolo collegato ai servizi per le richieste di istanze Spot nella Guida per l'utente di Amazon EC2. |
|
Ruolo di servizio per istanze EC2 del cluster (profilo istanza EC2) |
|
I processi applicativi eseguiti sull'ecosistema Hadoop su istanze cluster utilizzano questo ruolo quando chiamano altri servizi. AWS Per accedere ai dati in Amazon S3 utilizzando EMRFS, è possibile specificare diversi ruoli da assumere in base alla posizione dei dati in Amazon S3. Ad esempio, più team possono accedere a un singolo "account di archiviazione" dei dati di Amazon S3. Per ulteriori informazioni, consulta Configurazione di ruoli IAM per le richieste EMRFS ad Amazon S3. Questo ruolo è obbligatorio per tutti i cluster. |
|
Ruolo di servizio per il dimensionamento automatico in Amazon EMR (ruolo Auto Scaling) |
|
Consente di eseguire azioni aggiuntive per ambienti con dimensionamento dinamico. Necessario solo per i cluster che utilizzano la scalabilità automatica in Amazon EMR. Per ulteriori informazioni, consulta Utilizzo del dimensionamento automatico con una policy personalizzata per i gruppi di istanze. |
|
|
Fornisce le autorizzazioni necessarie a un notebook EMR per accedere ad AWS altre risorse ed eseguire azioni. Richiesto solo se si utilizza EMR Notebooks. |
|
|
|
Amazon EMR crea automaticamente un ruolo collegato ai servizi. Se il servizio per Amazon EMR ha perso la capacità di eliminare risorse Amazon EC2, Amazon EMR può utilizzare questo ruolo per farlo. Se un cluster usa le istanze Spot, le policy di autorizzazione associate a Ruolo di servizio per Amazon EMR (ruolo EMR) devono consentire la creazione di un ruolo collegato al servizio. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per Amazon EMR. |
|
Argomenti
- Ruoli di servizio IAM utilizzati da Amazon EMR
- Personalizzazione dei ruoli IAM
- Configurazione di ruoli IAM per le richieste EMRFS ad Amazon S3
- Utilizzo di policy basate su risorse per l'accesso Amazon EMR ad AWS Glue Data Catalog
- I ruoli IAM possono essere utilizzati con le applicazioni che richiamano direttamente i servizi AWS
- Consentire a utenti e gruppi di creare e modificare i ruoli