Policy gestite da Amazon EMR - Amazon EMR
Obiettivo sicuro: PassRoleAssegnazione di tag alle risorse per l'utilizzo delle policy gestiteAvvio del cluster nella console con policy v2AWS politiche gestite

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Policy gestite da Amazon EMR

Il modo più semplice di concedere accesso completo o in sola lettura alle operazioni di Amazon EMR necessarie è utilizzare le policy gestite da IAM per Amazon EMR. Le policy gestite offrono il vantaggio di essere aggiornate automaticamente nel momento in cui i requisiti di autorizzazione cambiano. Se utilizzi policy inline, è possibile che si verifichino degli errori di autorizzazione in caso di modifiche al servizio.

Amazon EMR renderà obsolete le policy gestite esistenti (policy v1), a favore di nuove policy gestite (policy v2). Le nuove politiche gestite sono state ridotte in modo da allinearle alle migliori pratiche. AWS Dopo che le policy gestite v1 renderà obsolete, non sarà possibile allegare queste policy a nuovi ruoli o utenti IAM. I ruoli e gli utenti esistenti che utilizzano policy obsolete possono continuare a utilizzarli. Le policy gestite v2 limitano l'accesso utilizzando i tag. Consentono solo operazioni Amazon EMR specifiche e richiedono risorse cluster contrassegnate con una chiave specifica per EMR. Si consiglia di esaminare attentamente la documentazione prima di utilizzare le nuove policy v2.

Le policy v1 verranno contrassegnate come obsolete con un'icona di avviso accanto a esse nell'elenco Policies (Policy) della console IAM. Le policy obsolete avranno le seguenti caratteristiche:

  • Continuano a funzionare per tutti gli utenti, gruppi e ruoli attualmente collegati. Nessuna interruzione.

  • Non possono essere collegate a nuovi utenti, gruppi o ruoli. Se una delle policy viene scollegata da un'entità corrente, non è possibile collegarla nuovamente.

  • Dopo aver scollegato una policy v1 da tutte le entità correnti, la policy non sarà più visibile e non potrà essere utilizzata.

Nella tabella seguente sono riepilogate le modifiche tra le policy correnti (v1) e le policy v2.

Modifiche alle policy gestite da Amazon EMR
Tipo di policy Nomi delle policy Scopo della policy Modifiche alla policy v2

Ruolo di servizio EMR predefinito e policy gestita collegata

Nome del ruolo: EMR_ DefaultRole

Criterio V1 (da rendere obsoleto): (ruolo del servizio AmazonElasticMapReduceRoleEMR)

Nome della policy v2 (con ambito): AmazonEMRServicePolicy_v2

Consente ad Amazon EMR di chiamare altri AWS servizi per tuo conto durante il provisioning di risorse e l'esecuzione di azioni a livello di servizio. Questo ruolo è obbligatorio per tutti i cluster.

La policy aggiunge la nuova autorizzazione. "ec2:DescribeInstanceTypeOfferings" Questa operazione API restituisce un elenco di tipi di istanze supportati da un elenco di determinate zone di disponibilità.

Policy gestita da IAM per l'accesso completo ad Amazon EMR per utente, ruolo o gruppo collegato

Nome della policy V2 (con ambito): AmazonEMRServicePolicy_v2

Consente agli utenti autorizzazioni complete per le operazioni EMR. Include iam: PassRole autorizzazioni per le risorse.

La policy aggiunge il prerequisito secondo cui gli utenti devono aggiungere tag utente alle risorse prima di poter utilizzare questa policy. Per informazioni, consulta Assegnazione di tag alle risorse per l'utilizzo delle policy gestite.

iam: PassRole l'azione richiede iam: PassedToService condizione impostata sul servizio specificato. L'accesso ad Amazon EC2, Amazon S3 e ad altri servizi non è consentito per impostazione predefinita. Consulta Policy IAM gestita per l'accesso completo (policy predefinita gestita v2).

Policy IAM gestita per un accesso di sola lettura parte di utente, ruolo o gruppo collegato

Policy V1 (da essere resa obsoleta): AmazonElasticMapReduceReadOnlyAccess

Nome della policy V2 (con ambito): AmazonEMRReadOnlyAccessPolicy_v2

Consente agli utenti autorizzazioni di sola lettura per le operazioni di Amazon EMR.

Le autorizzazioni si riferiscono esclusivamente alle operazioni elasticmapreduce di sola lettura specificate. Per impostazione predefinita, l'accesso ad Amazon S3 non è consentito. Consulta Policy IAM gestita per l'accesso di sola lettura (policy predefinita gestita v2).

Ruolo di servizio EMR predefinito e policy gestita collegata

Nome del ruolo: EMR_ DefaultRole

Criterio V1 (da rendere obsoleto): (ruolo del servizio AmazonElasticMapReduceRoleEMR)

Nome della policy v2 (con ambito): AmazonEMRServicePolicy_v2

Consente ad Amazon EMR di chiamare altri AWS servizi per tuo conto durante il provisioning di risorse e l'esecuzione di azioni a livello di servizio. Questo ruolo è obbligatorio per tutti i cluster.

Il ruolo di servizio v2 e la policy predefinita v2 sostituiscono il ruolo e la policy obsoleti. La policy aggiunge il prerequisito secondo cui gli utenti devono aggiungere tag utente alle risorse prima di poter utilizzare questa policy. Consulta Assegnazione di tag alle risorse per l'utilizzo delle policy gestite. Per informazioni, consulta Ruolo di servizio per Amazon EMR (ruolo EMR).

Ruolo di servizio per istanze EC2 del cluster (profilo istanza EC2)

Policy V1 (da rendere obsoleta): EMR_EC2_ (profilo di istanza) DefaultRole

Nome della politica obsoleto: EC2Role AmazonElasticMapReducefor

Consente alle applicazioni in esecuzione su un cluster EMR di accedere ad altre risorse AWS , ad esempio Amazon S3. Ad esempio, se esegui i processi Apache Spark che elaborano i dati da Amazon S3, la policy deve consentire l'accesso a tali risorse.

Sia il ruolo predefinito che la policy predefinita diventeranno presto obsoleti. Non esiste un ruolo o una politica gestiti AWS predefiniti sostitutivi. È necessario fornire una policy basata su risorse o su identità. Ciò significa che, per impostazione predefinita, le applicazioni in esecuzione su un cluster EMR non hanno accesso ad Amazon S3 o ad altre risorse a meno che non vengano aggiunte manualmente alla policy. Per informazioni, consulta Ruolo predefinito e policy gestita.

Altre policy del ruolo di servizio EC2

Nomi delle politiche correnti: AmazonElasticMapReduceforAutoScalingRole, AmazonElasticMapReduceEditorsRole, AmazonEMR CleanupPolicy

Fornisce le autorizzazioni necessarie ad Amazon EMR per accedere ad AWS altre risorse ed eseguire azioni se si utilizza la scalabilità automatica, i notebook o per ripulire le risorse EC2.

Nessuna modifica per v2.

Proteggere lo scopo: PassRole

Le policy gestite predefinite con autorizzazioni complete di Amazon EMR incorporano configurazioni di sicurezza iam:PassRole, tra cui:

  • Autorizzazioni iam:PassRole solo per specifici ruoli Amazon EMR predefiniti.

  • iam:PassedToServicecondizioni che consentono di utilizzare la politica solo con AWS servizi specifici, come elasticmapreduce.amazonaws.com eec2.amazonaws.com.

Puoi visualizzare la versione JSON delle policy AmazonEMR FullAccessPolicy _v2 e ServicePolicyAmazonEMR _v2 nella console IAM. Ti consigliamo di creare i nuovi cluster con le policy gestite v2.

Per creare policy personalizzate, ti consigliamo di iniziare con le policy gestite e di modificarle in base alle tue esigenze.

Per informazioni su come collegare policy a utenti (entità principali), consulta Utilizzo di policy gestite mediante la AWS Management Console nella Guida per l'utente IAM.

Assegnazione di tag alle risorse per l'utilizzo delle policy gestite

AmazonEMR ServicePolicy _v2 e AmazonEMR _v2 dipendono dall'accesso limitato alle FullAccessPolicy risorse che Amazon EMR fornisce o utilizza. L'ambito inferiore si ottiene limitando l'accesso solo a quelle risorse a cui è associato un tag utente predefinito. Quando si utilizza una di queste due policy, è necessario passare il tag utente predefinito for-use-with-amazon-emr-managed-policies = true durante il provisioning del cluster. Amazon EMR propaga automaticamente tale tag. Inoltre, è necessario aggiungere un tag utente alle risorse elencate nella sezione seguente. Se utilizzi la console Amazon EMR per avviare il cluster, consulta la sezione Considerazioni sull'utilizzo della console Amazon EMR per avviare cluster con policy gestite v2.

Per utilizzare le policy gestite, passa il tag utente for-use-with-amazon-emr-managed-policies = true durante il provisioning di un cluster con la CLI, l'SDK o un altro metodo.

Quando si passa il tag, Amazon EMR propaga il tag all'ENI della sottorete privata, all'istanza EC2 e ai volumi EBS creati. Amazon EMR assegna automaticamente tag anche ai gruppi di sicurezza creati. Tuttavia, se desideri che Amazon EMR venga avviato con un determinato gruppo di sicurezza, devi taggarlo. Per le risorse che non sono state create da Amazon EMR, è necessario aggiungere i tag a tali risorse. Ad esempio, dovrai taggare le sottoreti Amazon EC2, i gruppi di sicurezza EC2 (se non creati da Amazon EMR) e i VPC (se desideri che Amazon EMR crei gruppi di sicurezza). Per avviare cluster con policy gestite v2 nei VPC, è necessario taggare tali VPC con il tag utente predefinito. Per informazioni, consultare Considerazioni sull'utilizzo della console Amazon EMR per avviare cluster con policy gestite v2.

Assegnazione di tag propagata specificata dall'utente

Amazon EMR contrassegna le risorse create utilizzando i tag Amazon EMR specificati durante la creazione di un cluster. Amazon EMR applica tag alle risorse create durante il ciclo di vita del cluster.

Amazon EMR propaga i tag utente per le seguenti risorse:

  • ENI della sottorete privata (interfacce di rete elastiche di accesso ai servizi)

  • Istanze EC2

  • Volumi EBS

  • Modello di avvio di EC2

Gruppi di sicurezza con tag automatici

Amazon EMR tagga i gruppi di sicurezza EC2 creati con il tag richiesto per le policy gestite v2 per Amazon EMR, for-use-with-amazon-emr-managed-policies, indipendentemente dai tag specificati nel comando di creazione del cluster. Per un gruppo di sicurezza creato prima dell'introduzione delle policy gestite v2, Amazon EMR non tagga automaticamente il gruppo di sicurezza. Se si desidera utilizzare policy gestite v2 con i gruppi di sicurezza predefiniti già esistenti nell'account, è necessario taggare manualmente i gruppi di sicurezza con for-use-with-amazon-emr-managed-policies = true.

Risorse cluster con tag manuali

Occorre taggare manualmente alcune risorse del cluster in modo che possano essere accessibili dai ruoli predefiniti di Amazon EMR.

  • Occorre taggare manualmente i gruppi di sicurezza EC2 e le sottoreti EC2 con il tag for-use-with-amazon-emr-managed-policies della policy gestita da Amazon EMR.

  • Occorre taggare manualmente un VPC se vuoi che Amazon EMR crei gruppi di sicurezza predefiniti. EMR tenterà di creare un gruppo di sicurezza con il tag specifico se il gruppo di sicurezza predefinito non esiste già.

Amazon EMR tagga automaticamente le seguenti risorse:

  • Gruppi di sicurezza EC2 creati da EMR

È necessario aggiungere i tag manualmente alle risorse seguenti:

  • Sottorete EC2

  • Gruppo di sicurezza EC2

È necessario taggare manualmente le risorse seguenti:

  • VPC: solo quando si desidera che Amazon EMR crei gruppi di sicurezza

Considerazioni sull'utilizzo della console Amazon EMR per avviare cluster con policy gestite v2

Puoi eseguire il provisioning di cluster con policy gestite v2 utilizzando la console Amazon EMR. Di seguito sono riportate alcune considerazioni quando utilizzi la console per avviare cluster Amazon EMR.

Nota

Abbiamo riprogettato la console Amazon EMR. La nuova console non dispone ancora della funzionalità di applicazione di tag automatica e non mostra nemmeno quali risorse (VPC/sottoreti) devono essere taggate. Per maggiori informazioni sulle differenze tra la vecchia e la nuova esperienza sulla console, consulta la sezione Console Amazon EMR.

  • Non è necessario passare il tag predefinito. Amazon EMR aggiunge automaticamente il tag e lo propaga ai componenti appropriati.

  • Per i componenti che devono essere taggati manualmente, la vecchia console Amazon EMR tenta di applicare automaticamente i tag se disponi delle autorizzazioni necessarie per taggare le risorse. Se non disponi delle autorizzazioni per taggare le risorse o vuoi utilizzare la nuova console, chiedi all'amministratore di taggare tali risorse.

  • Non è possibile avviare cluster con policy gestite v2 a meno che non siano soddisfatti tutti i prerequisiti.

  • La vecchia console Amazon EMR mostra quali risorse (VPC/sottorete) devono essere taggate.

AWS politiche gestite per Amazon EMR

Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.

Per ulteriori informazioni, consultare Policy gestite da AWSnella Guida per l'utente di IAM.