Policy gestite da Amazon EMR

Il modo più semplice di concedere accesso completo o in sola lettura alle operazioni di Amazon EMR necessarie è utilizzare le policy gestite da IAM per Amazon EMR. Le policy gestite offrono il vantaggio di essere aggiornate automaticamente nel momento in cui i requisiti di autorizzazione cambiano. Se utilizzi policy inline, è possibile che si verifichino degli errori di autorizzazione in caso di modifiche al servizio.

Amazon EMR renderà obsolete le policy gestite esistenti (policy v1), a favore di nuove policy gestite (policy v2). Le nuove policy gestite sono state definite in modo da essere allineate con le best practice AWS. Dopo che le policy gestite v1 renderà obsolete, non sarà possibile allegare queste policy a nuovi ruoli o utenti IAM. I ruoli e gli utenti esistenti che utilizzano policy obsolete possono continuare a utilizzarli. Le policy gestite v2 limitano l'accesso utilizzando i tag. Consentono solo operazioni Amazon EMR specifiche e richiedono risorse cluster contrassegnate con una chiave specifica per EMR. Si consiglia di esaminare attentamente la documentazione prima di utilizzare le nuove policy v2.

Le policy v1 verranno contrassegnate come obsolete con un'icona di avviso accanto a esse nell'elenco Policies (Policy) della console IAM. Le policy obsolete avranno le seguenti caratteristiche:

• Continuano a funzionare per tutti gli utenti, gruppi e ruoli attualmente collegati. Nessuna interruzione.

• Non possono essere collegate a nuovi utenti, gruppi o ruoli. Se una delle policy viene scollegata da un'entità corrente, non è possibile collegarla nuovamente.

• Dopo aver scollegato una policy v1 da tutte le entità correnti, la policy non sarà più visibile e non potrà essere utilizzata.

Nella tabella seguente sono riepilogate le modifiche tra le policy correnti (v1) e le policy v2.

Modifiche alle policy gestite da EMR
Tipo di policy	Nomi delle policy	Scopo della policy	Modifiche alla policy v2
Policy IAM gestite per un accesso completo a EMR da parte di utente, ruolo o gruppo collegato	Policy V1 (da essere resa obsoleta): AmazonElasticMapReduceFullAccess Nome della policy V2 (con ambito): AmazonEMRFullAccessPolicy_v2	Consente agli utenti autorizzazioni complete per le operazioni EMR. Include iam:PassRole autorizzazioni per le risorse.	La policy aggiunge il prerequisito secondo cui gli utenti devono aggiungere tag utente alle risorse prima di poter utilizzare questa policy. Consultare Assegnazione di tag alle risorse per l'utilizzo delle policy gestite. scopo:PassRole l'azione richiede iam:PassedToService condizione impostata sul servizio specificato. L'accesso ad Amazon EC2, Amazon S3 e ad altri servizi non è consentito per impostazione predefinita. Consulta Policy IAM gestita per l'accesso completo (policy predefinita gestita v2).
Policy IAM gestita per un accesso di sola lettura parte di utente, ruolo o gruppo collegato	Policy V1 (da essere resa obsoleta): AmazonElasticMapReduceReadOnlyAccess Nome della policy V2 (con ambito): AmazonEMRReadOnlyAccessPolicy_v2	Consente agli utenti autorizzazioni di sola lettura per le operazioni di Amazon EMR.	Le autorizzazioni si riferiscono esclusivamente alle operazioni elasticmapreduce di sola lettura specificate. Per impostazione predefinita, l'accesso ad Amazon S3 non è consentito. Consulta Policy IAM gestita per l'accesso di sola lettura (policy predefinita gestita v2).
Ruolo di servizio EMR predefinito e policy gestita collegata	Nome del ruolo:EMR_DefaultRole Politica V1 (da rendere obsoleta):AmazonElasticMapReduceRole(Ruolo del servizio EMR) Nome della policy v2 (con ambito): AmazonEMRServicePolicy_v2	Permette ad Amazon EMR di chiamare altri servizi AWS per conto dell'utente quando effettua il provisioning delle risorse ed esegue operazioni a livello di servizio. Questo ruolo è obbligatorio per tutti i cluster.	Il ruolo di servizio v2 e la policy predefinita v2 sostituiscono il ruolo e la policy obsoleti. La policy aggiunge il prerequisito secondo cui gli utenti devono aggiungere tag utente alle risorse prima di poter utilizzare questa policy. Consultare Assegnazione di tag alle risorse per l'utilizzo delle policy gestite. Consultare Ruolo di servizio per Amazon EMR (ruolo EMR).
Ruolo di servizio per istanze EC2 del cluster (profilo istanza EC2)	Politica V1 (da rendere obsoleta):EMR_EC2_DefaultRole(profilo di istanza) Nome della politica obsoleto:AmazonElasticMapReduceforRuolo EC2	Consente alle applicazioni in esecuzione su un cluster EMR di accedere ad altre risorse AWS, ad esempio Amazon S3. Ad esempio, se esegui i processi Apache Spark che elaborano i dati da Amazon S3, la policy deve consentire l'accesso a tali risorse.	Sia il ruolo predefinito che la policy predefinita diventeranno presto obsoleti. Non sono previsti ruoli o policy AWS gestiti predefiniti sostitutivi. È necessario fornire una policy basata su risorse o su identità. Ciò significa che, per impostazione predefinita, le applicazioni in esecuzione su un cluster EMR non hanno accesso ad Amazon S3 o ad altre risorse a meno che non vengano aggiunte manualmente alla policy. Consultare Ruolo predefinito e policy gestita.
Altre policy del ruolo di servizio EC2	Nomi delle politiche correnti:AmazonElasticMapReduceforAutoScalingRole,AmazonElasticMapReduceEditorsRole, Amazon EMRCleanupPolicy	Fornisce le autorizzazioni necessarie a EMR per accedere ad altre risorse AWS ed eseguire operazioni se si utilizza la scalabilità automatica, i notebook o per eliminare le risorse EC2.	Nessuna modifica per v2.

Obiettivo di protezione:PassRole

Le policy gestite predefinite con autorizzazioni complete di Amazon EMR incorporano configurazioni di sicurezza iam:PassRole, tra cui:

• Autorizzazioni iam:PassRole solo per specifici ruoli Amazon EMR predefiniti.

• Condizioni iam:PassedToService che consentono di utilizzare la policy solo con servizi AWS specificati, quali elasticmapreduce.amazonaws.com e ec2.amazonaws.com.

È possibile visualizzare la versione JSON diAmazon EMRFullAccessPolicy_v2eAmazon EMRServicePolicy_v2politiche nella console IAM. Ti consigliamo di creare i nuovi cluster con le policy gestite v2.

Per creare policy personalizzate, ti consigliamo di iniziare con le policy gestite e di modificarle in base alle tue esigenze.

Per informazioni su come allegare le policy a un utente (principals), vediUtilizzo delle politiche gestite utilizzando ilAWS Management ConsolenelGuida per l'utente IAM.

Assegnazione di tag alle risorse per l'utilizzo delle policy gestite

Amazon EMRServicePolicy_v2eAmazon EMRFullAccessPolicy_v2dipendono dall'accesso limitato alle risorse fornite o utilizzate da Amazon EMR. L'ambito inferiore si ottiene limitando l'accesso solo a quelle risorse a cui è associato un tag utente predefinito. Quando si utilizza una di queste due policy, è necessario passare il tag utente predefinito for-use-with-amazon-emr-managed-policies = true durante il provisioning del cluster. Amazon EMR propaga automaticamente tale tag. Inoltre, è necessario aggiungere un tag utente alle risorse elencate nella sezione seguente. Se utilizzi la console Amazon EMR per avviare il cluster, consulta la sezione Considerazioni sull'utilizzo della console Amazon EMR per avviare cluster con policy gestite v2.

Per utilizzare le policy gestite, passa il tag utente for-use-with-amazon-emr-managed-policies = true durante il provisioning di un cluster con la CLI, l'SDK o un altro metodo.

Quando si passa il tag, Amazon EMR propaga il tag all'ENI della sottorete privata, all'istanza EC2 e ai volumi EBS creati. Amazon EMR assegna automaticamente tag anche ai gruppi di sicurezza creati. Tuttavia, se desideri che Amazon EMR venga avviato con un determinato gruppo di sicurezza, devi taggarlo. Per le risorse che non sono state create da Amazon EMR, è necessario aggiungere i tag a tali risorse. Ad esempio, dovrai taggare le sottoreti Amazon EC2, i gruppi di sicurezza EC2 (se non creati da Amazon EMR) e i VPC (se desideri che Amazon EMR crei gruppi di sicurezza). Per avviare cluster con policy gestite v2 nei VPC, è necessario taggare tali VPC con il tag utente predefinito. Per informazioni, consultare Considerazioni sull'utilizzo della console Amazon EMR per avviare cluster con policy gestite v2.

Assegnazione di tag propagata specificata dall'utente

Amazon EMR contrassegna le risorse create utilizzando i tag Amazon EMR specificati durante la creazione di un cluster. Amazon EMR applica tag alle risorse create durante il ciclo di vita del cluster.

Amazon EMR propaga i tag utente per le seguenti risorse:

• ENI della sottorete privata (interfacce di rete elastiche di accesso ai servizi)

• Istanze EC2

• Volumi EBS

• Modello di avvio di EC2

Gruppi di sicurezza con tag automatici

Amazon EMR tagga i gruppi di sicurezza EC2 creati con il tag richiesto per le policy gestite v2 per Amazon EMR, for-use-with-amazon-emr-managed-policies, indipendentemente dai tag specificati nel comando di creazione del cluster. Per un gruppo di sicurezza creato prima dell'introduzione delle policy gestite v2, Amazon EMR non tagga automaticamente il gruppo di sicurezza. Se si desidera utilizzare policy gestite v2 con i gruppi di sicurezza predefiniti già esistenti nell'account, è necessario taggare manualmente i gruppi di sicurezza con for-use-with-amazon-emr-managed-policies = true.

Risorse cluster con tag manuali

Occorre taggare manualmente alcune risorse del cluster in modo che possano essere accessibili dai ruoli predefiniti di Amazon EMR.

• Occorre taggare manualmente i gruppi di sicurezza EC2 e le sottoreti EC2 con il tag for-use-with-amazon-emr-managed-policies della policy gestita da Amazon EMR.

• Occorre taggare manualmente un VPC se vuoi che Amazon EMR crei gruppi di sicurezza predefiniti. EMR tenterà di creare un gruppo di sicurezza con il tag specifico se il gruppo di sicurezza predefinito non esiste già.

Amazon EMR tagga automaticamente le seguenti risorse:

• Gruppi di sicurezza EC2 creati da EMR

È necessario aggiungere i tag manualmente alle risorse seguenti:

• Sottorete EC2

• Gruppo di sicurezza EC2

È necessario taggare manualmente le risorse seguenti:

• VPC: solo quando si desidera che Amazon EMR crei gruppi di sicurezza

Considerazioni sull'utilizzo della console Amazon EMR per avviare cluster con policy gestite v2

Puoi eseguire il provisioning di cluster con policy gestite v2 utilizzando la console Amazon EMR. Di seguito sono riportate alcune considerazioni quando utilizzi la console per avviare cluster Amazon EMR.

Nota

Abbiamo riprogettato la console Amazon EMR. La nuova console non dispone ancora della funzionalità di applicazione di tag automatica e non mostra nemmeno quali risorse (VPC/sottoreti) devono essere taggate. Per maggiori informazioni sulle differenze tra la vecchia e la nuova esperienza sulla console, consulta la sezione Novità della console.

• Non è necessario passare il tag predefinito. Amazon EMR aggiunge automaticamente il tag e lo propaga ai componenti appropriati.

• Per i componenti che devono essere taggati manualmente, la vecchia console Amazon EMR tenta di applicare automaticamente i tag se disponi delle autorizzazioni necessarie per taggare le risorse. Se non disponi delle autorizzazioni per taggare le risorse o vuoi utilizzare la nuova console, chiedi all'amministratore di taggare tali risorse.

• Non è possibile avviare cluster con policy gestite v2 a meno che non siano soddisfatti tutti i prerequisiti.

• La vecchia console Amazon EMR mostra quali risorse (VPC/sottorete) devono essere taggate.

Policy gestite da AWS per Amazon EMR

Per aggiungere le autorizzazioni a utenti, gruppi e ruoli, è più semplice utilizzare policy gestite da AWS piuttosto che scrivere autonomamente le policy. La creazione di policy gestite dai clienti IAM che forniscono al tuo team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, utilizza le nostre policy gestite da AWS. Queste policy coprono i casi d'uso più comuni e sono disponibili nel tuo account AWS. Per ulteriori informazioni sulle policy gestite da AWS, consulta Policy gestite da AWS nella Guida per l'utente di IAM.

I servizi AWS mantengono e aggiornano le policy gestite da AWS. Non è possibile modificare le autorizzazioni nelle policy gestite da AWS. I servizi occasionalmente aggiungono altre autorizzazioni a una policy gestita da AWS per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una policy gestita da AWS quando viene avviata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy gestita da AWS, pertanto gli aggiornamenti delle policy non interrompono le autorizzazioni esistenti.

Inoltre, AWS supporta policy gestite per le funzioni di processi che coprono più servizi. Ad esempio,ReadOnlyAccess AWSla politica gestita fornisce l'accesso in sola lettura a tuttiAWSservizi e risorse. Quando un servizio avvia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l'elenco e la descrizione delle policy di funzione dei processi, consulta la sezione Policy gestite da AWS per funzioni di processi nella Guida per l'utente di IAM.

Aggiornamenti di Amazon EMR sulle policy gestite da AWS

Visualizza i dettagli sugli aggiornamenti alle policy gestite da AWS per Amazon EMR da quando questo servizio ha iniziato a tenere traccia delle modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, sottoscrivere il feed RSS nella pagina della cronologia dei documenti di Amazon EMR.

Modifica	Descrizione	Data
AmazonEMRFullAccessPolicy_v2 e AmazonEMRReadOnlyAccessPolicy_v2: aggiornamento a una policy esistente	Aggiunto elasticmapreduce:ListSupportedInstanceTypes.	13 luglio 2023
AmazonEMRFullAccessPolicy_v2 e AmazonEMRReadOnlyAccessPolicy_v2: aggiornamento a una policy esistente	Aggiunto elasticmapreduce:DescribeReleaseLabel e elasticmapreduce:GetAutoTerminationPolicy.	21 aprile 2022
AmazonEMRFullAccessPolicy_v2: aggiornamento a una policy esistente	Aggiunta di ec2:DescribeImages per Utilizzo di un'AMI personalizzata.	15 febbraio 2022
Policy gestite da Amazon EMR	Aggiornato per chiarire l'uso di tag utente predefiniti. Aggiunta della sezione sull'utilizzo del console AWS per avviare cluster con policy gestite v2.	29 settembre 2021
AmazonEMRFullAccessPolicy_v2: aggiornamento a una policy esistente	Modifica delle operazioni PassRoleForAutoScaling e PassRoleForEC2 per utilizzare l'operatore di condizione StringLike in modo che corrispondano a "iam:PassedToService":"application-autoscaling.amazonaws.com*" e "iam:PassedToService":"ec2.amazonaws.com*" rispettivamente.	20 maggio 2021
AmazonEMRFullAccessPolicy_v2: aggiornamento a una policy esistente	Rimozione dell'operazione s3:ListBuckets non valida e sostituzione con l'operazione s3:ListAllMyBuckets. Aggiornamento della creazione del ruolo collegato al servizio (SLR) in modo esplicito fino all'unico SLR di Amazon EMR con principi di servizio espliciti. Gli SLR che possono essere creati sono uguali a quelli precedenti a questa modifica.	23 marzo 2021
AmazonEMRFullAccessPolicy_v2: nuova policy	Amazon EMR ha aggiunto nuove autorizzazioni per l'ambito dell'accesso alle risorse e per aggiungere il prerequisito secondo cui gli utenti devono aggiungere un tag utente predefinito alle risorse prima di poter utilizzare le policy gestite da Amazon EMR. L'operazione iam:PassRole richiede che la condizione iam:PassedToService sia impostata sul servizio specificato. L'accesso ad Amazon EC2, Amazon S3 e ad altri servizi non è consentito per impostazione predefinita.	11 marzo 2021
AmazonEMRServicePolicy_v2: nuova policy	Aggiunge il prerequisito secondo cui gli utenti devono aggiungere tag utente alle risorse prima di poter utilizzare questa policy.	11 marzo 2021
AmazonEMRReadOnlyAccessPolicy_v2: nuova policy	Le autorizzazioni si riferiscono esclusivamente alle operazioni elasticmapreduce di sola lettura specificate. Per impostazione predefinita, l'accesso ad Amazon S3 non è consentito.	11 marzo 2021
Amazon EMR ha iniziato a monitorare le modifiche	Amazon EMR ha iniziato a monitorare le modifiche per le sue policy gestite da AWS.	11 marzo 2021