Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Ruolo di servizio per i notebook EMR
Ogni EMR notebook necessita delle autorizzazioni per accedere ad altre AWS risorse ed eseguire azioni. Le IAM politiche associate a questo ruolo di servizio forniscono le autorizzazioni per consentire al notebook di interagire con altri servizi. AWS Quando si crea un notebook utilizzando AWS Management Console, si specifica un ruolo di AWS servizio. È possibile utilizzare il ruolo predefinito, EMR_Notebooks_DefaultRole, oppure specificare un ruolo creato. Se un notebook non è stato creato in precedenza, è possibile scegliere di creare il ruolo predefinito.
-
Il nome del ruolo predefinito è
EMR_Notebooks_DefaultRole. -
Le policy gestite di default allegate a
EMR_Notebooks_DefaultRolesonoAmazonElasticMapReduceEditorsRoleeS3FullAccessPolicy.
Il tuo ruolo di servizio dovrebbe utilizzare la seguente policy di attendibilità:
Importante
La seguente politica di fiducia include aws:SourceArnle chiavi di condizione aws:SourceAccountglobali, che limitano le autorizzazioni concesse EMR ad Amazon a particolari risorse del tuo account. Il loro utilizzo può proteggerti dal problema del "confused deputy".
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "elasticmapreduce.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "<account-id>" }, "ArnLike": { "aws:SourceArn": "arn:aws:elasticmapreduce:<region>:<account-id>:*" } } } ] }
Il contenuto della versione 1 di AmazonElasticMapReduceEditorsRole è il seguente.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "elasticmapreduce:ListInstances", "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListSteps" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "aws:elasticmapreduce:editor-id", "aws:elasticmapreduce:job-flow-id" ] } } } ] }
Di seguito sono riportati il contenuto di S3FullAccessPolicy. S3FullAccessPolicyConsente al tuo ruolo di servizio per EMR Notebook di eseguire tutte le azioni di Amazon S3 sugli oggetti del tuo. Account AWS Quando crei un ruolo di servizio personalizzato per EMR Notebook, devi concedere al tuo ruolo di servizio le autorizzazioni Amazon S3.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": "*" } ] }
È possibile individuare l'accesso in lettura e scrittura per il ruolo di servizio nella posizione Amazon S3 in cui si desidera salvare i file del notebook. Utilizza il seguente set minimo di autorizzazioni Amazon S3.
"s3:PutObject", "s3:GetObject", "s3:GetEncryptionConfiguration", "s3:ListBucket", "s3:DeleteObject"
Se il bucket Amazon S3 è crittografato, devi includere le seguenti autorizzazioni per AWS Key Management Service.
"kms:Decrypt", "kms:GenerateDataKey", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey"
Quando colleghi i repository Git al tuo notebook e devi creare un segreto per il repository, devi aggiungere l'secretsmanager:GetSecretValueautorizzazione nella IAM policy allegata al ruolo di servizio per i notebook AmazonEMR. Di seguito è illustrato un esempio di policy:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] }
EMRAutorizzazioni del ruolo di servizio dei notebook
Questa tabella elenca le azioni intraprese da EMR Notebooks utilizzando il ruolo di servizio, insieme alle autorizzazioni necessarie per ciascuna azione.
| Azione | Autorizzazioni |
|---|---|
| Stabilisci un canale di rete sicuro tra un notebook e un EMR cluster Amazon ed esegui le azioni di pulizia necessarie. |
|
| Utilizza le credenziali Git memorizzate in AWS Secrets Manager per collegare i repository Git a un notebook. |
|
| Applica i AWS tag all'interfaccia di rete e ai gruppi di sicurezza predefiniti creati da EMR Notebooks durante la configurazione del canale di rete sicuro. Per ulteriori informazioni, consulta Assegnazione di tag alle risorse AWS. |
|
| Accedi o carica i file notebook e i metadati in Amazon S3. |
Le seguenti autorizzazioni sono necessarie solo se utilizzi un bucket Amazon S3 crittografato.
|
EMRNotebook: aggiornamenti alle politiche gestite AWS
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per i EMR notebook dal 1° marzo 2021.
| Modifica | Descrizione | Data |
|---|---|---|
AmazonElasticMapReduceEditorsRole - Added
permissions |
EMRNotebook aggiunti e autorizzazioni per. |
8 febbraio 2023 |
EMRI taccuini hanno iniziato a tenere traccia delle modifiche |
EMRNotebooks ha iniziato a tenere traccia delle modifiche relative alle politiche gestite. AWS |
8 febbraio 2023 |
