Esegui un EMR Studio Workspace con un ruolo di runtime - Amazon EMR
Concessione delle autorizzazioniAvvia un clusterUsa il cluster con il tuo spazio di lavoroConsiderazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esegui un EMR Studio Workspace con un ruolo di runtime

Un ruolo di runtime è un ruolo (IAM) AWS Identity and Access Management che puoi specificare quando invii un processo o una query a un cluster Amazon EMR. Il lavoro o la query che invii al tuo cluster EMR utilizza il ruolo di runtime per accedereAWSrisorse, come oggetti in Amazon S3.

Quando colleghi un EMR Studio Workspace a un cluster EMR che utilizza Amazon EMR 6.11 o versione successiva, puoi selezionare un ruolo di runtime per il lavoro o la query che invii da utilizzare al momento dell'accessoAWSrisorse. Tuttavia, se il cluster EMR non supporta i ruoli di runtime, il cluster EMR non assumerà il ruolo quando accedeAWSrisorse.

Prima di poter utilizzare un ruolo di runtime con un Amazon EMR Studio Workspace, un amministratore deve configurare le autorizzazioni utente in modo che l'utente di Studio possa chiamareelasticmapreduce:GetClusterSessionCredentialsAPI sul ruolo di runtime. Quindi, avvia un nuovo cluster con un ruolo di runtime che puoi utilizzare con Amazon EMR Studio Workspace.

Configurazione delle autorizzazioni utente per il ruolo di runtime

Configura le autorizzazioni utente in modo che l'utente di Studio possa chiamareelasticmapreduce:GetClusterSessionCredentialsAPI sul ruolo di runtime che l'utente desidera utilizzare. È inoltre necessario configurareConfigurazione delle autorizzazioni utente di EMR Studioprima che l'utente possa iniziare a usare Studio.

avvertimento

Per concedere questa autorizzazione, crea una condizione basata suelasticmapreduce:ExecutionRoleArnchiave di contesto quando concedi a un chiamante l'accesso per chiamare ilGetClusterSessionCredentialsAPI. I seguenti esempi mostrano come eseguire questa operazione.

{
      "Sid": "AllowSpecificExecRoleArn",
      "Effect": "Allow",
      "Action": [
          "elasticmapreduce:GetClusterSessionCredentials"
      ],
      "Resource": "*",
      "Condition": {
          "StringEquals": {
              "elasticmapreduce:ExecutionRoleArn": [
                  "arn:aws:iam::111122223333:role/test-emr-demo1",
                  "arn:aws:iam::111122223333:role/test-emr-demo2"
              ]
          }
      }
  }

L'esempio seguente dimostra come consentire a un preside IAM di utilizzare un ruolo IAM denominatotest-emr-demo3come ruolo di runtime. Inoltre, il titolare della polizza potrà accedere ai cluster Amazon EMR solo con l'ID del clusterj-123456789.

{
    "Sid":"AllowSpecificExecRoleArn",
    "Effect":"Allow",
    "Action":[
        "elasticmapreduce:GetClusterSessionCredentials"
    ],
    "Resource": [
          "arn:aws:elasticmapreduce:<region>:111122223333:cluster/j-123456789"
     ],
    "Condition":{
        "StringEquals":{
            "elasticmapreduce:ExecutionRoleArn":[
                "arn:aws:iam::111122223333:role/test-emr-demo3"
            ]
        }
    }
}

L'esempio seguente consente a un preside IAM di utilizzare qualsiasi ruolo IAM con un nome che inizia con la stringa.test-emr-demo4come ruolo di runtime. Inoltre, il titolare della polizza potrà accedere solo ai cluster Amazon EMR contrassegnati con la coppia chiave-valoretagKey: tagValue.

{
    "Sid":"AllowSpecificExecRoleArn",
    "Effect":"Allow",
    "Action":[
        "elasticmapreduce:GetClusterSessionCredentials"
    ],
    "Resource": "*",
    "Condition":{
        "StringEquals":{
             "elasticmapreduce:ResourceTag/tagKey": "tagValue"
        },
        "StringLike":{
            "elasticmapreduce:ExecutionRoleArn":[
                "arn:aws:iam::111122223333:role/test-emr-demo4*"
            ]
        }
    }
}

Avvia un nuovo cluster con un ruolo di runtime

Ora che disponi delle autorizzazioni richieste, avvia un nuovo cluster con un ruolo di runtime che puoi utilizzare con Amazon EMR Studio Workspace.

Se hai già avviato un nuovo cluster con un ruolo di runtime, puoi passare alUsa il cluster EMR con un ruolo di runtime in Workspacessezione.

  1. Innanzitutto, completa i prerequisiti nelRuoli di runtime per le fasi di Amazon EMRsezione.

  2. Quindi, avvia un cluster con le seguenti impostazioni per utilizzare i ruoli di runtime con Amazon EMR Studio Workspaces. Per istruzioni sull'avvio del cluster, consulta la sezione Impostazione di una configurazione di sicurezza per un cluster.

    • Scegli l'etichetta di rilascio emr-6.11.0 o versione successiva.

    • Seleziona Spark, Livy e Jupyter Enterprise Gateway come applicazioni del cluster.

    • Usa la configurazione di sicurezza che hai creato nel passaggio precedente.

    • Facoltativamente, puoi abilitare Lake Formation per il tuo cluster EMR. Per ulteriori informazioni, consulta Abilitazione di Amazon EMR con Lake Formation.

Dopo aver avviato il cluster, sei pronto perusa il cluster abilitato ai ruoli di runtime con un EMR Studio Workspace.

Nota

LaExecutionRoleArnil valore non è attualmente supportato con StartNotebookExecutionFunzionamento dell'API quandoExecutionEngineConfig.Typeil valore èEMR.

Usa il cluster EMR con un ruolo di runtime in Workspaces

Dopo aver configurato e avviato il cluster, è possibile utilizzare il cluster abilitato ai ruoli di runtime con EMR Studio Workspace.

  1. Crea un nuovo spazio di lavoro o avvia uno spazio di lavoro esistente. Per ulteriori informazioni, consulta Creazione di un WorkSpace EMR Studio.

  2. Scegli laCluster EMRlinguetta nella barra laterale sinistra del tuo spazio di lavoro aperto, espandiTipo di elaborazionesezione e scegli il tuo cluster dallaCluster EMR su EC2menu e il ruolo di esecuzione dalRuolo in fase di esecuzionemenù.

    L'interfaccia utente di EMR Studio Workspace, basata suJupyterLabinterfaccia, con schede contrassegnate da icone nella barra laterale sinistra.

  3. ScegliAllegaper collegare il cluster con ruolo di runtime al tuo spazio di lavoro.

Considerazioni

Tieni presente le seguenti considerazioni quando utilizzi un cluster abilitato ai ruoli di runtime con Amazon EMR Studio Workspace:

  • Puoi selezionare un ruolo di runtime solo quando colleghi un EMR Studio Workspace a un cluster EMR che utilizza Amazon EMR versione 6.11 o successiva.

  • Sebbene sia necessario configurare autorizzazioni aggiuntive prima di poter specificare un ruolo di runtime quando si invia un lavoro a un cluster, non sono necessarie autorizzazioni aggiuntive per accedere ai file generati da un EMR Studio Workspace. Le autorizzazioni per tali file sono le stesse dei file generati da cluster senza ruoli di runtime.

  • Non è possibile utilizzare SQL Explorer in uno spazio di lavoro di EMR Studio con un cluster con un ruolo di runtime. Amazon EMR disattiva SQL Explorer nell'interfaccia utente quando un Workspace è collegato a un cluster EMR abilitato ai ruoli di runtime.

  • Non è possibile utilizzare la modalità di collaborazione in un EMR Studio Workspace con un cluster con un ruolo di runtime. Amazon EMR disattiva le funzionalità di collaborazione di Workspace quando un Workspace è collegato a un cluster EMR abilitato ai ruoli di runtime. Il Workspace rimarrà accessibile solo all'utente che lo ha collegato.

  • Potresti ricevere un avviso«La pagina potrebbe non essere sicura!» da Spark UI per un cluster abilitato ai ruoli di runtime. In tal caso, ignora l'avviso per continuare a visualizzare l'interfaccia utente di Spark.