Amazon EMR 管理ポリシー - Amazon EMR

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EMR 管理ポリシー

必要な Amazon EMR アクションにフルアクセスまたは読み取り専用アクセスを付与する最も簡単な方法は、Amazon EMR の IAM 管理ポリシーを使用することです。管理ポリシーは、アクセス権限の条件が変更された場合に、自動的に更新されるというメリットを提供します。インラインポリシーを使用する場合は、サービスの変更によってアクセス許可エラーが発生する場合があります。

Amazon EMR は 2021 年 5 月 1 日に既存の管理ポリシーを廃止し、新しい管理ポリシー (v2 ポリシー) を採用する予定です。新しい管理ポリシーは、AWS のベストプラクティスに合わせて範囲が縮小されました。2021 年 5 月 1 日以降は、これらのポリシーを新しい IAM ロールまたはユーザーにアタッチできなくなります。廃止されたポリシーを使用する既存のロールとユーザーは、引き続き使用できます。v2 管理ポリシーでは、指定した Amazon EMR アクションのみが許可され、EMR 固有のキーでタグ付けされたクラスターリソースが必要です。新しい v2 ポリシーを使用する前に、ドキュメントをよく見直すことをお勧めします。

v1 ポリシーは、非推奨とマークされ、ポリシー] リストに表示されます。廃止されたポリシーの特性は次のとおりです。

  • ポリシーは、現在アタッチされているすべてのユーザー、グループ、およびロールの処理を継続します。中断される処理はありません。

  • これらのアカウントは、新しいユーザー、グループ、またはロールにアタッチできません。ポリシーの 1 つを現在のエンティティからデタッチした場合、再アタッチすることはできません。

  • 現在のすべてのエンティティから v1 ポリシーをデタッチしたら、ポリシーは表示されなくなり、使用不能となります。

次の表は、現在のポリシーと v2 ポリシーの変更をまとめたものです。

EMR 管理ポリシーの変更
ポリシータイプ ポリシー名 ポリシーの目的 v2 ポリシーの変更

アタッチされたユーザー、ロール、またはグループによるフル EMR アクセス用のデフォルトの IAM 管理ポリシー

非推奨のポリシー名:AmazonElasticMapReduceFullAccess

v2 (スコープ) ポリシー名:AmazonEMRFullAccessPolicy_v2

EMR アクションに対する完全なアクセス許可をユーザーに許可します。リソースの IAM: passRole アクセス許可が含まれます。

Policy は、ユーザーがこのポリシーを使用する前にリソースにユーザータグを追加する必要があるという前提条件を追加します。「管理ポリシーを使用するためのリソースのタグ付け」を参照してください。

IAM: PassRole アクションには、指定したサービスに IAM: PassedToService 条件を設定する必要があります。Amazon EC2、Amazon S3、およびその他のサービスへのアクセスは、デフォルトでは許可されていません。「」を参照してください。完全アクセスの IAM 管理ポリシー(v2 管理デフォルトポリシー)

アタッチされたユーザー、ロール、またはグループによる読み取り専用アクセスのための IAM 管理ポリシー

非推奨のポリシー名:AmazonElasticMapReduceReadOnlyAccess

v2 (スコープ) ポリシー名:AmazonEMRReadOnlyAccessPolicy_v2

Amazon EMR アクションに対する読み取り専用アクセス許可をユーザーに許可します。

アクセス許可は、指定した elasticmapreduce 読み取り専用アクション Amazon S3 へのアクセスは、デフォルトでは許可されていません。「」を参照してください。読み取り専用アクセスのための IAM 管理ポリシー (v2 マネージドデフォルトポリシー)

デフォルトの EMR サービスロールとアタッチされた管理ポリシー

ロール名: EMR_DefaultRole

非推奨のポリシー名: AmazonElasticMapReduceRole(EMR サービスロール)

V2(スコープダウン)ポリシー名:AmazonEMRServicePolicy_v2

リソースをプロビジョニングしてサービスレベルのアクションを実行する際にユーザーに代わって Amazon EMR に他の AWS サービスを呼び出すことを許可します。このロールは、すべてのクラスターに必須です。

v2 サービスロールと v2 デフォルトポリシーは、非推奨のロールとポリシーを置き換えます。このポリシーでは、ユーザーがこのポリシーを使用する前に、リソースにユーザータグを追加する必要があるという前提条件が追加されます。「管理ポリシーを使用するためのリソースのタグ付け」を参照してください。「Amazon EMR のサービスロール (EMR ロール)」を参照してください。

クラスター EC2 インスタンスのサービスロール(EC2 インスタンスプロファイル)

廃止予定のロール名: defaultRole(インスタンスプロファイル)

非推奨のポリシー名: AmazonElasticMapReduceforEC2Role

EMR クラスターで実行されているアプリケーションが、Amazon S3 などの他の AWS リソースにアクセスできるようにします。たとえば、Amazon S3 からのデータを処理する Apache Spark ジョブを実行する場合、ポリシーはそのリソースへのアクセスを許可する必要があります。

デフォルトロールとデフォルトポリシーの両方が、非推奨へのパスにあります。代替の AWS デフォルト管理ロールまたはポリシーはありません。リソースベースまたは ID ベースのポリシーを指定する必要があります。つまり、デフォルトでは、EMR クラスターで実行されているアプリケーションは、ポリシーに手動で追加しない限り、Amazon S3 やその他のリソースにアクセスできません。「デフォルトのロールとデフォルトの管理ポリシー」を参照してください。

EC2 サービスロールポリシー

現在のポリシー名: AmazonElasticMapReduceforAutoScalingRole、AmazonElasticMapReduceEditorsRole、Amazonemrcleanup

Auto Scaling、ノートブックを使用している場合、または EC2 リソースをクリーンアップする場合に、EMR が他の AWS リソースにアクセスしてアクションを実行するために必要なアクセス許可を提供します。

v2 は変更されません。

IAM のセキュリティ保護:パスロール

Amazon EMR の完全なアクセス許可のデフォルト管理ポリシー(AmazonEMRFullAccessPolicy_v2) および Amazon EMR サービスポリシー (AmazonEMRServicePolicy_v2) を使用して、非推奨になるポリシーを置き換えることができます。v2 ポリシーには、次のような新しい IAM: PassRole セキュリティ設定が組み込まれています。

  • iam:PassRoleアクセス権限は、特定のデフォルト Amazon EMR ロールに対してのみ付与されます。

  • iam:PassedToServiceなど、指定した AWS サービスのみでポリシーを使用できるようにする条件elasticmapreduce.amazonaws.comおよびec2.amazonaws.com

JSON バージョンのAmazonemrFullAccessPolicyおよびAmazonemrServicePolicyポリシーは、IAM コンソールに表示されます。

v2 管理ポリシーを使用して新しいクラスターを作成することをお勧めします。

カスタムポリシーを作成するには、管理ポリシーから始め、条件にしたがって編集することをお勧めします。

IAM ユーザー (プリンシパル) にポリシーをアタッチする方法の詳細については、「」を参照してください。AWS マネジメントコンソールを使用したマネージドポリシーの操作()IAM ユーザーガイド

管理ポリシーを使用するためのリソースのタグ付け

AmazonEMRServicePolicy_v2 および AmazonEMRFullAccessPolicy_v2 は、Amazon EMR がプロビジョニングまたは使用するリソースへのスコープダウンアクセスに依存します。これら 2 つのポリシーのいずれかを使用する場合は、ユーザータグfor-use-with-amazon-emr-managed-policies = trueクラスターのプロビジョニング時に。Amazon EMR は、そのタグを自動的に伝達します。さらに、次のセクションにリストされているリソースにユーザータグを手動で追加する必要があります。

管理ポリシーを使用するには、次の手順を行います。

  • ユーザータグを渡すfor-use-with-amazon-emr-managed-policies = trueCLI、SDK、またはその他の方法を使用してクラスターをプロビジョニングするときに使用します。

    タグを渡すと、Amazon EMR は、作成したプライベートサブネット ENI、EC2 インスタンス、EBS ボリュームにタグを伝播します。Amazon EMR は、作成したセキュリティグループにも自動的にタグ付けします。ただし、Amazon EMR を特定のセキュリティグループで起動する場合は、タグを付ける必要があります。

  • 特定のリソースを手動でタグ付けします。

    EC2 サブネット、EC2 セキュリティグループ(Amazon EMR で作成されていない場合)、および VPC(EMR でセキュリティグループを作成する場合)にタグを付ける必要があります。

伝播されたユーザー指定のタグ付け

Amazon EMR は、クラスターの作成時に指定した Amazon EMR タグを使用して作成するリソースにタグを付けます。Amazon EMR は、クラスターの存続期間中に作成するリソースにタグを適用します。

Amazon EMR は、次のリソースのユーザータグを伝播します。

  • プライベートサブネット ENI(サービスアクセスエラスティックネットワークインターフェイス)

  • EC2 インスタンス

  • EBS ボリューム

  • EC2 起動テンプレート

自動タグ付けされたセキュリティグループ

Amazon EMR は、Amazon EMR の v2 管理ポリシーに必要なタグを使用して、作成した EC2 セキュリティグループにタグを付けます。for-use-with-amazon-emr-managed-policiesは、create cluster コマンドで指定するタグとは関係ありません。v2 管理ポリシーが導入される前に作成されたセキュリティグループの場合、Amazon EMR はセキュリティグループに自動的にタグ付けしません。アカウントにすでに存在するデフォルトのセキュリティグループで v2 管理ポリシーを使用する場合は、for-use-with-amazon-emr-managed-policies = true

手動でタグ付けされたクラスタリソース

Amazon EMR のデフォルトロールからアクセスできるように、一部のクラスターリソースを手動でタグ付けする必要があります。

  • Amazon EMR 管理ポリシータグを使用して EC2 セキュリティグループと EC2 サブネットを手動でタグ付けする必要がありますfor-use-with-amazon-emr-managed-policies

  • Amazon EMR でデフォルトのセキュリティグループを作成する場合は、VPC に手動でタグを付ける必要があります。デフォルトのセキュリティグループが存在しない場合、EMR は特定のタグを持つセキュリティグループの作成を試みます。

Amazon EMR は、次のリソースを自動的にタグ付けします。

  • EMR で作成された EC2 セキュリティグループ

次のリソースに手動でタグ付けを行う必要があります。

  • EC2 サブネット

  • EC2 セキュリティグループ

オプションで、次のリソースに手動でタグを付けることができます。

  • VPC-Amazon EMR でセキュリティグループを作成する場合のみ

Amazon EMR の AWS マネージドポリシー

ユーザー、グループ、ロールにアクセス権限を追加するには、ポリシーを自身で記述するよりも、AWS 管理ポリシーを使用する方が簡単です。それはに時間と専門知識が必要ですIAM カスタマー管理ポリシーを作成するチームに必要な権限のみを付与します。すぐに開始するには、AWS 管理ポリシーを使用できます。これらのポリシーは、一般的なユースケースをカバーし、AWS アカウントで使用できます。AWS 管理ポリシーの詳細については、「」を参照してください。AWS マネージドポリシー()IAM ユーザーガイド

AWS サービスは、AWS 管理ポリシーを維持および更新します。AWS 管理ポリシーでは、アクセス許可は変更できません。サービスは、新しい機能をサポートするために AWS 管理ポリシーに追加のアクセス許可を追加することがあります。この種類の更新は、ポリシーがアタッチされたすべての ID (ユーザー、グループ、ロール) に影響します。サービスは、新しい機能が起動されたときや新しいオペレーションが利用可能になったときに、AWS 管理ポリシーを更新する可能性が最も高くなります。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が破損することはありません。

さらに、AWS は、複数のサービスにまたがるジョブ機能の管理ポリシーをサポートしています。たとえば、ReadOnlyAccessAWS マネージドポリシーは、すべての AWS のサービスとリソースに読み取り専用アクセスを提供します。サービスが新しい機能を起動すると、AWS は新しいオペレーションとリソースに対して読み取り専用アクセス許可を追加します。職務機能ポリシーのリストと説明については、「」を参照してください。ジョブ機能の AWS マネージドポリシー()IAM ユーザーガイド

AWS 管理ポリシーに対する Amazon EMR の更新

このサービスがこれらの変更の追跡を開始してから、Amazon EMR の AWS 管理ポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、Amazon EMR ドキュメントの履歴ページの RSS フィードを購読してください。

変更 説明 日付

AmazonEMRFullAccessPolicy_v2— 既存のポリシーを更新する

無効なアクション s3: ListBuckets を削除し、s3: ListAllMyBuckets アクションに置き換えられました。

サービスリンクロール(SLR)の作成が更新され、Amazon EMR が明示的なサービス原則を持つ唯一の SLR に明示的にスコープダウンされました。作成できる SLR は、この変更前とまったく同じです。

2021年3月23日

AmazonEMRFullAccessPolicy_v2— 新しいポリシー

Amazon EMR では、リソースへのアクセスをスコープし、ユーザーが Amazon EMR 管理ポリシーを使用する前に、事前定義されたユーザータグをリソースに追加する必要があるという前提条件を追加するための新しいアクセス許可が追加されました。

IAM: PassRole アクションには、指定したサービスに IAM: PassedToService 条件を設定する必要があります。Amazon EC2、Amazon S3、およびその他のサービスへのアクセスは、デフォルトでは許可されていません。

2021年3月11日
AmazonEMRServicePolicy_v2— 新しいポリシー

ユーザーがこのポリシーを使用する前に、リソースにユーザータグを追加する必要があるという前提条件を追加します。

2021年3月11日
AmazonEMRReadOnlyAccessPolicy_v2— 新しいポリシー

アクセス許可は、指定した elasticmapreduce 読み取り専用アクション Amazon S3 へのアクセスは、デフォルトでは許可されていません。

2021年3月11日

Amazon EMR が変更の追跡を開始しました

Amazon EMR は、AWS 管理ポリシーの変更の追跡を開始しました。

2021年3月11日