翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon EMRマネージドポリシー
必要な Amazon EMRアクションへのフルアクセスまたは読み取り専用アクセスを許可する最も簡単な方法は、Amazon の IAMマネージドポリシーを使用することですEMR。管理ポリシーは、アクセス権限の条件が変更された場合に、自動的に更新されるというメリットを提供します。インラインポリシーを使用する場合は、サービスの変更によってアクセス許可エラーが発生する場合があります。
Amazon は、新しい管理ポリシー (v2 ポリシー) を優先して、既存の管理ポリシー (v1 ポリシー) を廃止EMRする予定です。新しい管理ポリシーは、 AWS ベストプラクティスに合わせてスコープダウンされています。既存の v1 管理ポリシーが廃止されると、これらのポリシーを新しいIAMロールまたはユーザーにアタッチできなくなります。廃止されたポリシーを使用している既存のロールおよびユーザーは、それらを引き続き使用できます。v2 管理ポリシーは、タグを使用してアクセスを制限します。指定された Amazon EMRアクションのみが許可され、 EMR固有のキーでタグ付けされたクラスターリソースが必要です。新しい v2 ポリシーを使用する前に、ドキュメントを慎重に確認することをお勧めします。
v1 ポリシーは、IAMコンソールのポリシーリストの横に警告アイコンが表示され、非推奨とマークされます。非推奨ポリシーには、次の特徴があります。
-
現在アタッチされているすべてのユーザー、グループ、およびロールで引き続き機能します。中断される処理はありません。
-
新しいユーザー、グループ、またはロールにアタッチすることはできません。現在のエンティティからポリシーのいずれかをデタッチした場合、再アタッチすることはできません。
-
現在のすべてのエンティティから v1 ポリシーをデタッチすると、ポリシーは表示されなくなり、使用できなくなります。
次の表は、現在のポリシー (v1) ポリシーと v2 ポリシーの変更点をまとめたものです。
Amazon EMRマネージドポリシーの変更 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ポリシータイプ | ポリシー名 | ポリシーの目的 | v2 ポリシーへの変更 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
デフォルトのEMRサービスロールとアタッチされた管理ポリシー |
ロール名: EMR_DefaultRole V1 ポリシー (廃止予定): AmazonElasticMapReduceRole (EMR サービスロール) V2 (範囲制限) ポリシー名: AmazonEMRServicePolicy_v2 |
リソースEMRをプロビジョニングし、 AWS サービスレベルのアクションを実行するときに、Amazon がユーザーに代わって他の サービスを呼び出すことを許可します。このロールは、すべてのクラスターに必須です。 |
ポリシーは新しいアクセス許可 を追加します |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
IAM アタッチされたユーザー、ロール、またはグループによる完全な Amazon EMR アクセスの マネージドポリシー |
V2 (範囲制限) ポリシー名: AmazonEMRServicePolicy_v2 |
EMR アクションに対する完全なアクセス許可をユーザーに付与します。リソースの iam:PassRole permissions が含まれます。 |
ポリシーは、ユーザーがこのポリシーを使用する前にリソースにユーザータグを追加する必要があるという前提条件を追加します。「管理ポリシーを使用するためにリソースにタグを付ける」を参照してください。 iam:PassRole action では、iam:PassedToService condition を指定されたサービスに設定する必要があります。Amazon EC2、Amazon S3、およびその他の サービスへのアクセスは、デフォルトでは許可されていません。IAM 「フルアクセス用の マネージドポリシー (v2 マネージドデフォルトポリシー)」を参照してください。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
IAM アタッチされたユーザー、ロール、またはグループによる読み取り専用アクセスの マネージドポリシー |
V1 ポリシー (非推奨化予定): AmazonElasticMapReduceReadOnlyAccess V2 (範囲制限) ポリシー名: AmazonEMRReadOnlyAccessPolicy_v2 |
Amazon EMRアクションの読み取り専用アクセス許可をユーザーに許可します。 |
アクセス許可によって、指定された elasticmapreduce の読み取り専用アクションのみが許可されます。Amazon S3 へのアクセスは、デフォルトではアクセスが許可されていません。IAM 「読み取り専用アクセス用の マネージドポリシー (v2 マネージドデフォルトポリシー)」を参照してください。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
デフォルトのEMRサービスロールとアタッチされた管理ポリシー |
ロール名: EMR_DefaultRole V1 ポリシー (廃止予定): AmazonElasticMapReduceRole (EMR サービスロール) V2 (範囲制限) ポリシー名: AmazonEMRServicePolicy_v2 |
リソースEMRをプロビジョニングし、 AWS サービスレベルのアクションを実行するときに、Amazon がユーザーに代わって他の サービスを呼び出すことを許可します。このロールは、すべてのクラスターに必須です。 |
v2 サービスロールと v2 デフォルトポリシーは、非推奨のロールとポリシーを置き換えます。このポリシーは、ユーザーがこのポリシーを使用する前にリソースにユーザータグを追加する必要があるという前提条件を追加します。「」を参照してください管理ポリシーを使用するためにリソースにタグを付ける 「」を参照してくださいAmazon のサービスロール EMR (EMR ロール) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
クラスターEC2インスタンスのサービスロール (EC2 インスタンスプロファイル) |
ロール名: EMR_EC2_DefaultRole 廃止されたポリシー名: AmazonElasticMapReduceforEC2Role |
EMR クラスターで実行されているアプリケーションが Amazon S3 などの他の AWS リソースにアクセスできるようにします。例えば、Amazon S3 からのデータを処理する Apache Spark ジョブを実行する場合、ポリシーでそのようなリソースへのアクセスを許可する必要があります。 |
デフォルトロールとデフォルトポリシーの両方が非推奨予定です。代替の AWS デフォルトのマネージドロールやポリシーはありません。リソースベースまたは ID ベースのポリシーを提供する必要があります。つまり、デフォルトでは、 EMRクラスターで実行されているアプリケーションは、ポリシーに手動で追加しない限り、Amazon S3 または他のリソースにアクセスできません。「デフォルトのロールとデフォルトの管理ポリシー」を参照してください。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
その他のEC2サービスロールポリシー |
現在のポリシー名: AmazonElasticMapReduceforAutoScalingRole、 AmazonElasticMapReduceEditorsRole、A mazonEMRCleanupポリシー |
Auto Scaling、ノートブック、またはリソースEMRのクリーンアップを使用する場合に、Amazon が他の AWS EC2 リソースにアクセスしてアクションを実行するために必要なアクセス許可を提供します。 |
v2 で変更はありません。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iam の保護:PassRole
Amazon EMRフルアクセス許可のデフォルトの管理ポリシーには、以下を含むiam:PassRoleセキュリティ設定が組み込まれています。
iam:PassRole特定のデフォルトの Amazon EMRロールに対する 許可のみ。iam:PassedToServiceや などの指定された AWS サービスでのみポリシーを使用できるようにするelasticmapreduce.amazonaws.com条件ec2.amazonaws.com。
IAM コンソールで A mazonEMRFullAccessPolicy_v2
カスタムポリシーを作成するには、管理ポリシーから始め、条件にしたがって編集することをお勧めします。
ユーザー (プリンシパル) にポリシーをアタッチする方法については、「 ユーザーガイド」の「 を使用した マネージドポリシー AWS Management Consoleの操作」を参照してください。 IAM
管理ポリシーを使用するためにリソースにタグを付ける
mazonEMRServicePolicy_v2 および A mazonEMRFullAccessPolicy_v2 は、Amazon がEMRプロビジョニングまたは使用するリソースへのスコープダウンアクセスに依存します。事前に定義されたユーザータグが関連付けられているリソースのみにアクセスを制限することで、範囲制限を行います。これらの 2 つのポリシーのいずれかを使用する場合は、クラスターをプロビジョニングする際に、事前定義のユーザータグ for-use-with-amazon-emr-managed-policies =
true を渡す必要があります。その後EMR、Amazon はそのタグを自動的に伝播します。さらに、次のセクションにリストされているリソースにユーザータグを追加する必要があります。Amazon EMRコンソールを使用してクラスターを起動する場合は、「」を参照してくださいAmazon EMRコンソールを使用して v2 管理ポリシーでクラスターを起動する際の考慮事項。
管理ポリシーを使用するには、、、またはその他の方法でクラスターをプロビジョニングfor-use-with-amazon-emr-managed-policies = trueするときにCLISDKユーザータグを渡します。
タグを渡すと、Amazon EMR は作成したプライベートサブネット ENI、EC2インスタンス、EBSボリュームにタグを伝播します。Amazon EMR は、作成したセキュリティグループにも自動的にタグ付けします。ただし、特定のセキュリティグループで Amazon EMRを起動する場合は、タグ付けする必要があります。Amazon によって作成されていないリソースについてはEMR、それらのリソースにタグを追加する必要があります。例えば、Amazon EC2サブネット、EC2セキュリティグループ (Amazon によって作成されていない場合EMR)、および VPCs (Amazon でセキュリティグループを作成する場合) EMRにタグを付ける必要があります。で v2 管理ポリシーを使用してクラスターを起動するにはVPCs、事前定義されたユーザータグVPCsでクラスターにタグを付ける必要があります。「Amazon EMRコンソールを使用して v2 管理ポリシーでクラスターを起動する際の考慮事項」を参照してください。
伝播されたユーザー指定のタグ付け
Amazon EMR は、クラスターの作成時に指定した Amazon EMR タグを使用して、作成したリソースにタグを付けます。Amazon は、クラスターの存続期間中に作成したリソースにタグEMRを適用します。
Amazon EMR は、次のリソースのユーザータグを伝播します。
-
プライベートサブネット ENI (サービスアクセス Elastic Network Interface)
-
EC2 インスタンス
-
EBS ボリューム
-
EC2 起動テンプレート
自動的にタグ付けされたセキュリティグループ
Amazon EMR は、クラスター作成コマンドで指定したタグに関係なくEMR、Amazon 、 の v2 管理ポリシーに必要なタグを使用してfor-use-with-amazon-emr-managed-policies、作成したEC2セキュリティグループにタグ付けします。v2 管理ポリシーの導入前に作成されたセキュリティグループの場合、Amazon EMRはセキュリティグループに自動的にタグを付けません。アカウントにすでに存在するデフォルトのセキュリティグループで v2 管理ポリシーを使用する場合は、for-use-with-amazon-emr-managed-policies = true を使用して、セキュリティグループに手動でタグを付ける必要があります。
手動でタグ付けされたクラスターリソース
Amazon のEMRデフォルトロールからアクセスできるように、一部のクラスターリソースに手動でタグ付けする必要があります。
-
EC2 セキュリティグループとEC2サブネットには、Amazon EMRマネージドポリシータグ を手動でタグ付けする必要があります
for-use-with-amazon-emr-managed-policies。 -
Amazon でデフォルトのセキュリティグループを作成するVPC場合はEMR、 に手動でタグ付けする必要があります。EMR デフォルトのセキュリティグループがまだ存在しない場合、 は特定のタグを持つセキュリティグループを作成しようとします。
Amazon は、次のリソースEMRに自動的にタグを付けます。
-
EMRが作成したEC2セキュリティグループ
次のリソースに手動でタグ付けを行う必要があります。
-
EC2 サブネット
-
EC2 セキュリティグループ
必要に応じて、次のリソースに手動でタグ付けできます。
-
VPC - Amazon EMRでセキュリティグループを作成する場合のみ
Amazon EMRコンソールを使用して v2 管理ポリシーでクラスターを起動する際の考慮事項
Amazon EMRコンソールを使用して、v2 管理ポリシーでクラスターをプロビジョニングできます。コンソールを使用して Amazon EMRクラスターを起動する際の考慮事項を以下に示します。
-
事前定義のタグを渡す必要はありません。Amazon はタグEMRを自動的に追加し、適切なコンポーネントに伝達します。
-
手動でタグ付けする必要があるコンポーネントの場合、リソースにタグ付けするために必要なアクセス許可がある場合、古い Amazon EMRコンソールは自動的にタグ付けを試みます。リソースにタグを付けるアクセス許可がない場合、またはコンソールを使用する場合は、管理者にそれらのリソースにタグを付けるよう依頼してください。
-
すべての前提条件が満たされない限り、v2 管理ポリシーを使用してクラスターを起動することはできません。
-
古い Amazon EMRコンソールには、タグ付けする必要があるリソース (VPC/サブネット) が表示されます。
AWS Amazon の マネージドポリシー EMR
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) が更新されます。 AWS サービス は、新しい AWS が起動されたとき、または既存のサービスで新しいAPIオペレーションが使用可能になったときに、 AWS 管理ポリシーを更新する可能性が最も高くなります。
詳細については、「 ユーザーガイド」の「 AWS 管理ポリシーIAM」を参照してください。
