翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon EMR管理ポリシー
必要な Amazon EMRアクションへのフルアクセスまたは読み取り専用アクセスを許可する最も簡単な方法は、Amazon の IAMマネージドポリシーを使用することですEMR。管理ポリシーは、アクセス権限の条件が変更された場合に、自動的に更新されるというメリットを提供します。インラインポリシーを使用する場合は、サービスの変更によってアクセス許可エラーが発生する場合があります。
Amazon は、新しい管理ポリシー (v2 ポリシー) を優先して、既存の管理ポリシー (v1 ポリシー) を廃止EMRします。新しい管理ポリシーは、 AWS ベストプラクティスに合わせてスコープダウンされています。既存の v1 管理ポリシーが廃止されると、これらのポリシーを新しいIAMロールまたはユーザーにアタッチできなくなります。廃止されたポリシーを使用している既存のロールおよびユーザーは、それらを引き続き使用できます。v2 管理ポリシーは、タグを使用してアクセスを制限します。指定された Amazon EMRアクションのみが許可され、 EMR固有のキーでタグ付けされたクラスターリソースが必要です。新しい v2 ポリシーを使用する前に、ドキュメントを慎重に確認することをお勧めします。
v1 ポリシーは、IAMコンソールのポリシーリストの横に警告アイコンが表示され、非推奨とマークされます。非推奨ポリシーには、次の特徴があります。
-
現在アタッチされているすべてのユーザー、グループ、およびロールで引き続き機能します。中断される処理はありません。
-
新しいユーザー、グループ、またはロールにアタッチすることはできません。現在のエンティティからポリシーのいずれかをデタッチした場合、再アタッチすることはできません。
-
現在のすべてのエンティティから v1 ポリシーをデタッチすると、ポリシーは表示されなくなり、使用できなくなります。
次の表は、現在のポリシー (v1) ポリシーと v2 ポリシーの変更点をまとめたものです。
ポリシータイプ | ポリシー名 | ポリシーの目的 | v2 ポリシーへの変更 |
---|---|---|---|
デフォルトのEMRサービスロールとアタッチされた管理ポリシー |
ロール名: EMR_DefaultRole V1 ポリシー (廃止予定): AmazonElasticMapReduceRole (EMR サービスロール) V2 (範囲制限) ポリシー名: AmazonEMRServicePolicy_v2 |
リソースEMRをプロビジョニングし AWS 、サービスレベルのアクションを実行するときに、Amazon がユーザーに代わって他の サービスを呼び出すことを許可します。このロールは、すべてのクラスターに必須です。 |
ポリシーは新しいアクセス許可 |
IAM アタッチされたユーザー、ロール、またはグループによる完全な Amazon EMR アクセスの マネージドポリシー |
V2 (範囲制限) ポリシー名: AmazonEMRServicePolicy_v2 |
EMR アクションに対する完全なアクセス許可をユーザーに付与します。リソースの iam:PassRole permissions が含まれます。 |
ポリシーは、ユーザーがこのポリシーを使用する前にリソースにユーザータグを追加する必要があるという前提条件を追加します。「管理ポリシーを使用するためにリソースにタグを付ける」を参照してください。 iam:PassRole action には、iam:PassedToService condition を指定されたサービスに設定する必要があります。Amazon EC2、Amazon S3、およびその他の サービスへのアクセスは、デフォルトでは許可されていません。IAM 「フルアクセス用の マネージドポリシー (v2 マネージドデフォルトポリシー)」を参照してください。 |
IAM アタッチされたユーザー、ロール、またはグループによる読み取り専用アクセス用の マネージドポリシー |
V1 ポリシー (非推奨化予定): AmazonElasticMapReduceReadOnlyAccess V2 (範囲制限) ポリシー名: AmazonEMRReadOnlyAccessPolicy_v2 |
Amazon EMRアクションの読み取り専用アクセス許可をユーザーに許可します。 |
アクセス許可によって、指定された elasticmapreduce の読み取り専用アクションのみが許可されます。Amazon S3 へのアクセスは、デフォルトではアクセスが許可されていません。IAM 「読み取り専用アクセス用の マネージドポリシー (v2 マネージドデフォルトポリシー)」を参照してください。 |
デフォルトのEMRサービスロールとアタッチされた管理ポリシー |
ロール名: EMR_DefaultRole V1 ポリシー (廃止予定): AmazonElasticMapReduceRole (EMR サービスロール) V2 (範囲制限) ポリシー名: AmazonEMRServicePolicy_v2 |
リソースEMRをプロビジョニングし AWS 、サービスレベルのアクションを実行するときに、Amazon がユーザーに代わって他の サービスを呼び出すことを許可します。このロールは、すべてのクラスターに必須です。 |
v2 サービスロールと v2 デフォルトポリシーは、非推奨のロールとポリシーを置き換えます。このポリシーは、ユーザーがこのポリシーを使用する前にリソースにユーザータグを追加する必要があるという前提条件を追加します。「」を参照してください管理ポリシーを使用するためにリソースにタグを付ける 「」を参照してくださいAmazon のサービスロール EMR (EMR ロール) |
クラスターEC2インスタンスのサービスロール (EC2 インスタンスプロファイル) |
ロール名: EMR_EC2_DefaultRole 廃止されたポリシー名: AmazonElasticMapReduceforEC2Role |
EMR クラスターで実行されているアプリケーションが Amazon S3 などの他の AWS リソースにアクセスできるようにします。例えば、Amazon S3 からのデータを処理する Apache Spark ジョブを実行する場合、ポリシーでそのようなリソースへのアクセスを許可する必要があります。 |
デフォルトロールとデフォルトポリシーの両方が非推奨予定です。代替の AWS デフォルトのマネージドロールまたはポリシーはありません。リソースベースまたは ID ベースのポリシーを提供する必要があります。つまり、デフォルトでは、 EMRクラスターで実行されているアプリケーションは、ポリシーに手動で追加しない限り、Amazon S3 または他のリソースにアクセスできません。「デフォルトのロールとデフォルトの管理ポリシー」を参照してください。 |
その他のEC2サービスロールポリシー |
現在のポリシー名: AmazonElasticMapReduceforAutoScalingRole、 AmazonElasticMapReduceEditorsRole、mazonEMRCleanupポリシー |
自動スケーリング、ノートブック、またはリソースEMRをクリーンアップする場合に、Amazon が他の AWS EC2リソースにアクセスしてアクションを実行するために必要なアクセス許可を提供します。 |
v2 で変更はありません。 |
IAM の保護:PassRole
Amazon EMRフルアクセス許可のデフォルトの管理ポリシーには、次のようなiam:PassRole
セキュリティ設定が組み込まれています。
iam:PassRole
特定のデフォルト Amazon EMRロールの 許可のみ。iam:PassedToService
elasticmapreduce.amazonaws.com
や など、指定された AWS サービスでのみポリシーを使用できるようにする 条件ec2.amazonaws.com
。
AmazonEMRFullAccessPolicy_v2
カスタムポリシーを作成するには、管理ポリシーから始め、条件にしたがって編集することをお勧めします。
ユーザー (プリンシパル) にポリシーをアタッチする方法については、「 IAMユーザーガイド」の「 を使用した管理ポリシー AWS Management Consoleの操作」を参照してください。
管理ポリシーを使用するためにリソースにタグを付ける
mazonEMRServicePolicy_v2 と AmazonEMRFullAccessPolicy_v2 は、Amazon がEMRプロビジョニングまたは使用するリソースへのスコープダウンアクセスに依存します。事前に定義されたユーザータグが関連付けられているリソースのみにアクセスを制限することで、範囲制限を行います。これらの 2 つのポリシーのいずれかを使用する場合は、クラスターをプロビジョニングする際に、事前定義のユーザータグ for-use-with-amazon-emr-managed-policies =
true
を渡す必要があります。その後EMR、Amazon はそのタグを自動的に伝播します。さらに、次のセクションにリストされているリソースにユーザータグを追加する必要があります。Amazon EMRコンソールを使用してクラスターを起動する場合は、「」を参照してくださいAmazon EMRコンソールを使用して v2 管理ポリシーでクラスターを起動する際の考慮事項。
管理ポリシーを使用するには、CLI、、またはその他の方法でクラスターをプロビジョニングfor-use-with-amazon-emr-managed-policies = true
するときにSDK、ユーザータグを渡します。
タグを渡すと、Amazon EMR は作成したプライベートサブネット ENI、EC2インスタンス、EBSボリュームにタグを伝播します。Amazon EMR は、作成するセキュリティグループにも自動的にタグ付けします。ただし、特定のセキュリティグループで Amazon EMRを起動する場合は、タグを付ける必要があります。Amazon によって作成されていないリソースの場合はEMR、それらのリソースにタグを追加する必要があります。例えば、Amazon EC2サブネット、EC2セキュリティグループ (Amazon によって作成されていない場合EMR)、および VPCs (Amazon でセキュリティグループを作成する場合) EMRにタグを付ける必要があります。で v2 管理ポリシーを使用してクラスターを起動するにはVPCs、事前定義されたユーザータグVPCsでクラスターにタグを付ける必要があります。「Amazon EMRコンソールを使用して v2 管理ポリシーでクラスターを起動する際の考慮事項」を参照してください。
伝播されたユーザー指定のタグ付け
Amazon EMR は、クラスターの作成時に指定した Amazon EMR タグを使用して、作成したリソースにタグ付けします。Amazon は、クラスターの存続期間中に作成するリソースにタグEMRを適用します。
Amazon EMR は、次のリソースのユーザータグを伝達します。
-
プライベートサブネット ENI (サービスアクセス Elastic Network Interface)
-
EC2 インスタンス
-
EBS ボリューム
-
EC2 起動テンプレート
自動的にタグ付けされたセキュリティグループ
Amazon EMR は、クラスター作成コマンドで指定したタグに関係なくEMR、Amazon 、 の v2 管理ポリシーに必要なタグを使用してfor-use-with-amazon-emr-managed-policies
、作成したEC2セキュリティグループにタグ付けします。v2 管理ポリシーの導入前に作成されたセキュリティグループの場合、Amazon EMR は自動的にセキュリティグループにタグ付けしません。アカウントにすでに存在するデフォルトのセキュリティグループで v2 管理ポリシーを使用する場合は、for-use-with-amazon-emr-managed-policies = true
を使用して、セキュリティグループに手動でタグを付ける必要があります。
手動でタグ付けされたクラスターリソース
Amazon のEMRデフォルトロールからアクセスできるように、一部のクラスターリソースに手動でタグ付けする必要があります。
-
EC2 セキュリティグループとEC2サブネットには、Amazon EMR管理ポリシータグ を手動でタグ付けする必要があります
for-use-with-amazon-emr-managed-policies
。 -
Amazon でデフォルトのセキュリティグループを作成するVPC場合は、手動で EMRにタグを付ける必要があります。デフォルトのセキュリティグループが存在しない場合、 EMRは特定のタグを持つセキュリティグループの作成を試みます。
Amazon は、次のリソースEMRに自動的にタグを付けます。
-
EMRが作成したEC2セキュリティグループ
次のリソースに手動でタグ付けを行う必要があります。
-
EC2 サブネット
-
EC2 セキュリティグループ
必要に応じて、次のリソースに手動でタグ付けできます。
-
VPC - Amazon でセキュリティグループEMRを作成する場合のみ
Amazon EMRコンソールを使用して v2 管理ポリシーでクラスターを起動する際の考慮事項
Amazon EMRコンソールを使用して、v2 管理ポリシーでクラスターをプロビジョニングできます。コンソールを使用して Amazon EMRクラスターを起動する際の考慮事項を以下に示します。
-
事前定義のタグを渡す必要はありません。Amazon はタグEMRを自動的に追加し、適切なコンポーネントに伝達します。
-
手動でタグ付けする必要があるコンポーネントの場合、リソースにタグ付けするために必要なアクセス許可がある場合、古い Amazon EMRコンソールは自動的にタグ付けを試みます。リソースにタグ付けするためのアクセス許可を持っていない場合、またはコンソールを使用する場合は、管理者にリソースのタグ付けを依頼してください。
-
すべての前提条件が満たされない限り、v2 管理ポリシーを使用してクラスターを起動することはできません。
-
古い Amazon EMRコンソールには、タグ付けする必要があるリソース (VPC/サブネット) が表示されます。
AWS Amazon の マネージドポリシー EMR
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) が更新されます。 AWS AWS のサービス は、新しい が起動されたとき、または既存のサービスで新しいAPIオペレーションが利用可能になったときに、 AWS 管理ポリシーを更新する可能性が最も高くなります。
詳細については、「IAM ユーザーガイド」の「AWS 管理ポリシー」を参照してください。