Amazon EMR と IAM の連携 - Amazon EMR

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EMR と IAM の連携

IAM アイデンティティベースポリシーでは、許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Amazon EMR は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、IAM ユーザーガイド の「IAM JSON ポリシーエレメントのリファレンス」を参照してください。

Amazon EMR では、リソースベースのポリシーはサポートされていません。

Actions

IAM アイデンティティベースのポリシーの Action エレメントは、そのポリシーにより許可または拒否される特定のアクションについて説明します。ポリシーアクションの名前は通常、関連する AWS API オペレーションと同じです。このアクションは、関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

Amazon EMR のポリシーアクションは、アクションの前にプレフィックスを使用します。elasticmapreduce:。 たとえば、を使用してクラスターを作成するアクセス許可を付与するにはRunJobFlowAPI オペレーションでは、elasticmapreduce:RunJobFlow彼らのポリシーでの行動。ポリシーステートメントには、Action または NotAction 要素を含める必要があります。Amazon EMR は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。

単一のステートメントに複数のアクションを指定するには、次のようにコンマで区切ります。

"Action": [ "elasticmapreduce:action1", "elasticmapreduce:action2"

ワイルドカード (*) を使用して複数のアクションを指定することができます。例えば、Describe という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。

"Action": "elasticmapreduce:Describe*"

Amazon EMR アクションのリストを表示するには、「」を参照してください。Amazon EMR で定義されるアクションIAM ユーザーガイド

Resources

Resource エレメントは、アクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource エレメントを含める必要があります。ARN を使用して、またはステートメントがすべてのリソースに適用されることを示すワイルドカード (*) を使用して、リソースを指定します。

Amazon EMR リソースタイプおよびその ARN のリストを表示するには、「」を参照してください。Amazon EMR で定義されるリソースIAM ユーザーガイド。どのアクションで、各リソースの ARN を指定することができるかについては、「」を参照してください。Amazon EMR で定義されるアクション

条件キー

Conditionエレメント (またはCondition ブロック) を使用すると、ステートメントが有効な条件を指定できます。Conditionエレメントはオプションです。イコールや以下などの条件演算子を使用する条件式を構築して、リクエスト内に値のあるポリシーの条件に一致させることができます。

1 つのステートメントに複数の Condition エレメントを指定する場合、または 1 つの Condition エレメントに複数のキーを指定する場合、AWS が論理 AND 演算を使用してそれらを評価します。単一の条件キーに複数の値を指定する場合、AWSが論理 OR 演算を使用して条件を評価します。ステートメントのアクセス許可が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。例えば、IAM ユーザー名でタグ付けされている場合のみ、リソースにアクセスする IAM ユーザーアクセス許可を付与できます。詳細については、「」を参照してください。IAM ポリシー要素: 変数とタグIAM ユーザーガイド

Amazon EMR は条件キーのセットを独自に定義しており、一部のグローバル条件キーの使用もサポートしています。すべての AWS グローバル条件キーを確認するには、IAM ユーザーガイドの「AWS グローバル条件コンテキストキー」を参照してください。

すべての Amazon EC2 アクションは、aws:RequestedRegion および ec2:Region 条件キーをサポートします。詳細については、「」を参照してください。例: 特定のリージョンへのアクセスの制限

Amazon EMR 条件キーのリストを表示するには、「」を参照してください。Amazon EMR の条件キーIAM ユーザーガイド。どのアクションおよびリソースと条件キーを使用できるかについては、「」を参照してください。Amazon EMR で定義されるアクション

IAM ポリシーでクラスタータグと Notebook タグを使用してアクセスコントロールする

EMR EMR Notebooks および EMR クラスターに関連付けられた Amazon EMR アクションの許可は、アイデンティティベースの IAM ポリシーを用いたタグベースのアクセスコントロールを使用して調整できます。次を使用できます。条件キーA内Condition要素 (とも呼ばれる)Conditionブロック) を使用すると、ノートブック、クラスター、またはその両方に特定のタグキーまたはキーと値の組み合わせがある場合にのみ特定のアクションを許可します。また、CreateEditorアクション(EMR ノートブックを作成する)とRunJobFlowアクション (クラスターを作成します)。これにより、リソースの作成時にタグのリクエストを送信する必要があります。

Amazon EMR では、で使用できる条件キーCondition要素は、Amazon EMR API アクションにのみ適用されます。ClusterIDまたはNotebookIDは必須のリクエストパラメータです。たとえば、ModifyInstanceGroups アクションはコンテキストキーをサポートしません。ClusterID はオプションのパラメータではないからです。

EMR ノートブックを作成すると、creatorUserId のキー文字列がノートブックを作成した IAM ユーザー ID の値に設定されたデフォルトのタグが適用されます。ノートブックに対して許可されるアクションを作成者のみに制限するのに便利です。

Amazon EMR では、以下の条件キーを使用できます。

  • elasticmapreduce:ResourceTag/TagKeyString 条件コンテキストキーを使用して、指定した TagKeyString のあるタグを持つクラスターまたはノートブックのユーザーアクションを許可または拒否します。ClusterIDNotebookID の両方を渡す場合、条件がクラスターとノートブッククラスターの両方に適用されます。つまり、両方のリソースに、タグキー文字または指定するキーと値の組み合わせが必要です。Resource 要素を使用してステートメントを制限できるため、必要に応じてクラスターまたはノートブックにのみ適用されます。詳細については、「」を参照してくださいAmazon EMR でのアイデンティティベースのポリシーの例

  • アクション/API コールを持つ特定のタグを必要としている elasticmapreduce:RequestTag/TagKeyString 条件コンテキストキーを使用します。たとえば、この条件コンテキストキーとともに CreateEditor アクションを使用して、TagKeyString を持つキーがノートブック作成時に適用されるよう要求することができます。

Examples

Amazon EMR アイデンティティベースのポリシーの例を表示するには、「」を参照してください。Amazon EMR でのアイデンティティベースのポリシーの例