Amazon EMR 관리형 정책 - Amazon EMR
보안 iam:PassRole관리형 정책을 사용하도록 리소스에 태그 지정v2 정책을 사용하여 콘솔에서 클러스터 시작AWS 관리형 정책

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon EMR 관리형 정책

필요한 Amazon EMR 작업에 대한 전체 액세스 권한 또는 읽기 전용 액세스 권한을 부여하는 가장 쉬운 방법은 Amazon 에 대한 IAM 관리형 정책을 사용하는 것입니다EMR. 관리형 정책은 권한 요구 사항이 변경될 경우 자동으로 업데이트하는 이점을 제공합니다. 인라인 정책을 사용하는 경우, 권한 오류를 일으키는 서비스 변경이 발생할 수 있습니다.

Amazon은 새로운 관리형 정책(v2 정책)에 유리하게 기존 관리형 정책(v1 정책)의 사용을 중단할 EMR 예정입니다. 새로운 관리형 정책은 AWS 모범 사례에 맞게 범위가 축소되었습니다. 기존 v1 관리형 정책이 더 이상 사용되지 않으면 새 IAM 역할 또는 사용자에게 이러한 정책을 연결할 수 없습니다. 지원 중단된 정책을 사용하는 기존 역할 및 사용자는 해당 역할을 계속 사용할 수 있습니다. v2 관리형 정책은 태그를 사용하여 액세스를 제한합니다. 지정된 Amazon EMR 작업만 허용하며 EMR특정 키로 태그가 지정된 클러스터 리소스가 필요합니다. 새 v2 정책을 사용하기 전에 설명서를 주의 깊게 검토하는 것이 좋습니다.

v1 정책은 IAM 콘솔의 정책 목록에서 해당 정책 옆에 경고 아이콘과 함께 더 이상 사용되지 않는 것으로 표시됩니다. 다음은 지원 중단된 정책의 특징입니다.

  • 현재 연결된 모든 사용자, 그룹 및 역할에서는 계속 사용할 수 있습니다. 연결이 해제되지 않습니다.

  • 새로운 사용자, 그룹 또는 역할에는 연결할 수 없습니다. 현재 엔터티에서 정책을 분리하면 다시 연결할 수 없습니다.

  • 모든 현재 엔터티에서 v1 정책을 분리한 후에 정책은 더 이상 표시되지 않으며 더 이상 사용할 수 없습니다.

다음 테이블에는 현재 정책(v1)과 v2 정책 간 변경 사항이 요약되어 있습니다.

Amazon EMR 관리형 정책 변경 사항
정책 유형 정책 이름 정책 목적 v2 정책에 대한 변경 사항

기본 EMR 서비스 역할 및 연결된 관리형 정책

역할 이름: EMR_DefaultRole

V1 정책(사용 중단 예정): AmazonElasticMapReduceRole (EMR 서비스 역할)

V2(범위 축소됨) 정책 이름: AmazonEMRServicePolicy_v2

리소스를 프로비저닝하고 AWS 서비스 수준 작업을 수행할 때 Amazon이 사용자를 대신하여 다른 서비스를 호출EMR할 수 있도록 허용합니다. 이 역할은 모든 클러스터에 필요합니다.

정책에 새 권한 가 추가됩니다"ec2:DescribeInstanceTypeOfferings". 이 API 작업은 지정된 가용 영역 목록에서 지원하는 인스턴스 유형 목록을 반환합니다.

IAM 연결된 사용자, 역할 또는 그룹별 전체 Amazon EMR 액세스에 대한 관리형 정책

V2(범위 지정) 정책 이름: AmazonEMRServicePolicy_v2

사용자가 EMR 작업에 대한 모든 권한을 부여할 수 있습니다. 리소스에 대한 iam:PassRole permissions를 포함합니다.

정책에는 사용자가 리소스에 사용자 태그를 추가해야 이 정책을 사용할 수 있다는 필수 조건이 추가됩니다. 관리형 정책을 사용하기 위해 리소스에 태그 지정을 참조하세요.

iam:PassRole action에는 지정된 서비스로 설정된 iam:PassedToService condition가 필요합니다. Amazon EC2, Amazon S3 및 기타 서비스에 대한 액세스는 기본적으로 허용되지 않습니다. IAM 전체 액세스에 대한 관리형 정책(v2 관리형 기본 정책)을 참조하세요.

IAM 연결된 사용자, 역할 또는 그룹의 읽기 전용 액세스에 대한 관리형 정책

V1 정책(지원 중단 예정): AmazonElasticMapReduceReadOnlyAccess

V2(범위 지정) 정책 이름: AmazonEMRReadOnlyAccessPolicy_v2

Amazon EMR 작업에 대한 사용자 읽기 전용 권한을 허용합니다.

권한은 지정된 elasticmapreduce 읽기 전용 작업만 허용합니다. Amazon S3에 대한 액세스는 기본적으로 허용되지 않습니다. IAM 읽기 전용 액세스에 대한 관리형 정책(v2 관리형 기본 정책)을 참조하세요.

기본 EMR 서비스 역할 및 연결된 관리형 정책

역할 이름: EMR_DefaultRole

V1 정책(사용 중단 예정): AmazonElasticMapReduceRole (EMR 서비스 역할)

V2(범위 축소됨) 정책 이름: AmazonEMRServicePolicy_v2

리소스를 프로비저닝하고 AWS 서비스 수준 작업을 수행할 때 Amazon이 사용자를 대신하여 다른 서비스를 호출EMR할 수 있도록 허용합니다. 이 역할은 모든 클러스터에 필요합니다.

v2 서비스 역할 및 v2 기본 정책은 지원 중단된 역할 및 정책을 대체합니다. 이 정책에는 사용자가 리소스에 사용자 태그를 추가해야 이 정책을 사용할 수 있다는 필수 조건이 추가됩니다. 관리형 정책을 사용하기 위해 리소스에 태그 지정을 참조하세요. Amazon의 서비스 역할EMR(EMR 역할)을 참조하세요.

클러스터 EC2 인스턴스의 서비스 역할(EC2 인스턴스 프로필)

역할 이름: EMR_EC2_DefaultRole

더 이상 사용되지 않는 정책 이름: AmazonElasticMapReduceforEC2Role

EMR 클러스터에서 실행되는 애플리케이션이 Amazon S3와 같은 다른 AWS 리소스에 액세스할 수 있도록 허용합니다. 예를 들어 Amazon S3의 데이터를 처리하는 Apache Spark 작업을 실행하는 경우 정책에서 해당 리소스에 대한 액세스를 허용해야 합니다.

기본 역할 및 기본 정책 모두 지원 중단 예정입니다. 대체 AWS 기본 관리형 역할 또는 정책은 없습니다. 리소스 기반 또는 자격 증명 기반 정책을 제공해야 합니다. 즉, 기본적으로 EMR 클러스터에서 실행되는 애플리케이션은 정책에 수동으로 추가하지 않는 한 Amazon S3 또는 기타 리소스에 액세스할 수 없습니다. 기본 역할 및 관리형 정책을 참조하세요.

기타 EC2 서비스 역할 정책

현재 정책 이름: AmazonElasticMapReduceforAutoScalingRole, AmazonElasticMapReduceEditorsRole, mazonEMRCleanup정책

자동 조정, 노트북을 사용하거나 리소스를 정리하는 경우 Amazon이 다른 AWS EC2 리소스에 액세스하고 작업을 수행하는 데 EMR 필요한 권한을 제공합니다.

v2에는 변경 사항이 없습니다.

보안 iam:PassRole

Amazon EMR 전체 권한 기본 관리형 정책은 다음을 포함한 iam:PassRole 보안 구성을 통합합니다.

  • iam:PassRole 특정 기본 Amazon EMR 역할에 대한 권한만 있습니다.

  • iam:PassedToService elasticmapreduce.amazonaws.com 및 와 같이 지정된 AWS 서비스에서만 정책을 사용할 수 있는 조건입니다ec2.amazonaws.com.

IAM 콘솔에서 A mazonEMRFullAccessPolicy_v2A mazonEMRServicePolicy_v2 정책의 JSON 버전을 볼 수 있습니다. v2 관리형 정책을 사용하여 새 클러스터를 생성하는 것이 좋습니다.

사용자 지정 정책을 생성하려면 관리형 정책으로 시작한 다음 요구 사항에 따라 정책을 편집하는 것이 좋습니다.

정책을 사용자에게 연결하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 를 사용하여 관리형 정책 작업 AWS Management Console(기본)을 참조하세요.

관리형 정책을 사용하기 위해 리소스에 태그 지정

mazonEMRServicePolicy_v2A mazonEMRFullAccessPolicy_v2는 Amazon이 EMR 프로비저닝하거나 사용하는 리소스에 대한 범위 축소 액세스에 따라 달라집니다. 사전 정의된 사용자 태그가 연결된 리소스로만 액세스를 제한함으로써 범위를 축소할 수 있습니다. 이 두 정책 중 하나를 사용하는 경우 클러스터를 프로비저닝할 때 사전 정의된 사용자 태그(for-use-with-amazon-emr-managed-policies = true)를 전달해야 합니다. 그러면 AmazonEMR은 해당 태그를 자동으로 전파합니다. 또한 다음 섹션에 나열된 리소스에 사용자 태그를 추가해야 합니다. Amazon EMR 콘솔을 사용하여 클러스터를 시작하는 경우 섹션을 참조하세요Amazon EMR 콘솔을 사용하여 v2 관리형 정책이 있는 클러스터를 시작하는 데 대한 고려 사항.

관리형 정책을 사용하려면 , CLI SDK또는 다른 메서드로 클러스터를 프로비저닝할 for-use-with-amazon-emr-managed-policies = true 때 사용자 태그를 전달합니다.

태그를 전달하면 Amazon은 태그를 생성한 프라이빗 서브넷ENI, EC2 인스턴스 및 EBS 볼륨으로 EMR 전파합니다. EMR 또한 Amazon은 자동으로 생성한 보안 그룹에 태그를 지정합니다. 하지만 Amazon이 특정 보안 그룹으로 시작EMR되도록 하려면 태그를 지정해야 합니다. Amazon 에서 생성하지 않은 리소스의 경우 해당 리소스에 태그를 추가EMR해야 합니다. 예를 들어 Amazon EC2 서브넷, EC2 보안 그룹(Amazon 에서 생성하지 않은 경우EMR) 및 VPCs (Amazon이 보안 그룹을 생성하도록 하려는 경우)EMR에 태그를 지정해야 합니다. 에서 v2 관리형 정책이 있는 클러스터를 시작하려면 미리 정의된 사용자 태그VPCs로 클러스터에 태그를 지정VPCs해야 합니다. Amazon EMR 콘솔을 사용하여 v2 관리형 정책이 있는 클러스터를 시작하는 데 대한 고려 사항 단원을 참조하세요.

전파된 사용자 지정 태그 지정

Amazon은 클러스터를 생성할 때 지정한 Amazon EMR 태그를 사용하여 생성하는 리소스에 EMR 태그를 지정합니다. Amazon은 클러스터 수명 기간 동안 생성하는 리소스에 태그를 EMR 적용합니다.

Amazon은 다음 리소스에 대한 사용자 태그를 EMR 전파합니다.

  • 프라이빗 서브넷ENI(서비스 액세스 탄력적 네트워크 인터페이스)

  • EC2 인스턴스

  • EBS 볼륨

  • EC2 시작 템플릿

자동으로 태그가 지정된 보안 그룹

Amazon은 클러스터 생성 명령에서 지정하는 태그와 for-use-with-amazon-emr-managed-policies관계없이 Amazon EMR, 에 대한 v2 관리형 정책에 필요한 태그로 생성하는 EC2 보안 그룹에 EMR 태그를 지정합니다. v2 관리형 정책 도입 이전에 생성된 보안 그룹의 경우 AmazonEMR은 보안 그룹에 태그를 자동으로 지정하지 않습니다. 계정에 이미 있는 기본 보안 그룹과 함께 v2 관리형 정책을 사용하려면 for-use-with-amazon-emr-managed-policies = true를 사용하여 보안 그룹에 수동으로 태그를 지정해야 합니다.

수동으로 태그가 지정된 클러스터 리소스

Amazon EMR 기본 역할에서 액세스할 수 있도록 일부 클러스터 리소스에 수동으로 태그를 지정해야 합니다.

  • Amazon EMR 관리형 정책 태그 를 사용하여 EC2 보안 그룹 및 EC2 서브넷에 수동으로 태그를 지정해야 합니다for-use-with-amazon-emr-managed-policies.

  • Amazon이 기본 보안 그룹을 생성하도록 VPC 하려면 EMR에 수동으로 태그를 지정해야 합니다. EMR 는 기본 보안 그룹이 아직 없는 경우 특정 태그가 있는 보안 그룹을 생성하려고 시도합니다.

Amazon은 다음 리소스에 태그를 EMR 자동으로 지정합니다.

  • EMR-생성된 EC2 보안 그룹

다음 리소스에 수동으로 태그를 지정해야 합니다.

  • EC2 서브넷

  • EC2 보안 그룹

선택적으로 다음 리소스에 수동으로 태그를 지정해야 합니다.

  • VPC - Amazon이 보안 그룹을 생성EMR하도록 하려는 경우에만

Amazon EMR 콘솔을 사용하여 v2 관리형 정책이 있는 클러스터를 시작하는 데 대한 고려 사항

Amazon EMR 콘솔을 사용하여 v2 관리형 정책으로 클러스터를 프로비저닝할 수 있습니다. 콘솔을 사용하여 Amazon EMR 클러스터를 시작할 때 고려해야 할 몇 가지 사항은 다음과 같습니다.

  • 사전 정의된 태그는 전달하지 않아도 됩니다. Amazon은 태그를 EMR 자동으로 추가하고 적절한 구성 요소에 전파합니다.

  • 수동으로 태그를 지정해야 하는 구성 요소의 경우 리소스에 태그를 지정하는 데 필요한 권한이 있는 경우 이전 Amazon EMR 콘솔에서 자동으로 태그를 지정합니다. 리소스에 태그를 지정할 권한이 없거나 콘솔을 사용하려면 관리자에게 해당 리소스에 태그를 지정하도록 요청하십시오.

  • 모든 필수 조건을 충족해야만 v2 관리형 정책을 사용하여 클러스터를 시작할 수 있습니다.

  • 이전 Amazon EMR 콘솔에는 태그를 지정해야 하는 리소스(VPC/Subnets)가 표시됩니다.

AWS Amazon용 관리형 정책 EMR

AWS 관리형 정책은 에서 생성 및 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.

AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한 권한을 부여하지 않을 수 있다는 점에 유의하세요. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.

AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 AWS 관리형 정책에 정의된 권한을 AWS 업데이트하면 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 미칩니다. AWS 는 새 AWS 서비스 가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 높습니다.

자세한 내용은 IAM 사용 설명서AWS 관리형 정책을 참조하세요.