기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
EMR Studio 서비스 역할 생성
EMR Studio 서비스 역할 정보
각 EMR Studio는 Studio가 다른 AWS 서비스와 상호 작용할 수 있는 권한이 있는 IAM 역할을 사용합니다. 이 서비스 역할에는 EMR Studio가 Workspace와 클러스터 간에 보안 네트워크 채널을 설정하고, Amazon S3 Control에 노트북 파일을 저장하며, Workspace를 Git 리포지토리에 연결하는 동안 AWS Secrets Manager에 액세스하도록 허용하는 권한이 포함되어야 합니다.
Studio 서비스 역할(세션 정책 대신)을 사용하여 노트북 파일 저장을 위해 모든 Amazon S3 액세스 권한을 정의하고 AWS Secrets Manager 액세스 권한을 정의합니다.
Amazon EC2 또는 Amazon EKS에서 EMR Studio의 서비스 역할을 생성하는 방법
AWS 서비스에 대한 권한을 위임할 역할 생성 지침에 따라 다음 신뢰 정책을 사용하여 서비스 역할을 생성합니다.
중요
다음 신뢰 정책에는 EMR Studio에 부여하는 권한을 계정의 특정 리소스로 제한하는
aws:SourceArn및aws:SourceAccount글로벌 조건 키가 포함되어 있습니다. 이를 사용하면 혼동된 대리자 문제를 방지할 수 있습니다.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "elasticmapreduce.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "<account-id>" }, "ArnLike": { "aws:SourceArn": "arn:aws:elasticmapreduce:<region>:<account-id>:*" } } } ] }기본 역할 권한을 제거합니다. 그런 다음, 다음 샘플 IAM 권한 정책의 권한을 포함합니다. 또는 EMR Studio 서비스 역할 권한을 사용하는 사용자 지정 보안 정책을 생성할 수 있습니다.
중요
-
Amazon EC2 태그 기반 액세스 제어가 EMR Studio에서 작동하려면 다음 정책의 내용대로
ModifyNetworkInterfaceAttributeAPI에 대한 액세스를 설정해야 합니다. -
EMR Studio가 서비스 역할을 사용하기 위해서는
AllowAddingEMRTagsDuringDefaultSecurityGroupCreation및AllowAddingTagsDuringEC2ENICreation명령문은 절대로 변경하지 않아야 합니다. -
예제 정책을 사용하려면 다음 리소스에
"for-use-with-amazon-emr-managed-policies"키와"true"값의 태그를 지정해야 합니다.-
EMR Studio용 Amazon Virtual Private Cloud(VPC).
-
Studio에서 사용할 각 서브넷
-
모든 사용자 지정 EMR Studio 보안 그룹. EMR Studio 평가판 기간에 생성한 보안 그룹을 계속 사용하려면 여기에 태그를 지정해야 합니다.
-
Studio 사용자가 Git 리포지토리를 Workspace에 연결하는 데 사용하는 보안 정보로, AWS Secrets Manager에서 유지 보수됩니다.
AWS Management Console에서 관련 리소스 화면의 태그 탭을 사용하여 리소스에 태그를 적용할 수 있습니다.
-
해당하는 경우 다음 정책에서
"Resource":"의*"*{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowEMRReadOnlyActions", "Effect": "Allow", "Action": [ "elasticmapreduce:ListInstances", "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListSteps" ], "Resource": "*" }, { "Sid": "AllowEC2ENIActionsWithEMRTags", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true" } } }, { "Sid": "AllowEC2ENIAttributeAction", "Effect": "Allow", "Action": [ "ec2:ModifyNetworkInterfaceAttribute" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Sid": "AllowEC2SecurityGroupActionsWithEMRTags", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:DeleteNetworkInterfacePermission" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true" } } }, { "Sid": "AllowDefaultEC2SecurityGroupsCreationWithEMRTags", "Effect": "Allow", "Action": [ "ec2:CreateSecurityGroup" ], "Resource": [ "arn:aws:ec2:*:*:security-group/*" ], "Condition": { "StringEquals": { "aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true" } } }, { "Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags", "Effect": "Allow", "Action": [ "ec2:CreateSecurityGroup" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true" } } }, { "Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringEquals": { "aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true", "ec2:CreateAction": "CreateSecurityGroup" } } }, { "Sid": "AllowEC2ENICreationWithEMRTags", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "StringEquals": { "aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true" } } }, { "Sid": "AllowEC2ENICreationInSubnetAndSecurityGroupWithEMRTags", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true" } } }, { "Sid": "AllowAddingTagsDuringEC2ENICreation", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" } } }, { "Sid": "AllowEC2ReadOnlyActions", "Effect": "Allow", "Action": [ "ec2:DescribeSecurityGroups", "ec2:DescribeNetworkInterfaces", "ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeSubnets", "ec2:DescribeVpcs" ], "Resource": "*" }, { "Sid": "AllowSecretsManagerReadOnlyActionsWithEMRTags", "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:*", "Condition": { "StringEquals": { "aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true" } } }, { "Sid": "AllowWorkspaceCollaboration", "Effect": "Allow", "Action": [ "iam:GetUser", "iam:GetRole", "iam:ListUsers", "iam:ListRoles", "sso:GetManagedApplicationInstance", "sso-directory:SearchUsers" ], "Resource": "*" } ] }-
서비스 역할에 EMR Studio의 Amazon S3 위치에 대한 읽기 및 쓰기 액세스 권한을 부여합니다. 다음과 같은 최소 권한 세트를 사용합니다. 자세한 내용은 Amazon S3: S3 버킷에 있는 객체에 대한 읽기 및 쓰기 액세스 권한을 프로그래밍 방식으로 콘솔에서 허용 예제를 참조하세요.
"s3:PutObject", "s3:GetObject", "s3:GetEncryptionConfiguration", "s3:ListBucket", "s3:DeleteObject"Amazon S3 버킷을 암호화하는 경우 AWS Key Management Service에 다음 권한을 포함합니다.
"kms:Decrypt", "kms:GenerateDataKey", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey"-
사용자 수준에서 Git 암호에 대한 액세스를 제어하려는 경우, EMR Studio 사용자 역할 정책의
secretsmanager:GetSecretValue에 태그 기반 권한을 추가하고, EMR Studio 서비스 역할 정책에서secretsmanager:GetSecretValue정책에 대한 권한을 제거하세요. 세분화된 사용자 권한 설정에 대한 자세한 내용은 EMR Studio 사용자를 위한 권한 정책 생성 섹션을 참조하세요.
EMR Serverless의 최소 서비스 역할
EMR Studio 노트북을 통해 EMR Serverless에서 대화형 워크로드를 실행하려면 이전 섹션(Amazon EC2 또는 Amazon EKS에서 EMR Studio의 서비스 역할을 생성하는 방법)에서 EMR Studio를 설정할 때 사용한 것과 동일한 신뢰 정책을 사용합니다.
IAM 정책의 경우 최소 실행 정책에는 다음과 같은 권한이 있습니다. EMR Studio 및 Workspace를 구성할 때 사용하려는 버킷 이름으로 bucket-name
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ObjectActions", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource": ["arn:aws:s3:::bucket-name/*"] }, { "Sid": "BucketActions", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetEncryptionConfiguration" ], "Resource": ["arn:aws:s3:::bucket-name"] } ] }
암호화된 Amazon S3 버킷을 사용하려는 경우 정책에 다음 권한을 추가합니다.
"kms:Decrypt", "kms:GenerateDataKey", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:DescribeKey"
EMR Studio 서비스 역할 권한
다음 테이블에는 EMR Studio가 서비스 역할을 사용하여 수행하는 작업과 각 작업에 필요한 IAM 작업이 나열되어 있습니다.
| Operation | 작업 |
|---|---|
| Workspace와 EMR 클러스터 간 보안 네트워크 채널을 설정하고 필요한 정리 작업을 수행합니다. |
|
| AWS Secrets Manager에 저장된 Git 보안 인증을 사용하여 Git 리포지토리를 Workspace에 연결합니다. |
|
| 보안 네트워크 채널을 설정하는 동안 EMR Studio에서 생성하는 네트워크 인터페이스 및 기본 보안 그룹에 AWS 태그를 적용합니다. 자세한 내용을 알아보려면 AWS 리소스에 태깅을 참조하세요. |
|
| 노트북 파일 및 메타데이터에 액세스하거나 Amazon S3에 업로드합니다. |
암호화된 Amazon S3 버킷을 사용하는 경우 다음 권한을 포함합니다.
|
| Workspace 협업을 활성화하고 구성합니다. |
|
| 고객 관리 키 (CMK) 를 사용하여 EMR Studio 워크스페이스 노트북 및 파일을 암호화합니다. AWS Key Management Service |
|
