Amazon EMR 인스턴스 역할에 AWS Secrets Manager 권한 추가

EMRAmazon은 IAM 서비스 역할을 사용하여 사용자를 대신하여 클러스터를 프로비저닝하고 관리하는 작업을 수행합니다. 클러스터 EC2 인스턴스의 서비스 역할 (Amazon의 EC2인스턴스 프로필이라고도 함) 은 EMR Amazon이 시작 시 클러스터의 모든 EC2 인스턴스에 EMR 할당하는 특수한 유형의 서비스 역할입니다.

EMR클러스터가 Amazon S3 데이터 및 기타 AWS 서비스와 상호 작용할 수 있는 권한을 정의하려면 클러스터를 시작할 EMR_EC2_DefaultRole 때 프로필 대신 사용자 지정 Amazon EC2 인스턴스 프로필을 정의하십시오. 자세한 내용은 클러스터 EC2 인스턴스의 서비스 역할 (EC2인스턴스 프로필) 및 IAM역할 사용자 지정 단원을 참조하세요.

Amazon이 세션에 태그를 지정하고 LDAP 인증서를 저장하는 서버에 액세스할 수 있도록 EMR 하려면 다음 명령문을 기본 EC2 인스턴스 프로필에 AWS Secrets Manager 추가합니다.

    {
      "Sid": "AllowAssumeOfRolesAndTagging",
      "Effect": "Allow",
      "Action": ["sts:TagSession", "sts:AssumeRole"],
      "Resource": [
        "arn:aws:iam::111122223333:role/LDAP_DATA_ACCESS_ROLE_NAME",
        "arn:aws:iam::111122223333:role/LDAP_USER_ACCESS_ROLE_NAME"
      ]
    },
    {
        "Sid": "AllowSecretsRetrieval",
        "Effect": "Allow",
        "Action": "secretsmanager:GetSecretValue",
        "Resource": [
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:LDAP_SECRET_NAME*",
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:ADMIN_LDAP_SECRET_NAME*"
        ]
    }

참고

Secrets Manager 권한을 설정할 때 보안 암호 이름 끝에 있는 와일드카드 * 문자를 입력하지 않으면 클러스터 요청이 실패합니다. 와일드카드는 보안 암호 버전을 나타냅니다.

또한 클러스터가 인스턴스를 프로비저닝하는 데 필요한 인증서로만 AWS Secrets Manager 정책 범위를 제한해야 합니다.