Configurar o acesso entre contas - Amazon EMR

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar o acesso entre contas

Para configurar o acesso entre contas do EMR Sem Servidor, conclua as etapas a seguir. No exemplo, AccountA é a conta na qual você criou a aplicação do Amazon EMR Sem Servidor e AccountB é a conta em que o Amazon DynamoDB está localizado.

  1. Crie uma tabela do DynamoDB em AccountB. Para obter mais informações, consulte Etapa 1: crie uma tabela.

  2. Crie um perfil do IAM Cross-Account-Role-B na AccountB que possa acessar a tabela do DynamoDB.

    1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

    2. Escolha Perfis e crie um perfil chamado Cross-Account-Role-B. Para obter mais informações sobre como criar perfis do IAM, consulte Criar perfis do IAM no Guia do usuário do IAM.

    3. Crie uma política do IAM que conceda permissões de acesso à tabela do DynamoDB entre contas. Em seguida, anexe a política do IAM ao Cross-Account-Role-B.

      A seguir está uma política que concede acesso a uma tabela do DynamoDB CrossAccountTable.

    4. Edite a relação de confiança para o perfil Cross-Account-Role-B.

      Para configurar a relação de confiança para a função, escolha a guia Relações de confiança no console do IAM para a função que você criou na Etapa 2: Cross-Account-Role-B.

      Selecione Editar relacionamento de confiança e adicione o documento de política a seguir. Esse documento permite que Job-Execution-Role-A em AccountA assuma o perfil Cross-Account-Role-B.

      JSON
      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sts:AssumeRole"
      ],
      "Resource": "arn:aws:iam::123456789012:role/Job-Execution-Role-A",
      "Sid": "AllowSTSAssumerole"
    }
  ]
}

    5. Conceda a Job-Execution-Role-A em AccountA com - STS Assume role permissões para assumir Cross-Account-Role-B.

      No console do IAM para Conta da AWS AccountA, selecioneJob-Execution-Role-A. Adicione a instrução de política a seguir ao Job-Execution-Role-A para permitir a ação AssumeRole no perfil Cross-Account-Role-B.

      JSON
      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sts:AssumeRole"
      ],
      "Resource": [
        "arn:aws:iam::123456789012:role/Cross-Account-Role-B"
      ],
      "Sid": "AllowSTSAssumerole"
    }
  ]
}

    6. Defina a propriedade dynamodb.customAWSCredentialsProvider com valor como com.amazonaws.emr.AssumeRoleAWSCredentialsProvider na classificação do site principal. Defina a variável de ambiente ASSUME_ROLE_CREDENTIALS_ROLE_ARN com o valor do ARN de Cross-Account-Role-B.

  3. Execute o trabalho do Spark ou do Hive usando Job-Execution-Role-A.