Configure funções IAM de serviço para EMR permissões da Amazon para AWS serviços e recursos - Amazon EMR

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configure funções IAM de serviço para EMR permissões da Amazon para AWS serviços e recursos

A Amazon EMR e aplicativos como o Hadoop e o Spark precisam de permissões para acessar outros AWS recursos e realizar ações quando eles são executados. Cada cluster na Amazon EMR deve ter uma função de serviço e uma função para o perfil de EC2 instância da Amazon. Para obter mais informações, consulte IAMFunções e Como usar perfis de instância no Guia IAM do usuário. As políticas do IAM anexadas a essas funções fornecem permissões para o cluster interoperar com outros serviços da AWS em nome de um usuário.

Uma função adicional, a função Auto Scaling, é necessária se seu cluster usa escalabilidade automática na Amazon. EMR A função AWS de serviço para EMR Notebooks é necessária se você usa EMR Notebooks.

EMRA Amazon fornece funções padrão e políticas gerenciadas padrão que determinam as permissões para cada função. As políticas gerenciadas são criadas e mantidas por AWS, portanto, são atualizadas automaticamente se os requisitos de serviço mudarem. Consulte as políticas AWS gerenciadas no Guia IAM do usuário.

Se você estiver criando um cluster ou notebook pela primeira vez em uma conta, as funções para a Amazon ainda EMR não existem. Depois de criá-las, você pode visualizar as funções, as políticas anexadas a elas e as permissões concedidas ou negadas pelas políticas no console do IAM (https://console.aws.amazon.com/iam/). Você pode especificar funções padrão para EMR a Amazon criar e usar, você pode criar suas próprias funções e especificá-las individualmente ao criar um cluster para personalizar permissões, e você pode especificar funções padrão a serem usadas ao criar um cluster usando AWS CLI o. Para obter mais informações, consulte Personalize IAM funções com a Amazon EMR.

Modificando políticas baseadas em identidade para obter permissões para passar funções de serviço para a Amazon EMR

As políticas EMR gerenciadas padrão de permissões totais da Amazon incorporam configurações iam:PassRole de segurança, incluindo as seguintes:

  • iam:PassRolepermissões somente para EMR funções padrão específicas da Amazon.

  • iam:PassedToServicecondições que permitem que você use a política somente com AWS serviços específicos, como elasticmapreduce.amazonaws.com ec2.amazonaws.com e.

Você pode ver a JSON versão das políticas A mazonEMRFull AccessPolicy _v2 e A mazonEMRServicePolicy_v2 no console. IAM É recomendável criar novos clusters com políticas gerenciadas v2.

Resumo do perfil de serviço

A tabela a seguir lista as funções IAM de serviço associadas à Amazon EMR para referência rápida.

Função Perfil padrão Descrição Política gerenciada padrão

Função de serviço para a Amazon EMR (EMRfunção)

EMR_DefaultRole_V2

Permite que EMR a Amazon chame outros AWS serviços em seu nome ao provisionar recursos e realizar ações de nível de serviço. Essa função é necessária para todos os clusters.

AmazonEMRServicePolicy_v2

Importante

É necessário ter um perfil vinculado ao serviço para solicitar instâncias spot. Se essa função não existir, a função de EMR serviço da Amazon deve ter permissão para criá-la ou ocorrerá um erro de permissão. Se você pretende solicitar instâncias spot, é necessário atualizar essa política para incluir uma instrução que permita a criação desse perfil vinculado ao serviço. Para obter mais informações, consulte Função de serviço para a Amazon EMR (EMRfunção) a função vinculada ao serviço para solicitações de instâncias spot no Guia EC2 do usuário da Amazon.

Função de serviço para EC2 instâncias de cluster (perfil de EC2 instância)

EMR_EC2_DefaultRole

Os processos de aplicativos que são executados no ecossistema do Hadoop em instâncias de cluster usam essa função quando chamam outros AWS serviços. Para acessar dados no Amazon S3 usandoEMRFS, você pode especificar diferentes funções a serem assumidas com base na localização dos dados no Amazon S3. Por exemplo, múltiplas equipes podem acessar uma única “conta de armazenamento” de dados do Amazon S3. Para obter mais informações, consulte Configurar IAM funções para EMRFS solicitações ao Amazon S3. Essa função é necessária para todos os clusters.

AmazonElasticMapReduceforEC2Role. Para obter mais informações, consulte Função de serviço para EC2 instâncias de cluster (perfil de EC2 instância).

Função de serviço para escalabilidade automática na Amazon EMR (função Auto Scaling)

EMR_AutoScaling_DefaultRole

Permite ações adicionais para ambientes de escalabilidade dinâmica. Exigido somente para clusters que usam escalabilidade automática na AmazonEMR. Para obter mais informações, consulte Usando escalabilidade automática com uma política personalizada para grupos de instâncias na Amazon EMR.

AmazonElasticMapReduceforAutoScalingRole. Para obter mais informações, consulte Função de serviço para escalabilidade automática na Amazon EMR (função Auto Scaling).

Função de serviço para EMR notebooks

EMR_Notebooks_DefaultRole

Fornece as permissões que um EMR notebook precisa para acessar outros AWS recursos e realizar ações. Exigido somente se os EMR Notebooks forem usados.

AmazonElasticMapReduceEditorsRole. Para obter mais informações, consulte Função de serviço para EMR notebooks.

S3FullAccessPolicy também é anexado por padrão. Veja a seguir o conteúdo da política.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": "*" } ] }

Função vinculada ao serviço

AWSServiceRoleForEMRCleanup

A Amazon cria EMR automaticamente uma função vinculada ao serviço. Se o serviço da Amazon EMR tiver perdido a capacidade de limpar EC2 os recursos da Amazon, a Amazon EMR poderá usar essa função para limpar. Se um cluster usar instâncias spot, a política de permissões anexada ao Função de serviço para a Amazon EMR (EMRfunção) deverá permitir a criação de uma função vinculada ao serviço. Para obter mais informações, consulte Usando funções vinculadas a serviços para a Amazon EMR.

AmazonEMRCleanupPolicy