As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurar perfis de serviço do IAM para permissões do Amazon EMR aos serviços e recursos da AWS
O Amazon EMR e aplicações como o Hadoop e o Spark precisam de permissões para acessar outros recursos da AWS e realizar ações quando são executados. Cada cluster no Amazon EMR deve ter um perfil de serviço e um perfil para o perfil de instância do Amazon EC2. Para obter mais informações, consulte Perfis do IAM e Usar perfis de instância no Guia do usuário do IAM. As políticas do IAM anexadas a esses perfis fornecem permissões para o cluster interoperar com outros serviços da AWS em nome de um usuário.
Um perfil adicional, o perfil do Auto Scaling, será necessário se o cluster usar a ajuste de escala automático no Amazon EMR. A função AWS de serviço para Notebooks EMR é necessária se você usa Notebooks EMR.
O Amazon EMR fornece perfis padrão e políticas gerenciadas padrão para determinar permissões para cada perfil. As políticas gerenciadas são criadas e mantidas por AWS, portanto, são atualizadas automaticamente se os requisitos de serviço mudarem. Consulte AWS managed policies no Guia do usuário do IAM.
Se você estiver criando um cluster ou um caderno pela primeira vez em uma conta, os perfis do Amazon EMR ainda não existirão. Depois de criá-las, você pode visualizar os perfis, as políticas anexadas a eles e as permissões concedidas ou negadas pelas políticas no console do IAM (https://console.aws.amazon.com/iam/
Modificar políticas baseadas em identidade para permissões a fim de transmitir perfis de serviço ao Amazon EMR
As políticas gerenciadas padrão de permissões completas do Amazon EMR incorporam configurações de segurança iam:PassRole, incluindo estas:
Permissões
iam:PassRolesomente para perfis padrão específicos do Amazon EMR.iam:PassedToServicecondições que permitem que você use a política somente com AWS serviços específicos, comoelasticmapreduce.amazonaws.comec2.amazonaws.come.
Você pode visualizar a versão JSON das políticas AmazonEMR FullAccessPolicy _v2 e ServicePolicyAmazonEMR
Resumo do perfil de serviço
A tabela a seguir lista os perfis de serviço do IAM associadas ao Amazon EMR para referência rápida.
| Função | Perfil padrão | Descrição | Política gerenciada padrão |
|---|---|---|---|
|
|
Permite que o Amazon EMR chame outros AWS serviços em seu nome ao provisionar recursos e realizar ações em nível de serviço. Essa função é necessária para todos os clusters. |
ImportanteÉ necessário ter um perfil vinculado ao serviço para solicitar instâncias spot. Se esse perfil não existir, o perfil de serviço do Amazon EMR deve ter permissão para criá-lo ou ocorrerá um erro de permissão. Se você pretende solicitar instâncias spot, é necessário atualizar essa política para incluir uma instrução que permita a criação desse perfil vinculado ao serviço. Para obter mais informações, consulte Perfil de serviço para Amazon EMR (perfil do EMR) a função vinculada ao serviço para solicitações de instâncias spot no Guia do usuário do Amazon EC2. |
|
Perfil de serviço para instâncias do EC2 do cluster (perfil de instância do EC2) |
|
Os processos de aplicativos que são executados no ecossistema do Hadoop em instâncias de cluster usam essa função quando chamam outros AWS serviços. Para acessar os dados no Amazon S3 usando o EMRFS, você pode especificar diferentes perfis a serem assumidos com base no local dos dados no Amazon S3. Por exemplo, múltiplas equipes podem acessar uma única “conta de armazenamento” de dados do Amazon S3. Para ter mais informações, consulte Configurar perfis do IAM para solicitações do EMRFS para o Amazon S3. Essa função é necessária para todos os clusters. |
|
Perfil de serviço para ajuste de escala automático no Amazon EMR (perfil do Auto Scaling) |
|
Permite ações adicionais para ambientes de escalabilidade dinâmica. Necessária apenas para clusters que usam a ajuste de escala automático no Amazon EMR. Para ter mais informações, consulte Usar o ajuste de escala automático com uma política personalizada para grupos de instâncias. |
|
|
|
Fornece as permissões que um notebook EMR precisa para acessar outros AWS recursos e realizar ações. Necessário somente se forem usados cadernos EMR. |
|
|
|
O Amazon EMR cria automaticamente um perfil vinculado ao serviço. Se o serviço do Amazon EMR tiver perdido a capacidade de apagar os recursos do Amazon EC2, o Amazon EMR poderá usar esse perfil para fazer isso. Se um cluster usar instâncias spot, a política de permissões anexada ao Perfil de serviço para Amazon EMR (perfil do EMR) deverá permitir a criação de uma função vinculada ao serviço. Para ter mais informações, consulte Usando funções vinculadas a serviços para o Amazon EMR. |
|
Tópicos
- Perfis de serviço do IAM usados pelo Amazon EMR
- Personalizar perfis do IAM
- Configurar perfis do IAM para solicitações do EMRFS para o Amazon S3
- Usa políticas baseadas em recursos para acesso do Amazon EMR ao Catálogo de Dados do AWS Glue
- Usar perfis do IAM com aplicações que chamam diretamente os serviços da AWS
- Permitir que usuários e grupos criem e modifiquem perfis
