As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
EC2perfil de instância para Amazon EMR
A Amazon EMR usa uma função IAM de serviço para realizar ações em seu nome para provisionar e gerenciar clusters. A função de serviço para EC2 instâncias de cluster, também chamada de perfil de EC2 instância para a AmazonEMR, é um tipo especial de função de serviço atribuída a cada EC2 instância em um cluster na inicialização.
Para definir permissões para interação EMR do cluster com dados do Amazon S3 e com o metastore Hive protegido pelo Apache Ranger e outros AWS serviços, defina um perfil de EC2 instância personalizado para usar em vez do quando você iniciar seu cluster. EMR_EC2_DefaultRole
Para ter mais informações, consulte Função de serviço para EC2 instâncias de cluster (perfil de EC2 instância) e Personalize IAM funções com a Amazon EMR.
Você precisa adicionar as seguintes declarações ao perfil de EC2 instância padrão da Amazon EMR para poder marcar sessões e acessar o AWS Secrets Manager que armazena TLS certificados.
{ "Sid": "AllowAssumeOfRolesAndTagging", "Effect": "Allow", "Action": ["sts:TagSession", "sts:AssumeRole"], "Resource": [ "arn:aws:iam::
<AWS_ACCOUNT_ID>
:role/<RANGER_ENGINE-PLUGIN_DATA_ACCESS_ROLE_NAME>
", "arn:aws:iam::<AWS_ACCOUNT_ID>
:role/<RANGER_USER_ACCESS_ROLE_NAME>
" ] }, { "Sid": "AllowSecretsRetrieval", "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": [ "arn:aws:secretsmanager:<REGION>
:<AWS_ACCOUNT_ID>
:secret:<PLUGIN_TLS_SECRET_NAME>
*", "arn:aws:secretsmanager:<REGION>
:<AWS_ACCOUNT_ID>
:secret:<ADMIN_RANGER_SERVER_TLS_SECRET_NAME>
*" ] }
nota
Para obter as permissões do Secrets Manager, não esqueça o caractere curinga (“*”) no final do nome do segredo, senão as solicitações falharão. O curinga serve para versões de segredo.
nota
Limite o escopo da AWS Secrets Manager política somente aos certificados necessários para o provisionamento.