As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Execute um EMR Studio Workspace com uma função de tempo de execução
nota
A funcionalidade de função de tempo de execução descrita nesta página se aplica somente à Amazon em EMR execução na Amazon EC2 e não se refere à funcionalidade de função de tempo de execução em aplicativos interativos EMR sem servidor. Para saber mais sobre como usar funções de tempo de execução no EMR Serverless, consulte Job runtime roles no Amazon EMR Serverless User Guide.
Uma função de tempo de execução é uma função AWS Identity and Access Management (IAM) que você pode especificar ao enviar um trabalho ou uma consulta para um EMR cluster da Amazon. O trabalho ou consulta que você envia ao seu EMR cluster usa a função de tempo de execução para acessar AWS recursos, como objetos no Amazon S3.
Ao anexar um EMR Studio Workspace a um EMR cluster que usa o Amazon EMR 6.11 ou superior, você pode selecionar uma função de tempo de execução para o trabalho ou consulta que você envia para uso quando AWS acessa recursos. No entanto, se o EMR cluster não oferecer suporte a funções de tempo de execução, o EMR cluster não assumirá a função ao acessar os AWS recursos.
Antes de usar uma função de tempo de execução com um Amazon EMR Studio Workspace, um administrador deve configurar as permissões do usuário para que o usuário do Studio possa invocar a função elasticmapreduce:GetClusterSessionCredentials
API de tempo de execução. Em seguida, inicie um novo cluster com uma função de tempo de execução que você pode usar com seu Amazon EMR Studio Workspace.
Nesta página
Configuração de permissões de usuários para o perfil de runtime
Configure as permissões do usuário para que o usuário do Studio possa chamar a elasticmapreduce:GetClusterSessionCredentials
API função de tempo de execução que o usuário deseja usar. Você também deve configurar as Configure as permissões de usuário do EMR Studio para Amazon EC2 ou Amazon EKS antes que o usuário possa começar a usar o Studio.
Atenção
Para conceder essa permissão, crie uma condição com base na chave de elasticmapreduce:ExecutionRoleArn
contexto ao conceder a um chamador acesso para chamar o. GetClusterSessionCredentials
APIs Os exemplos a seguir demonstram como fazer isso.
{ "Sid": "AllowSpecificExecRoleArn", "Effect": "Allow", "Action": [ "elasticmapreduce:GetClusterSessionCredentials" ], "Resource": "*", "Condition": { "StringEquals": { "elasticmapreduce:ExecutionRoleArn": [ "arn:aws:iam::111122223333:role/test-emr-demo1", "arn:aws:iam::111122223333:role/test-emr-demo2" ] } } }
O exemplo a seguir demonstra como permitir que um IAM diretor use uma IAM função chamada função test-emr-demo3
de tempo de execução. Além disso, o titular da apólice só poderá acessar os EMR clusters da Amazon com o ID do clusterj-123456789
.
{ "Sid":"AllowSpecificExecRoleArn", "Effect":"Allow", "Action":[ "elasticmapreduce:GetClusterSessionCredentials" ], "Resource": [ "arn:aws:elasticmapreduce:<region>:111122223333:cluster/j-123456789" ], "Condition":{ "StringEquals":{ "elasticmapreduce:ExecutionRoleArn":[ "arn:aws:iam::111122223333:role/test-emr-demo3" ] } } }
O exemplo a seguir permite que um IAM principal use qualquer IAM função com um nome começando com a string test-emr-demo4
como a função de tempo de execução. Além disso, o titular da apólice só poderá acessar EMR clusters da Amazon marcados com o par de valores-chave. tagKey: tagValue
{ "Sid":"AllowSpecificExecRoleArn", "Effect":"Allow", "Action":[ "elasticmapreduce:GetClusterSessionCredentials" ], "Resource": "*", "Condition":{ "StringEquals":{ "elasticmapreduce:ResourceTag/tagKey": "tagValue" }, "StringLike":{ "elasticmapreduce:ExecutionRoleArn":[ "arn:aws:iam::111122223333:role/test-emr-demo4*" ] } } }
Inicialização de um novo cluster com um perfil de runtime
Agora que você tem as permissões necessárias, inicie um novo cluster com uma função de tempo de execução que você pode usar com seu Amazon EMR Studio Workspace.
Se você já iniciou um novo cluster com um perfil de runtime, poderá pular para a seção Use o EMR cluster com uma função de tempo de execução no Workspaces.
-
Primeiro, conclua os pré-requisitos apresentados na seção Funções de tempo de execução para Amazon EMR Steps.
-
Em seguida, inicie um cluster com as seguintes configurações para usar funções de tempo de execução com o Amazon EMR Studio Workspaces. Para obter instruções sobre como iniciar seu cluster, consulte Especifique uma configuração de segurança para um EMR cluster da Amazon.
-
Escolha o rótulo de versão emr-6.11.0 ou posterior.
-
Selecione o Spark, o Livy e o Jupyter Enterprise Gateway como suas aplicações de cluster.
-
Use a configuração de segurança criada na etapa anterior.
-
Opcionalmente, você pode ativar o Lake Formation para seu EMR cluster. Para obter mais informações, consulte Habilite o Lake Formation com a Amazon EMR.
-
Depois de iniciar seu cluster, você estará pronto para usar o cluster habilitado para funções de tempo de execução com um EMR Studio Workspace.
nota
No momento, o ExecutionRoleArnvalor não é suportado pela StartNotebookExecutionAPIoperação quando o ExecutionEngineConfig.Type
valor éEMR
.
Use o EMR cluster com uma função de tempo de execução no Workspaces
Depois de configurar e lançar seu cluster, você pode usar o cluster habilitado para funções de tempo de execução com seu EMR Studio Workspace.
-
Crie um novo Workspace ou inicie um Workspace existente. Para obter mais informações, consulte Crie um espaço de trabalho de EMR estúdio.
-
Escolha a guia EMRClusters na barra lateral esquerda do seu espaço de trabalho aberto, expanda a seção Tipo de computação e escolha seu cluster no menu Cluster no menu e a EMR função de tempo de execução no EC2 menu Função de tempo de execução.
-
Escolha Anexar para anexar o cluster com um perfil de runtime ao seu Workspace.
nota
Ao escolher uma função de tempo de execução, observe que ela pode ter políticas gerenciadas subjacentes associadas a ela. Na maioria dos casos, recomendamos escolher recursos limitados, como notebooks específicos. Se você escolher uma função de tempo de execução que inclua acesso a todos os seus notebooks, por exemplo, a política gerenciada associada à função fornecerá acesso total.
Considerações
Lembre-se das seguintes considerações ao usar um cluster habilitado para funções de tempo de execução com seu Amazon EMR Studio Workspace:
-
Você só pode selecionar uma função de tempo de execução ao anexar um EMR Studio Workspace a um EMR cluster que usa a EMR versão 6.11 ou superior da Amazon.
-
A funcionalidade de função de tempo de execução descrita nesta página só é compatível com a Amazon em EMR execução na Amazon EC2 e não com aplicativos interativos EMR sem servidor. Para saber mais sobre as funções de tempo de execução do EMR Serverless, consulte Job runtime roles no Amazon EMR Serverless User Guide.
-
Embora você precise configurar permissões adicionais antes de especificar uma função de tempo de execução ao enviar um trabalho para um cluster, você não precisa de permissões adicionais para acessar os arquivos gerados por um EMR Studio Workspace. As permissões para esses arquivos são semelhantes as dos arquivos gerados de clusters sem perfis de runtime.
-
Você não pode usar o SQL Explorer em um EMR Studio Workspace com um cluster que tenha uma função de tempo de execução. A Amazon EMR desativa o SQL Explorer na interface do usuário quando um espaço de trabalho é anexado a um cluster habilitado para funções de tempo de EMR execução.
-
Você não pode usar o modo de colaboração em um EMR Studio Workspace com um cluster que tenha uma função de tempo de execução. A Amazon EMR desativa os recursos de colaboração do Workspace quando um espaço de trabalho é anexado a um cluster habilitado para funções de tempo de execução. EMR O Workspace permanecerá acessível somente ao usuário que o anexou.
-
Você não pode usar funções de tempo de execução em um Studio com a propagação de IAM identidade confiável do Identity Center ativada.
-
Você pode encontrar um aviso “A página pode não ser segura!” da interface do usuário do Spark para um cluster habilitado para funções de tempo de execução que usa a EMR versão 7.4.0 e inferior da Amazon. Se isso acontecer, ignore o alerta para continuar a visualizar a interface do usuário do Spark.