Adicione AWS Secrets Manager permissões à função de EMR instância da Amazon - Amazon EMR

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Adicione AWS Secrets Manager permissões à função de EMR instância da Amazon

A Amazon EMR usa uma função IAM de serviço para realizar ações em seu nome para provisionar e gerenciar clusters. A função de serviço para EC2 instâncias de cluster, também chamada de perfil de EC2 instância para a Amazon EMR, é um tipo especial de função de serviço que a Amazon EMR atribui a cada EC2 instância em um cluster no lançamento.

Para definir permissões para que um EMR cluster interaja com dados do Amazon S3 e outros AWS serviços, defina um perfil personalizado de EC2 instância da Amazon em vez de EMR_EC2_DefaultRole quando você executa seu cluster. Para ter mais informações, consulte Função de serviço para EC2 instâncias de cluster (perfil de EC2 instância) e Personalize IAM funções com a Amazon EMR.

Adicione as seguintes declarações ao perfil de EC2 instância padrão para permitir que EMR a Amazon marque sessões e acesse a AWS Secrets Manager que armazena LDAP certificados.

{ "Sid": "AllowAssumeOfRolesAndTagging", "Effect": "Allow", "Action": ["sts:TagSession", "sts:AssumeRole"], "Resource": [ "arn:aws:iam::111122223333:role/LDAP_DATA_ACCESS_ROLE_NAME", "arn:aws:iam::111122223333:role/LDAP_USER_ACCESS_ROLE_NAME" ] }, { "Sid": "AllowSecretsRetrieval", "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": [ "arn:aws:secretsmanager:us-east-1:111122223333:secret:LDAP_SECRET_NAME*", "arn:aws:secretsmanager:us-east-1:111122223333:secret:ADMIN_LDAP_SECRET_NAME*" ] }
nota

Suas solicitações de cluster falharão se você esquecer o caractere curinga * no final do nome do segredo ao definir as permissões do Secrets Manager. O curinga representa as versões do segredo.

Você também deve limitar o escopo da AWS Secrets Manager política somente aos certificados que seu cluster precisa para provisionar instâncias.