Permissões de perfil vinculado ao serviço para registro em log com gravação antecipada (WAL)Criar um perfil vinculado ao serviço para Amazon EMR Editar um perfil vinculado ao serviço do Amazon EMR Excluir um perfil vinculado ao serviço do Amazon EMR Regiões suportadas pelo AWSService RoleFor EMRWAL

Uso de perfis vinculados ao serviço com o Amazon EMR para registro em log com gravação antecipada

O Amazon EMR usa funções vinculadas a serviços AWS Identity and Access Management (IAM). Um perfil vinculado ao serviço é um tipo especial de perfil do IAM vinculado diretamente ao Amazon EMR. As funções vinculadas ao serviço são predefinidas pelo Amazon EMR e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

As funções vinculadas ao serviço funcionam em conjunto com a função de serviço do Amazon EMR e o EC2 perfil de instância da Amazon para o Amazon EMR. Para obter mais informações sobre a função de serviço e o perfil da instância, consulte Configurar perfis de serviço do IAM para permissões do Amazon EMR aos serviços e recursos da AWS.

Um perfil vinculado ao serviço facilita a configuração do Amazon EMR porque você não precisa adicionar as permissões necessárias manualmente. O Amazon EMR define as permissões dos perfis vinculados ao serviço e, a não ser que esteja definido de outra forma, somente o Amazon EMR poderá assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM.

É possível excluir esse perfil vinculado ao serviço no Amazon EMR somente depois de excluir os recursos relacionados e encerrar todos os clusters do EMR na conta. Isso protege os recursos do Amazon EMR, para que você não possa remover inadvertidamente a permissão de acesso aos recursos.

Permissões de perfil vinculado ao serviço para registro em log com gravação antecipada (WAL)

O Amazon EMR usa a função vinculada ao serviço AWSServiceRoleForEMRWAL para recuperar o status de um cluster.

A função vinculada ao serviço AWSService RoleFor EMRWAL confia nos seguintes serviços para assumir a função:

emrwal.amazonaws.com

A política de permissões EMRDescribeClusterPolicyForEMRWAL do perfil vinculado ao serviço permite que o Amazon EMR conclua as seguintes ações nos recursos especificados:

Ação: DescribeCluster em *

Você deve configurar permissões para permitir que uma entidade do IAM (neste caso, o Amazon EMR WAL) crie, edite ou exclua um perfil vinculado ao serviço. Adicione as seguintes instruções conforme necessário à política de permissões do perfil de instância:

Para permitir que uma entidade do IAM crie a função vinculada ao AWSService RoleFor serviço EMRWAL

Adicione a seguinte declaração à política de permissões da entidade do IAM que precisa criar a função vinculada ao serviço:


{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/emrwal.amazonaws.com*/AWSServiceRoleForEMRWAL*",
    "Condition": {
        "StringLike": {
            "iam:AWSServiceName": [
                "emrwal.amazonaws.com",
                "elasticmapreduce.amazonaws.com.cn"
            ]
        }
    }
}

Para permitir que uma entidade do IAM edite a descrição da função vinculada ao serviço AWSService RoleFor EMRWAL

Adicione a seguinte declaração à política de permissões da entidade do IAM que precisa editar a descrição de uma função vinculada ao serviço:


{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/emrwal.amazonaws.com*/AWSServiceRoleForEMRWAL*",
    "Condition": {
        "StringLike": {
            "iam:AWSServiceName": [
                "emrwal.amazonaws.com",
                "elasticmapreduce.amazonaws.com.cn"
            ]
        }
    }
}

Para permitir que uma entidade do IAM exclua a função vinculada ao AWSService RoleFor serviço EMRWAL

Adicione a seguinte declaração à política de permissões da entidade do IAM que precisa excluir uma função vinculada ao serviço:


{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/elasticmapreduce.amazonaws.com*/AWSServiceRoleForEMRCleanup*",
    "Condition": {
        "StringLike": {
            "iam:AWSServiceName": [
                "emrwal.amazonaws.com",
                "elasticmapreduce.amazonaws.com.cn"
            ]
        }
    }
}

Criar um perfil vinculado ao serviço para Amazon EMR

Você não precisa criar manualmente a função AWSService RoleFor EMRWAL. O Amazon EMR cria essa função vinculada ao serviço automaticamente quando você cria um espaço de trabalho do WAL com a CLI do EMRWAL ou a AWS CloudFormation partir de, HBase ou cria a função vinculada ao serviço quando você configura um espaço de trabalho para o Amazon EMR WAL e a função vinculada ao serviço ainda não existe. Você deve ter permissões para criar um perfil vinculado ao serviço. Para obter um exemplo de instrução que acrescenta essa capacidade à política de permissões de uma entidade do IAM (por exemplo, um usuário, grupo ou perfil), consulte a seção anterior, Permissões de perfil vinculado ao serviço para registro em log com gravação antecipada (WAL).

Editar um perfil vinculado ao serviço do Amazon EMR

O Amazon EMR não permite que você edite a função vinculada ao serviço AWSService RoleFor EMRWAL. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, você pode editar a descrição do perfil vinculado ao serviço usando o IAM.

Editar a descrição de uma função vinculada ao serviço (console do IAM)

Você pode usar o console do IAM para editar a descrição de uma função vinculada ao serviço.

Para editar a descrição de uma função vinculada ao serviço (console)

No painel de navegação do console do IAM, escolha Perfis.
Escolha o nome da função a ser modificada.
À direita de Descrição do perfil, escolha Editar.
Insira uma nova descrição na caixa e escolha Save changes (Salvar alterações).

Editar descrição de um perfil vinculado ao serviço (CLI do IAM)

Você pode usar os comandos do IAM do AWS Command Line Interface para editar a descrição de uma função vinculada ao serviço.

Para alterar a descrição de uma função (CLI)

(Opcional) Para visualizar a descrição atual de a uma função, use um dos comandos a seguir:
```
$ aws iam get-role --role-name role-name
```
Use o nome da função, não o nome de recurso da Amazon (ARN), para fazer referência às funções com os comandos da CLI. Por exemplo, se uma função tiver o seguinte nome de recurso da Amazon (ARN): arn:aws:iam::123456789012:role/myrole, você fará referência à função como myrole.
Para atualizar a descrição de uma função vinculada a serviço, use um dos comandos a seguir:
```
$ aws iam update-role-description --role-name role-name --description description
```

Editar a descrição de uma função vinculada ao serviço (API do IAM)

Você pode usar a API do IAM para editar a descrição de uma função vinculada ao serviço.

Para alterar a descrição de uma função (API)

(Opcional) Para visualizar a descrição atual de uma função, use o comando a seguir:

API do IAM: GetRole
Para atualizar a descrição de uma função, use o comando a seguir:

API do IAM: UpdateRoleDescription

Excluir um perfil vinculado ao serviço do Amazon EMR

Se você não precisar mais usar um recurso ou serviço que exija um perfil vinculado a um serviço, recomendamos excluir esse perfil. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar sua função vinculada ao serviço antes de excluí-la.

nota

A operação de registro antecipado de gravação não será afetada se você excluir a função AWSService RoleFor EMRWAL, mas o Amazon EMR não excluirá automaticamente os registros criados quando o cluster do EMR for encerrado. Portanto, você precisará excluir manualmente os logs do Amazon EMR WAL se excluir o perfil vinculado ao serviço.

Limpar uma função vinculada ao serviço

Antes de você poder usar o IAM para excluir uma função vinculada ao serviço, você deve primeiro confirmar que a função não tem sessões ativas e remover quaisquer recursos usados pela função.

Para verificar se a função vinculada ao serviço tem uma sessão ativa no console do IAM

Abra o console do IAM em https://console.aws.amazon.com/iam/.
No painel de navegação, selecione Perfis. Selecione o nome (não a caixa de seleção) da função AWSService RoleFor EMRWAL.
Na página Summary (Resumo) da função selecionada, selecione a guia Access Advisor (Consultor de acesso).
Na guia Consultor de acesso, revise a atividade recente para a função vinculada ao serviço.

nota
Se você não tiver certeza se o Amazon EMR está usando AWSService RoleFor a função EMRWAL, você pode tentar excluir a função vinculada ao serviço. Se o serviço estiver usando o perfil, a exclusão falhará e você poderá exibir as regiões em que o perfil está sendo usado. Se o perfil vinculado ao serviço estiver sendo usado, você deverá aguardar o término da sessão antes de exclui-lo. Não é possível revogar a sessão de uma função vinculada a um serviço.

Para remover os recursos do Amazon EMR usados pelo EMRWAL AWSService RoleFor

Encerre todos os clusters em sua conta. Para obter mais informações, consulte Encerramento de um cluster do Amazon EMR em estado iniciando, executando ou aguardando.

Excluir um perfil vinculado ao serviço (console do IAM)

É possível usar o console do IAM para excluir uma função vinculada ao serviço.

Para excluir uma função vinculada ao serviço (console)

Abra o console do IAM em https://console.aws.amazon.com/iam/.
No painel de navegação, selecione Perfis. Marque a caixa de seleção ao lado de AWSService RoleFor EMRWAL, não o nome ou a linha em si.
Em ações de Função na parte superior da página, escolha a função Excluir.
Na caixa de diálogo de confirmação, revise os últimos dados acessados do serviço, que mostram quando cada uma das funções selecionadas acessou um AWS serviço pela última vez. Isso ajuda a confirmar se a função está ativa no momento. Para prosseguir, selecione Yes, Delete.
Monitore as notificações do console do IAM para progresso da exclusão da função vinculada ao serviço. Como a exclusão da função vinculada ao serviço do IAM é assíncrona, depois de enviar a função para exclusão, a tarefa pode ou não ser bem-sucedida. Se a tarefa obtiver êxito, você poderá escolher Visualizar Detalhes ou Visualizar Recursos a partir das notificações para saber por que a exclusão falhou. Se houve falha na exclusão porque há recursos no serviço que estão sendo usados pela função, o motivo da falha incluirá uma lista de recursos.

Excluir um perfil vinculado ao serviço (CLI do IAM)

Você pode usar os comandos do IAM do AWS Command Line Interface para excluir uma função vinculada ao serviço. Como uma função vinculada ao serviço não podem ser excluída se estiver sendo usada ou tiver recursos associados, você deverá enviar uma solicitação de exclusão. Se essas condições não forem atendidas, essa solicitação poderá ser negada.

Para excluir uma função vinculado ao serviço (CLI)

Para verificar o status da tarefa de exclusão, você deve capturar o deletion-task-id da resposta. Digite o seguinte comando para enviar uma solicitação de exclusão de função vinculada ao serviço:
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForEMRWAL
```
Digite o seguinte comando para verificar o estado da tarefa de exclusão:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
O status da tarefa de exclusão pode ser NOT_STARTED, IN_PROGRESS, SUCCEEDED, ou FAILED. Se a exclusão falhar, a chamada informará o motivo de falha para que você possa solucionar o problema.

Excluir uma função vinculada ao serviço (API do IAM)

É possível usar a API do IAM para excluir uma função vinculada ao serviço. Como uma função vinculada ao serviço não podem ser excluída se estiver sendo usada ou tiver recursos associados, você deverá enviar uma solicitação de exclusão. Se essas condições não forem atendidas, essa solicitação poderá ser negada.

Para excluir uma função vinculada ao serviço (API)

Para enviar uma solicitação de exclusão para uma função vinculada ao serviço, ligue. DeleteServiceLinkedRole Na solicitação, especifique o nome da função AWSService RoleFor EMRWAL.

Para verificar o status da tarefa de exclusão, você deve capturar o DeletionTaskId da resposta.
Para verificar o status da exclusão, chame GetServiceLinkedRoleDeletionStatus. Na solicitação, especifique o DeletionTaskId.

O status da tarefa de exclusão pode ser NOT_STARTED, IN_PROGRESS, SUCCEEDED, ou FAILED. Se a exclusão falhar, a chamada informará o motivo de falha para que você possa solucionar o problema.

Regiões suportadas pelo AWSService RoleFor EMRWAL

O Amazon EMR oferece suporte ao uso da função vinculada ao serviço AWSService RoleFor EMRWAL nas seguintes regiões.

Nome da região	Identidade da região	Compatível com o Amazon EMR
Leste dos EUA (Norte da Virgínia)	us-east-1	Sim
Leste dos EUA (Ohio)	us-east-2	Sim
Oeste dos EUA (N. da Califórnia)	us-west-1	Sim
Oeste dos EUA (Oregon)	us-west-2	Sim
Ásia-Pacífico (Mumbai)	ap-south-1	Sim
Ásia-Pacífico (Singapura)	ap-southeast-1	Sim
Ásia-Pacífico (Sydney)	ap-southeast-2	Sim
Ásia-Pacífico (Tóquio)	ap-northeast-1	Sim
Europa (Frankfurt)	eu-central-1	Sim
Europa (Irlanda)	eu-west-1	Sim

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Perfil de limpeza

Personalização de perfis do IAM com o Amazon EMR