将针对 Amazon EMR 访问的基于资源的策略用于 AWS Glue 数据目录 - Amazon EMR

将针对 Amazon EMR 访问的基于资源的策略用于 AWS Glue 数据目录

如果您将 AWS Glue 与 Amazon EMR 中的 Hive、Spark 或 Presto 结合使用,AWS Glue 支持使用基于资源的策略来控制对数据目录资源的访问权限。这些资源包括数据库、表、连接和用户定义的函数。有关更多信息,请参阅《AWS Glue 开发人员指南》中的 AWS Glue 资源策略

当使用基于资源的策略来限制从 Amazon EMR 中访问 AWS Glue 时,在权限策略中指定的委托人必须是与创建集群时指定的 EC2 实例配置文件相关联的角色 ARN。例如,对于附加到目录的基于资源的策略,您可以使用以下示例中显示的格式为集群 EC2 实例的默认服务角色指定角色 ARN,将 EMR_EC2_DefaultRole 指定为 Principal

arn:aws:iam::acct-id:role/EMR_EC2_DefaultRole

acct-id 可以与 AWS Glue 账户 ID 不同。这允许从不同账户中的 EMR 集群进行访问。您可以指定多个委托人,且每个委托人都可以来自不同的账户。