IAMApache Ranger 的角色

该角色为可信执行引擎（例如 Apache Hive 和亚马逊EMR记录服务器）提供访问亚马逊 S3 数据的证书。如果您使用的是 S3 SSE-，则只能使用此角色来访问 Amazon S3 数据，包括任何KMS密钥KMS。

此角色必须使用以下示例中所述的最低策略创建。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CloudwatchLogsPermissions",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Effect": "Allow",
      "Resource": [
          "arn:aws:logs:<REGION>:<AWS_ACCOUNT_ID>:<CLOUDWATCH_LOG_GROUP_NAME_IN_SECURITY_CONFIGURATION>:*"
      ]
    },
    {
      "Sid": "BucketPermissionsInS3Buckets",
      "Action": [
        "s3:CreateBucket",
        "s3:DeleteBucket",
        "s3:ListAllMyBuckets",
        "s3:ListBucket"
      ],
      "Effect": "Allow",
      "Resource": [
 *"arn:aws:s3:::amzn-s3-demo-bucket1",
        "arn:aws:s3:::amzn-s3-demo-bucket2"*
        ]
    },
    {
      "Sid": "ObjectPermissionsInS3Objects",
      "Action": [
        "s3:GetObject",
        "s3:DeleteObject",
        "s3:PutObject"
      ],
      "Effect": "Allow",
      "Resource": [ 
 *"arn:aws:s3:::amzn-s3-demo-bucket1/*",
          "arn:aws:s3:::amzn-s3-demo-bucket2/*"
*        ]
    }
  ]
}

重要

必须包含 CloudWatch 日志资源末尾的星号 “*”，以提供写入日志流的权限。

注意

如果您使用EMRFS一致性视图或 S3 SSE 加密，请向 DynamoDB 表KMS和密钥添加权限，以便执行引擎可以与这些引擎进行交互。

Apache Ranger 的IAM角色由EC2实例配置文件角色担任。使用以下示例创建信任策略，允许EC2实例配置文件IAM角色担任 Apache Ranger 的角色。


    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/<EC2 INSTANCE PROFILE ROLE NAME eg. EMR_EC2_DefaultRole>"
      },
      "Action": ["sts:AssumeRole", "sts:TagSession"]
    }

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

EC2Amazon 的实例配置文件 EMR

IAM担任 Amazon EMR 集成的其他 AWS 服务的角色