本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon EMR 中的 ModifyInstanceGroups 動作不需要您為此動作提供叢集 ID。相反,您只能指定執行個體群組 ID。因此,基於叢集 ID 或叢集標籤的此動作的看似簡單的拒絕政策可能不會達到預期效果。請考量下列範例政策。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"elasticmapreduce:ModifyInstanceGroups"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"elasticmapreduce:ModifyInstanceGroups"
],
"Effect": "Deny",
"Resource": "arn:aws:elasticmapreduce:us-east-1:123456789012:cluster/j-12345ABCDEFG67"
}
]
}如果已附接此政策的使用者執行 ModifyInstanceGroup 動作,且僅指定執行個體群組 ID,則不會套用此政策。由於允許對所有其他資源執行此動作,因此此動作成功。
此問題的解決方法是將政策陳述式附接至使用 NotResource 元素的身分,以拒絕在沒有叢集 ID 的情況下發出的任何 ModifyInstanceGroup 動作。下列政策範例會新增此類拒絕陳述式,如此一來,除非指定叢集 ID,否則任何 ModifyInstanceGroups 請求都會失敗。由於身分必須透過動作指定叢集 ID,因此基於叢集 ID 的拒絕陳述式是有效的。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"elasticmapreduce:ModifyInstanceGroups"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"elasticmapreduce:ModifyInstanceGroups"
],
"Effect": "Deny",
"Resource": "arn:aws:elasticmapreduce:us-east-1:123456789012:cluster/j-12345ABCDEFG67"
},
{
"Action": [
"elasticmapreduce:ModifyInstanceGroups"
],
"Effect": "Deny",
"NotResource": "arn:*:elasticmapreduce:*:*:cluster/*"
}
]
}當您想要根據與叢集標籤關聯的值拒絕 ModifyInstanceGroups 動作時,也會存在類似問題。解決方案是類似的。除了用於指定標籤值的拒絕陳述式之外,您還可以新增政策陳述式,即如果您指定的標籤不存在,則無論值為何,都會拒絕 ModifyInstanceGroup 動作。
下列範例示範一個政策,即在附接至身分時,此政策會拒絕該身分對任何標籤 department 設定為 dev 的叢集執行 ModifyInstanceGroups 動作。此陳述式僅在拒絕陳述式使用 StringNotLike 條件拒絕動作 (除非 department 標籤存在) 時才有效。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"elasticmapreduce:ModifyInstanceGroups"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"elasticmapreduce:ModifyInstanceGroups"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/department": "dev"
}
},
"Effect": "Deny",
"Resource": "*"
},
{
"Action": [
"elasticmapreduce:ModifyInstanceGroups"
],
"Condition": {
"StringNotLike": {
"aws:ResourceTag/department": "?*"
}
},
"Effect": "Deny",
"Resource": "*"
}
],
}