本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
為IAM服務和資源的 Amazon EMR 許可設定 AWS 服務角色
Amazon EMR 和 Hadoop 和 Spark 等應用程式需要許可才能存取其他 AWS 資源並在執行動作時執行動作。Amazon 中的每個叢集都EMR必須具有服務角色和 Amazon EC2 執行個體設定檔的角色。如需詳細資訊,請參閱使用指南中的IAM角色和使用執行個體設定檔。IAM附加到這些角色的IAM原則為叢集提供了代表使用者與其他 AWS 服務互通的權限。
如果您的叢集在 Amazon 中使用 Auto Scaling,則需要額外的角色「自動擴展」角色EMR。如果您使 AWS 用EMR筆記本,則需要筆記EMR本的服務角色。
Amazon EMR 提供預設角色和預設受管政策,以決定每個角色的許可。受管理的策略由建立和維護 AWS,因此當服務需求變更時,它們會自動更新。請參閱《IAM使用指南》中的AWS 受管理策略。
如果您是第一次在帳戶中建立叢集或筆記本,Amazon 的角色尚EMR不存在。建立角色之後,您可以檢視角色、附加到這些角色的原則,以及IAM主控台中原則允許或拒絕的權限 (https://console.aws.amazon.com/iam/
修改以身分識別為基礎的政策,以便將服務角色傳遞給 Amazon EMR
Amazon EMR 完整許可預設受管政策包含iam:PassRole安全組態,包括下列各項:
iam:PassRole僅適用於特定預設 Amazon EMR 角色的許可。iam:PassedToService允許您僅將政策與指定 AWS 服務一起使用的條件,例如elasticmapreduce.amazonaws.com和ec2.amazonaws.com。
您可以在主控台中檢視 A mazonEMRFull AccessPolicy _v2
服務角色摘要
下表列出與 Amazon 相關聯的IAM服務角色,以EMR供快速參考。
| 函式 | 預設角色 | 描述 | 預設受管政策 |
|---|---|---|---|
|
|
在佈建資源和執行 AWS 服務層級動作時,允許 Amazon EMR 代表您呼叫其他服務。所有叢集皆需要這個角色。 |
重要請求 Spot 執行個體需要服務連結角色。如果此角色不存在,Amazon EMR 服務角色必須具有建立該角色的權限,否則會發生權限錯誤。如果計劃請求 Spot 執行個體,您必須更新此政策,以包含允許建立此服務連結角色的陳述式。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的 Spot 執行個體請求Amazon 的服務角EMR色EMR(角色)和服務連結角色。 |
|
|
|
在叢集執行個體上,在 Hadoop 生態系統之上執行的應用程式程序會在呼叫其他 AWS 服務時使用此角色。若要使用存取 Amazon S3 中的資料EMRFS,您可以根據 Amazon S3 中的資料位置指定要承擔的不同角色。例如,多個團隊可存取單一 Amazon S3 資料「儲存帳戶」。如需詳細資訊,請參閱為向 Amazon S3 發出EMRFS請求設定IAM角色。所有叢集皆需要這個角色。 |
|
|
|
|
可允許其他動作來動態擴展環境。只有在 Amazon 中使用自動擴展的叢集才需要EMR。如需詳細資訊,請參閱針對執行個體群組,搭配使用自動擴展與自訂政策。 |
|
|
|
|
提供EMR記事本存取其他 AWS 資源和執行動作所需的權限。僅在使用EMR筆記本時才需要。 |
根據預設,也會連接
|
|
|
Amazon EMR 會自動建立服務連結角色。如果 Amazon 的服務EMR已經失去了清理 Amazon EC2 資源的能力,Amazon EMR 可以使用這個角色來清理。如果叢集使用 Spot 執行個體,連接到 Amazon 的服務角EMR色EMR(角色) 的許可政策必須允許建立服務連結角色。如需詳細資訊,請參閱在 Amazon 使用服務連結角色 EMR。 |
|
主題
