本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
將 AWS Secrets Manager 許可新增至 Amazon EMR 執行個體角色
Amazon EMR 使用IAM服務角色代表您執行動作來佈建和管理叢集。叢集EC2執行個體的服務角色 (也稱為 Amazon EMR 的EC2執行個體設定檔) 是 Amazon 啟動時EMR指派給叢集中每個EC2執行個體的特殊服務角色類型。
若要定義EMR叢集與 Amazon S3 資料和其他 AWS 服務互動的許可,請定義自訂 Amazon EC2 執行個體設定檔,而不是啟動叢集EMR_EC2_DefaultRole
時的設定檔。如需詳細資訊,請參閱 叢集EC2執行個體服務角色 (執行個EC2體設定檔) 和 自訂IAM角色。
將下列陳述式新增至預設EC2執行個體設定檔,以允許 Amazon EMR 標記工作階段並存取存放LDAP憑證的 AWS Secrets Manager 工作階段。
{ "Sid": "AllowAssumeOfRolesAndTagging", "Effect": "Allow", "Action": ["sts:TagSession", "sts:AssumeRole"], "Resource": [ "arn:aws:iam::
111122223333
:role/LDAP_DATA_ACCESS_ROLE_NAME
", "arn:aws:iam::111122223333
:role/LDAP_USER_ACCESS_ROLE_NAME
" ] }, { "Sid": "AllowSecretsRetrieval", "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": [ "arn:aws:secretsmanager:us-east-1
:111122223333
:secret:LDAP_SECRET_NAME
*", "arn:aws:secretsmanager:us-east-1
:111122223333
:secret:ADMIN_LDAP_SECRET_NAME
*" ] }
注意
如果您在設定 Secrets Manager 許可時忘記機密名稱結尾的萬用字元 *
,叢集請求將會失敗。萬用字元代表機密版本。
您應該盡量將 AWS Secrets Manager 原則範圍限制為只有叢集佈建執行個體所需的憑證。