將 AWS Secrets Manager 許可新增至 Amazon EMR 執行個體角色

Amazon EMR 使用IAM服務角色代表您執行動作來佈建和管理叢集。叢集EC2執行個體的服務角色 (也稱為 Amazon EMR 的EC2執行個體設定檔) 是 Amazon 啟動時EMR指派給叢集中每個EC2執行個體的特殊服務角色類型。

若要定義EMR叢集與 Amazon S3 資料和其他 AWS 服務互動的許可，請定義自訂 Amazon EC2 執行個體設定檔，而不是啟動叢集EMR_EC2_DefaultRole時的設定檔。如需詳細資訊，請參閱 叢集EC2執行個體服務角色 (執行個EC2體設定檔) 和 自訂IAM角色。

將下列陳述式新增至預設EC2執行個體設定檔，以允許 Amazon EMR 標記工作階段並存取存放LDAP憑證的 AWS Secrets Manager 工作階段。

    {
      "Sid": "AllowAssumeOfRolesAndTagging",
      "Effect": "Allow",
      "Action": ["sts:TagSession", "sts:AssumeRole"],
      "Resource": [
        "arn:aws:iam::111122223333:role/LDAP_DATA_ACCESS_ROLE_NAME",
        "arn:aws:iam::111122223333:role/LDAP_USER_ACCESS_ROLE_NAME"
      ]
    },
    {
        "Sid": "AllowSecretsRetrieval",
        "Effect": "Allow",
        "Action": "secretsmanager:GetSecretValue",
        "Resource": [
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:LDAP_SECRET_NAME*",
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:ADMIN_LDAP_SECRET_NAME*"
        ]
    }

注意

如果您在設定 Secrets Manager 許可時忘記機密名稱結尾的萬用字元 *，叢集請求將會失敗。萬用字元代表機密版本。

您應該盡量將 AWS Secrets Manager 原則範圍限制為只有叢集佈建執行個體所需的憑證。