Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von Amazon S3 Access Grants mit Amazon EMR in EKS
Übersicht über S3 Access Grants für Amazon EMR in EKS
Mit den Amazon-EMR-Versionen 6.15.0 und höher bieten Amazon S3 Access Grants eine skalierbare Zugriffskontrolllösung, mit der Sie den Zugriff auf Ihre Amazon-S3-Daten von Amazon EMR in EKS aus erweitern können. Wenn Sie für Ihre S3-Daten eine komplexe oder umfangreiche Berechtigungskonfiguration haben, können Sie mit S3 Access Grants die S3-Datenberechtigungen für Benutzer, Gruppen, Rollen und Anwendungen skalieren.
Verwenden Sie S3 Access Grants, um den Zugriff auf Amazon-S3-Daten über die Berechtigungen hinaus zu erweitern, die durch die Laufzeitrolle oder die IAM-Rollen gewährt werden, die den Identitäten mit Zugriff auf Ihren Cluster von Amazon EMR in EKS zugewiesen sind.
Weitere Informationen finden Sie unter Verwaltung des Zugriffs mit S3 Access Grants für Amazon EMR im Leitfaden zu Amazon EMR und Verwaltung des Zugriffs mit S3 Access Grants im Benutzerhandbuch zu Amazon Simple Storage Service.
Auf dieser Seite werden die Anforderungen für die Ausführung eines Spark-Auftrags in Amazon EMR in EKS mit S3-Access-Grants-Integration beschrieben. Mit Amazon EMR in EKS benötigt S3 Access Grants eine zusätzliche IAM-Richtlinienanweisung in der Ausführungsrolle für Ihren Auftrag und eine zusätzliche Override-Konfiguration für die StartJobRun-API. Schritte zur Einrichtung von S3 Access Grants mit anderen Amazon-EMR-Bereitstellungen finden Sie in der folgenden Dokumentation:
Einen Cluster von Amazon EMR in EKS mit S3 Access Grants für die Datenverwaltung starten
Sie können S3 Access Grants in Amazon EMR in EKS aktivieren und einen Spark-Auftrag starten. Wenn Ihre Anwendung eine Anfrage für S3-Daten stellt, stellt Amazon S3 temporäre Anmeldeinformationen bereit, die auf den jeweiligen Bucket, das Präfix oder das Objekt beschränkt sind.
-
Richten Sie eine Auftragsausführungsrolle für Ihren Cluster von Amazon EMR in EKS ein. Geben Sie die erforderlichen IAM-Berechtigungen an, die Sie für die Ausführung von Spark-Aufträgen benötigen,
s3:GetDataAccessunds3:GetAccessGrantsInstanceForPrefix:{ "Effect": "Allow", "Action": [ "s3:GetDataAccess", "s3:GetAccessGrantsInstanceForPrefix" ], "Resource": [ //LIST ALL INSTANCE ARNS THAT THE ROLE IS ALLOWED TO QUERY "arn:aws_partition:s3:Region:account-id1:access-grants/default", "arn:aws_partition:s3:Region:account-id2:access-grants/default" ] }Anmerkung
Wenn die IAM-Rollen, die Sie für die Auftragsausführung angeben, zusätzlichen Berechtigungen für den direkten Zugriff auf S3 enthalten, können Benutzer möglicherweise unabhängig von den Berechtigungen, die Sie in S3 Access Grants definieren, auf Daten zugreifen.
-
Senden Sie einen Auftrag an Ihren Cluster von Amazon EMR in EKS mit einer Amazon-EMR-Versionsbezeichnung von 6.15 oder höher und der
emrfs-site-Klassifizierung, wie im folgenden Beispiel gezeigt. Ersetzen Sie die Werte inred text{ "name": "myjob", "virtualClusterId": "123456", "executionRoleArn": "iam_role_name_for_job_execution", "releaseLabel": "emr-7.8.0-latest", "jobDriver": { "sparkSubmitJobDriver": { "entryPoint": "entryPoint_location", "entryPointArguments": ["argument1", "argument2"], "sparkSubmitParameters": "--classmain_class" } }, "configurationOverrides": { "applicationConfiguration": [ { "classification": "emrfs-site", "properties": { "fs.s3.s3AccessGrants.enabled": "true", "fs.s3.s3AccessGrants.fallbackToIAM": "false" } } ], } }
Überlegungen zu S3 Access Grants mit Amazon EMR in EKS
Wichtige Informationen zu Support, Kompatibilität und Verhalten bei der Verwendung von Amazon S3 Access Grants mit Amazon EMR in EKS finden Sie unter Überlegungen zu S3 Access Grants mit Amazon EMR im Leitfaden zu Amazon EMR.
