Konfigurieren Sie IAM-Servicerollen für Amazon-EMR-Berechtigungen für AWS Services und Ressourcen - Amazon EMR
Ändern von identitätsbasierten Richtlinien für Berechtigungen zum Übergeben von Servicerollen für Amazon EMRÜbersicht über Servicerollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren Sie IAM-Servicerollen für Amazon-EMR-Berechtigungen für AWS Services und Ressourcen

Amazon EMR und Anwendungen wie Hadoop und Spark benötigen Berechtigungen für den Zugriff auf andere AWS -Ressourcen und die Ausführung von Aktionen während der Ausführung. Jeder Cluster in Amazon EMR muss eine Servicerolle und eine Rolle für das EC2 Amazon-Instance-Profil haben. Weitere Informationen finden Sie unter IAM-Rollen und Verwenden von Instance-Profilen im IAM-Benutzerhandbuch. Die diesen Rollen zugeordneten IAM-Richtlinien stellen dem Cluster die Berechtigung bereit, im Namen eines Benutzers mit anderen AWS -Services zu interagieren.

Eine zusätzliche Rolle, die Auto Scaling-Rolle, ist erforderlich, wenn Ihr Cluster ein Auto Scaling in Amazon EMR verwendet. Die AWS Servicerolle für EMR Notebooks ist erforderlich, wenn Sie EMR Notebooks verwenden.

Amazon EMR bietet Standardrollen und standardmäßig verwaltete Richtlinien für alle Rollen, die Berechtigungen bestimmen. Verwaltete Richtlinien werden von erstellt und verwaltet AWS, sodass sie automatisch aktualisiert werden, wenn sich die Serviceanforderungen ändern. Siehe unter Von AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.

Wenn Sie zum ersten Mal einen Cluster oder ein Notebook in einem Konto erstellen, existieren für Amazon EMR noch keine Rollen. Nachdem Sie sie erstellt haben, können Sie die Rollen, die mit ihnen verknüpften Richtlinien und die Berechtigungen, die durch die Richtlinien zugelassen oder verweigert wurden, in der IAM-Konsole anzeigen (https://console.aws.amazon.com/iam/). Sie können Standardrollen für Amazon EMR zum Erstellen und Verwenden angeben, Sie können Ihre eigenen Rollen erstellen und sie einzeln angeben, wenn Sie einen Cluster erstellen, um Berechtigungen anpassen. Und Sie können Standardrollen angeben, die verwendet werden sollen, wenn Sie einen Cluster mithilfe der AWS CLI erstellen. Weitere Informationen finden Sie unter Passen Sie IAM-Rollen mit Amazon EMR an.

Ändern von identitätsbasierten Richtlinien für Berechtigungen zum Übergeben von Servicerollen für Amazon EMR

Die verwalteten Standardrichtlinien von Amazon EMR mit vollen Berechtigungen beinhalten iam:PassRole-Sicherheitskonfigurationen, darunter die folgenden:

  • iam:PassRole-Berechtigungen nur für bestimmte Amazon-EMR-Standardrollen.

  • iam:PassedToServiceBedingungen, die es Ihnen ermöglichen, die Richtlinie nur mit bestimmten AWS Diensten zu verwenden, z. B. elasticmapreduce.amazonaws.com undec2.amazonaws.com.

Sie können die JSON-Version der Amazon EMRFull AccessPolicy _v2- und Amazon EMRService Policy_v2-Richtlinien in der IAM-Konsole anzeigen. Wir empfehlen, dass Sie neue Cluster mit den verwalteten v2-Richtlinien erstellen.

Übersicht über Servicerollen

In der folgenden Tabelle finden Sie als Referenz die IAM-Servicerollen aufgelistet, die Amazon EMR zugeordnet sind.

Funktion Standardrolle Beschreibung Verwaltete Standardrichtlinie

Servicerolle für Amazon EMR (EMR-Rolle)

EMR_DefaultRole_V2

Ermöglicht Amazon EMR, in Ihrem Namen andere AWS Services aufzurufen, wenn Ressourcen bereitgestellt und Service-Level-Aktionen ausgeführt werden. Diese Rolle ist für alle Cluster erforderlich.

AmazonEMRServicePolicy_v2

Wichtig

Zum Anfordern von Spot Instances ist eine serviceverknüpfte Rolle erforderlich. Wenn diese Rolle nicht vorhanden ist, benötigt die Amazon-EMR-Servicerolle die Berechtigung, sie zu erstellen, andernfalls tritt ein Berechtigungsfehler auf. Wenn Sie Spot Instances anfordern möchten, müssen Sie diese Richtlinie so aktualisieren, dass sie eine Erklärung enthält, die die Erstellung dieser serviceverknüpften Rolle ermöglicht. Weitere Informationen finden Sie unter Servicerolle für Amazon EMR (EMR-Rolle) und serviceverknüpfte Rolle für Spot-Instance-Anfragen im EC2 Amazon-Benutzerhandbuch.

Servicerolle für EC2 Cluster-Instances (EC2Instance-Profil)

EMR_EC2_DefaultRole

Anwendungsprozesse, die auf dem Hadoop-Ökosystem auf Cluster-Instances ausgeführt werden, verwenden diese Rolle, wenn sie andere AWS Dienste aufrufen. Für den Zugriff auf Daten in Amazon S3 mithilfe von EMRFS können Sie unterschiedliche Rollen angeben, die abhängig vom Speicherort der Daten in Amazon S3 angenommen werden sollen. Beispielsweise können mehrere Teams auf ein einzelnes „Datenspeicherkonto“ von Amazon S3 zugreifen. Weitere Informationen finden Sie unter Konfigurieren von IAM-Rollen für EMRFS-Anforderungen an Amazon S3. Diese Rolle ist für alle Cluster erforderlich.

AmazonElasticMapReduceforEC2Role. Weitere Informationen finden Sie unter Servicerolle für EC2 Cluster-Instances (EC2Instance-Profil).

Servicerolle für Auto Scaling in Amazon EMR (Auto Scaling-Rolle)

EMR_AutoScaling_DefaultRole

Ermöglicht zusätzliche Aktionen für dynamisch skalierte Umgebungen. Nur erforderlich für Cluster mit Auto Scaling in Amazon EMR. Weitere Informationen finden Sie unter Verwenden der automatischen Skalierung mit einer benutzerdefinierten Richtlinie für Instanzgruppen in Amazon EMR.

AmazonElasticMapReduceforAutoScalingRole. Weitere Informationen finden Sie unter Servicerolle für Auto Scaling in Amazon EMR (Auto Scaling-Rolle).

Servicerolle für EMR Notebooks

EMR_Notebooks_DefaultRole

Stellt Berechtigungen bereit, die ein EMR-Notizbuch benötigt, um auf andere AWS Ressourcen zuzugreifen und Aktionen auszuführen. Nur erforderlich, wenn EMR-Notebooks verwendet werden.

AmazonElasticMapReduceEditorsRole. Weitere Informationen finden Sie unter Servicerolle für EMR Notebooks.

S3FullAccessPolicy wird auch standardmäßig angehängt. Im Folgenden finden Sie den Inhalt dieser Richtlinie..

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": "*"
        }
    ]
}

Serviceverknüpfte Rolle

AWSServiceRoleForEMRCleanup

Amazon EMR erstellt automatisch eine serviceverknüpfte Rolle. Wenn der Service für Amazon EMR nicht mehr in der Lage ist, EC2 Amazon-Ressourcen zu bereinigen, kann Amazon EMR diese Rolle zum Aufräumen verwenden. Wenn ein Cluster Spot-Instances verwendet, muss die Berechtigungsrichtlinie, die der Servicerolle für Amazon EMR (EMR-Rolle) angefügt ist, die Erstellung einer serviceverknüpften Rolle zulassen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für Amazon EMR.

AmazonEMRCleanupPolicy
Themen