Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
IAM-Rolle für Apache Ranger
Diese Rolle stellt Anmeldeinformationen für vertrauenswürdige Ausführungs-Engines wie Apache Hive und Amazon EMR Record Server bereit, um auf Amazon-S3-Daten zuzugreifen. Verwenden Sie nur diese Rolle, um auf Amazon S3 S3-Daten, einschließlich aller KMS-Schlüssel, zuzugreifen, wenn Sie S3 verwenden SSE-KMS.
Diese Rolle muss mit der im folgenden Beispiel angegebenen Mindestrichtlinie erstellt werden.
Wichtig
Das Sternchen „*“ am Ende der CloudWatch Protokollressource muss enthalten sein, um Schreibberechtigungen für die Protokollstreams zu erteilen.
Anmerkung
Wenn Sie die EMRFS-Konsistenzansicht oder S3-SSE Verschlüsselung verwenden, fügen Sie den DynamoDB-Tabellen und KMS-Schlüsseln Berechtigungen hinzu, damit die Ausführungsmodule mit diesen Engines interagieren können.
Die IAM-Rolle für Apache Ranger wird von der EC2-Instance-Profilrolle übernommen. Verwenden Sie das folgende Beispiel, um eine Vertrauensrichtlinie zu erstellen, die es ermöglicht, dass die IAM-Rolle für Apache Ranger von der EC2-Instance-Profilrolle übernommen wird.
{ "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/<EC2 INSTANCE PROFILE ROLE NAME eg. EMR_EC2_DefaultRole>" }, "Action": ["sts:AssumeRole", "sts:TagSession"] }
