AWS Secrets Manager Berechtigungen zur Amazon EMR-Instance-Rolle hinzufügen

Amazon EMR verwendet eine IAM-Servicerolle, um in Ihrem Namen Aktionen zur Bereitstellung und Verwaltung von Clustern durchzuführen. Die Servicerolle für EC2 Cluster-Instances, auch EC2 Instance-Profil für Amazon EMR genannt, ist eine spezielle Art von Servicerolle, die Amazon EMR jeder EC2 Instance in einem Cluster beim Start zuweist.

Um die Berechtigungen für einen EMR-Cluster für die Interaktion mit Amazon S3 S3-Daten und anderen AWS Diensten zu definieren, definieren Sie ein benutzerdefiniertes EC2 Amazon-Instance-Profil und nicht das, EMR_EC2_DefaultRole wenn Sie Ihren Cluster starten. Weitere Informationen erhalten Sie unter Servicerolle für EC2 Cluster-Instances (EC2Instance-Profil) und Passen Sie IAM-Rollen mit Amazon EMR an.

Fügen Sie dem EC2 Standard-Instance-Profil die folgenden Anweisungen hinzu, damit Amazon EMR Sitzungen taggen und auf die zugreifen kann AWS Secrets Manager , in denen LDAP-Zertifikate gespeichert sind.

    {
      "Sid": "AllowAssumeOfRolesAndTagging",
      "Effect": "Allow",
      "Action": ["sts:TagSession", "sts:AssumeRole"],
      "Resource": [
        "arn:aws:iam::111122223333:role/LDAP_DATA_ACCESS_ROLE_NAME",
        "arn:aws:iam::111122223333:role/LDAP_USER_ACCESS_ROLE_NAME"
      ]
    },
    {
        "Sid": "AllowSecretsRetrieval",
        "Effect": "Allow",
        "Action": "secretsmanager:GetSecretValue",
        "Resource": [
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:LDAP_SECRET_NAME*",
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:ADMIN_LDAP_SECRET_NAME*"
        ]
    }