View a markdown version of this page

Einrichtung der IAM-Rolle - Amazon EMR
Einrichtung der IAM-Rolle für den MCP-ServerZusätzliche Berechtigungen nach Bereitstellungsmodus () EMR-EC2/EMR-S/GlueKommende Änderung der Berechtigungen (29. Mai 2026)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichtung der IAM-Rolle

Der CloudFormation Stack in den Setup-Anweisungen automatisiert die Einrichtung der IAM-Rolle für Sie. Wenn Sie ihn manuell ausführen möchten, folgen Sie bitte den folgenden Anweisungen:

Einrichtung der IAM-Rolle für den MCP-Server

Kommende Änderung mit Wirkung zum 29. Mai 2026

Die unten aufgeführten sagemaker-unified-studio-mcp Genehmigungen sind nach dem 29. Mai 2026 nicht mehr erforderlich. Die Autorisierung erfolgt stattdessen auf AWS Service-Ebene unter Verwendung Ihrer bestehenden IAM-Richtlinien. Wenn Sie diese Berechtigungen verwenden, um den Zugriff zu verweigern, finden Sie Informationen Kommende Änderung der Berechtigungen (29. Mai 2026) zur Aktualisierung Ihrer Richtlinien vor diesem Datum.

Für den Zugriff auf den SMUS-verwalteten MCP-Server ist eine IAM-Rolle mit der folgenden Inline-Richtlinie erforderlich:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowUseSagemakerUnifiedStudioMcpServer",
            "Effect": "Allow",
            "Action": [
                "sagemaker-unified-studio-mcp:InvokeMcp",
                "sagemaker-unified-studio-mcp:CallReadOnlyTool",
                "sagemaker-unified-studio-mcp:CallPrivilegedTool"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

In den nächsten Schritten werden wir ein Profil für diese Rolle erstellen. Das Konto, das diese Rolle zum Abrufen der Anmeldeinformationen übernimmt, sollte der Richtlinie zur Übernahme der Rolle hinzugefügt werden.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAccountToAssumeRole",
      "Effect": "Allow",
      "Principal": { "AWS": "arn:aws:iam::<accountId>:root" },
      "Action": "sts:AssumeRole"
    }
  ]
}

Zusätzliche Berechtigungen nach Bereitstellungsmodus () EMR-EC2/EMR-S/Glue

EMR-EC2 Anwendungen

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EMREC2ReadAccess",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:DescribeCluster",
                "elasticmapreduce:DescribeStep",
                "elasticmapreduce:ListSteps",
                "elasticmapreduce:ListClusters",
                "elasticmapreduce:DescribeJobFlows"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "EMRS3LogAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": "*"
        },
        {
            "Sid": "EMRPersistentApp",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:CreatePersistentAppUI",
                "elasticmapreduce:DescribePersistentAppUI",
                "elasticmapreduce:GetPersistentAppUIPresignedURL"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Kleberjobs

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GlueReadAccess",
            "Effect": "Allow",
            "Action": [
                "glue:GetJob",
                "glue:GetJobRun",
                "glue:GetJobRuns",
                "glue:GetJobs",
                "glue:BatchGetJobs"
            ],
            "Resource": [
                "arn:aws:glue:*:<account id>:job/*"
            ]
        },
        {
            "Sid": "GlueCloudWatchLogsAccess",
            "Effect": "Allow",
            "Action": [
                "logs:GetLogEvents",
                "logs:FilterLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:*:<account id>:log-group:/aws/glue/*"
            ]
        },
        {
            "Sid": "GlueSparkWebUI",
            "Effect": "Allow",
            "Action": [
                "glue:RequestLogParsing",
                "glue:GetLogParsingStatus",
                "glue:GetEnvironment",
                "glue:GetStage",
                "glue:GetStages",
                "glue:GetStageFiles",
                "glue:BatchGetStageFiles",
                "glue:GetStageAttempt",
                "glue:GetStageAttemptTaskList",
                "glue:GetStageAttemptTaskSummary",
                "glue:GetExecutors",
                "glue:GetExecutorsThreads",
                "glue:GetStorage",
                "glue:GetStorageUnit",
                "glue:GetQueries",
                "glue:GetQuery",
                "glue:GetDashboardUrl"
            ],
            "Resource": [
                "arn:aws:glue:*:<account id>:job/*"
            ]
        },
        {
            "Sid": "GluePassRoleAccess",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "glue.amazonaws.com"
                }
            }
        }
    ]
}

Serverlose EMR-Anwendungen

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EMRServerlessReadAccess",
            "Effect": "Allow",
            "Action": [
                "emr-serverless:GetJobRun",
                "emr-serverless:GetApplication",
                "emr-serverless:ListApplications",
                "emr-serverless:ListJobRuns",
                "emr-serverless:ListJobRunAttempts",
                "emr-serverless:GetDashboardForJobRun",
                "emr-serverless:ListTagsForResource"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "EMRServerlessCloudWatchLogsAccess",
            "Effect": "Allow",
            "Action": [
                "logs:GetLogEvents",
                "logs:FilterLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:*:<account id>:log-group:/aws/emr-serverless/*"
            ]
        },
        {
            "Sid": "EMRServerlessS3LogsAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": "*"
        }
    ]
}

KMS-Berechtigungen — Protokolle CloudWatch

Wenn die CloudWatch Protokolle mit einem CMK verschlüsselt sind, fügen Sie die folgende Richtlinie hinzu, damit der Dienst die EMR-Serverless Anwendungsprotokolle lesen kann.

{
    "Effect": "Allow",
    "Action": [
        "kms:Decrypt",
        "kms:DescribeKey"
    ],
    "Resource": "arn:aws:kms:<region>:<account-id>:key/<cw-logs-cmk-id>"
}

Kommende Änderung der Berechtigungen (29. Mai 2026)

Ab dem 29. Mai 2026 benötigt der AWS SMU-MCP-Server keine separaten IAM-Berechtigungen mehr, um MCP-Serveroperationen zu autorisieren. Stattdessen erfolgt die Autorisierung auf AWS Serviceebene unter Verwendung Ihrer vorhandenen IAM-Rollen und -Richtlinien.

Allen Anfragen, die über den SMU-MCP-Server gestellt werden, werden automatisch zwei Bedingungsschlüssel hinzugefügt:

  • aws:ViaAWSMCPService— Wird true für jede Anfrage, die über einen AWS verwalteten MCP-Server gestellt wird, auf gesetzt.

  • aws:CalledViaAWSMCP— Auf den MCP-Serverdienstprinzipal eingestellt (z. B.sagemaker-unified-studio-mcp.amazonaws.com).

Wenn Sie derzeit die sagemaker-unified-studio-mcp Berechtigungen verwenden, um den Zugriff auf den SMU-MCP-Server zu verweigern, oder wenn Sie keine vom AWS verwalteten MCP-Server initiierten Aktionen für Ihr Konto zulassen möchten, müssen Sie Ihre Richtlinien vor dem 29. Mai 2026 aktualisieren. Verwenden Sie stattdessen die neuen Bedingungsschlüssel.

Verweigern Sie alle Operationen über einen AWS verwalteten MCP-Server:

{
  "Effect": "Deny",
  "Action": "*",
  "Resource": "*",
  "Condition": {
    "Bool": {
      "aws:ViaAWSMCPService": "true"
    }
  }
}

Bestimmte Operationen über einen bestimmten AWS verwalteten MCP-Server verweigern:

{
  "Effect": "Deny",
  "Action": ["glue:GetJobRun", "glue:StartJobRun"],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:CalledViaAWSMCP": "sagemaker-unified-studio-mcp.amazonaws.com"
    }
  }
}

Weitere Informationen zu Bedingungsschlüsseln finden Sie unter AWS Globale Bedingungskontextschlüssel im IAM-Benutzerhandbuch.