Agregar permisos de AWS Secrets Manager al rol de instancia de Amazon EMR

Amazon EMR utiliza un rol de servicio de IAM para realizar acciones en su nombre para aprovisionar y administrar clústeres. El rol de servicio para instancias de EC2 de clúster, también conocido como el perfil de instancia de EC2 para Amazon EMR, es un tipo especial de rol de servicio que Amazon EMR asigna a cada instancia de EC2 de un clúster en el momento del lanzamiento.

Para definir los permisos para que un clúster de EMR interactúe con los datos de Amazon S3 y otros productos de AWS, defina un perfil de instancia de Amazon EC2 personalizado en lugar de EMR_EC2_DefaultRole al lanzar el clúster. Para obtener más información, consulte Rol de servicio para instancias de EC2 del clúster (perfil de instancia de EC2) y Personalización de roles de IAM con Amazon EMR.

Agregue las siguientes instrucciones al perfil de instancia de EC2 predeterminado para permitir que Amazon EMR etiquete las sesiones y acceda a la instancia de AWS Secrets Manager que almacena los certificados LDAP.

    {
      "Sid": "AllowAssumeOfRolesAndTagging",
      "Effect": "Allow",
      "Action": ["sts:TagSession", "sts:AssumeRole"],
      "Resource": [
        "arn:aws:iam::111122223333:role/LDAP_DATA_ACCESS_ROLE_NAME",
        "arn:aws:iam::111122223333:role/LDAP_USER_ACCESS_ROLE_NAME"
      ]
    },
    {
        "Sid": "AllowSecretsRetrieval",
        "Effect": "Allow",
        "Action": "secretsmanager:GetSecretValue",
        "Resource": [
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:LDAP_SECRET_NAME*",
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:ADMIN_LDAP_SECRET_NAME*"
        ]
    }