Añadir AWS Secrets Manager permisos al rol de instancia de Amazon EMR

Amazon EMR utiliza un rol de servicio de IAM para realizar acciones en su nombre para aprovisionar y administrar clústeres. La función de servicio para EC2 las instancias de clúster, también denominada perfil de EC2 instancia de Amazon EMR, es un tipo especial de función de servicio que Amazon EMR asigna a todas las EC2 instancias de un clúster en el momento del lanzamiento.

Para definir los permisos para que un clúster de EMR interactúe con los datos de Amazon S3 y otros AWS servicios, defina un perfil de EC2 instancia de Amazon personalizado en lugar del que tenía EMR_EC2_DefaultRole al lanzar el clúster. Para obtener más información, consulte Función de servicio para EC2 instancias de clúster (perfil de EC2 instancia) y Personalización de roles de IAM con Amazon EMR.

Añada las siguientes instrucciones al perfil de EC2 instancia predeterminado para permitir que Amazon EMR etiquete las sesiones y acceda al AWS Secrets Manager que almacena los certificados LDAP.

    {
      "Sid": "AllowAssumeOfRolesAndTagging",
      "Effect": "Allow",
      "Action": ["sts:TagSession", "sts:AssumeRole"],
      "Resource": [
        "arn:aws:iam::111122223333:role/LDAP_DATA_ACCESS_ROLE_NAME",
        "arn:aws:iam::111122223333:role/LDAP_USER_ACCESS_ROLE_NAME"
      ]
    },
    {
        "Sid": "AllowSecretsRetrieval",
        "Effect": "Allow",
        "Action": "secretsmanager:GetSecretValue",
        "Resource": [
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:LDAP_SECRET_NAME*",
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:ADMIN_LDAP_SECRET_NAME*"
        ]
    }