Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation Amazon S3 Access Grants avec Amazon EMR sur EKS
Présentation de S3 Access Grants pour Amazon EMR sur EKS
Avec Amazon EMR 6.15.0 et versions ultérieures, Amazon S3 Access Grants fournit une solution de contrôle d’accès évolutive que vous pouvez utiliser pour augmenter l’accès à vos données Amazon S3 depuis Amazon EMR sur EKS. Si vos exigences en matière de données S3 nécessitent une configuration d’autorisations complexe ou importante, vous pouvez utiliser S3 Access Grants pour mettre à l’échelle les autorisations de données S3 pour les utilisateurs, les groupes, les rôles et les applications.
Utilisez S3 Access Grants pour augmenter l’accès aux données Amazon S3 au-delà des autorisations accordées par le rôle d’exécution ou les rôles IAM associés aux identités ayant accès à votre cluster Amazon EMR sur EKS.
Pour plus d’informations, voir la rubrique Gestion des accès avec S3 Access Grants pour Amazon EMR du Guide de gestion Amazon EMR et la rubrique Gestion des accès avec S3 Access Grants du Guide de l’utilisateur Amazon Simple Storage Service.
Cette page présente les conditions requises pour exécuter une tâche Spark dans Amazon EMR sur EKS avec l’intégration de S3 Access Grants. Avec Amazon EMR sur EKS, S3 Access Grants nécessite une instruction de politique IAM supplémentaire dans le rôle d’exécution de votre tâche, ainsi qu’une configuration de remplacement supplémentaire pour l’API StartJobRun. Pour savoir comment configurer S3 Access Grants avec d’autres déploiements Amazon EMR, consultez la documentation suivante :
Lancement d’un cluster Amazon EMR sur EKS avec S3 Access Grants pour la gestion des données
Vous pouvez activer S3 Access Grants dans Amazon EMR sur EKS et lancer une tâche Spark. Lorsque votre application demande à accéder aux données S3, Amazon S3 fournit des informations d’identification temporaires limitées au compartiment, au préfixe ou à l’objet concerné.
-
Configurez un rôle d’exécution de tâches pour votre cluster Amazon EMR sur EKS. Ajoutez les autorisations IAM
s3:GetDataAccessets3:GetAccessGrantsInstanceForPrefixrequises pour l’exécution des tâches Spark :{ "Effect": "Allow", "Action": [ "s3:GetDataAccess", "s3:GetAccessGrantsInstanceForPrefix" ], "Resource": [ //LIST ALL INSTANCE ARNS THAT THE ROLE IS ALLOWED TO QUERY "arn:aws_partition:s3:Region:account-id1:access-grants/default", "arn:aws_partition:s3:Region:account-id2:access-grants/default" ] }Note
Si vous spécifiez des rôles IAM qui, pour l’exécution des tâches, disposent d’autorisations supplémentaires pour accéder directement à S3, les utilisateurs peuvent être en mesure d’accéder aux données, quelles que soient les autorisations que vous définissez dans S3 Access Grants.
-
Soumettez une tâche à votre cluster Amazon EMR sur EKS avec une étiquette de version Amazon EMR 6.15 ou version ultérieure et la classification
emrfs-site, comme illustré dans l’exemple suivant. Remplacez les valeurs dansred text{ "name": "myjob", "virtualClusterId": "123456", "executionRoleArn": "iam_role_name_for_job_execution", "releaseLabel": "emr-7.8.0-latest", "jobDriver": { "sparkSubmitJobDriver": { "entryPoint": "entryPoint_location", "entryPointArguments": ["argument1", "argument2"], "sparkSubmitParameters": "--classmain_class" } }, "configurationOverrides": { "applicationConfiguration": [ { "classification": "emrfs-site", "properties": { "fs.s3.s3AccessGrants.enabled": "true", "fs.s3.s3AccessGrants.fallbackToIAM": "false" } } ], } }
Considérations relatives à S3 Acces Grants avec Amazon EMR sur EKS
Pour obtenir des informations importantes sur la prise en charge, la compatibilité et le comportement lorsque vous utilisez Amazon S3 Access Grants avec Amazon EMR sur EKS, consultez la rubrique Considérations relatives à S3 Access Grants avec Amazon EMR du Guide de gestion d’Amazon EMR.
