Accorder des autorisations Lancez un cluster.Utiliser le cluster avec votre Workspace Considérations

Exécuter un Workspace EMR Studio avec un rôle d'exécution

Note

La fonctionnalité du rôle d'exécution décrite sur cette page s'applique uniquement à Amazon EMR exécuté sur Amazon EC2 et ne fait pas référence à la fonctionnalité du rôle d'exécution dans les applications interactives EMR sans serveur. Pour en savoir plus sur l'utilisation des rôles d'exécution dans EMR sans serveur, consultez la rubrique Job runtime roles dans le Guide de l'utilisateur Amazon EMR sans serveur.

Un rôle d'exécution est un rôle AWS Identity and Access Management (IAM) que vous pouvez spécifier lorsque vous soumettez une tâche ou une requête à un cluster Amazon EMR. La tâche ou la requête que vous soumettez à votre cluster EMR utilise le rôle d'exécution pour accéder à AWS des ressources, telles que des objets dans Amazon S3.

Lorsque vous associez un espace de travail EMR Studio à un cluster EMR qui utilise Amazon EMR 6.11 ou version ultérieure, vous pouvez sélectionner un rôle d'exécution pour la tâche ou la requête que vous soumettez afin qu'elle soit utilisée lors de l'accès aux ressources. AWS Toutefois, si le cluster EMR ne prend pas en charge les rôles d'exécution, le cluster EMR n'assumera pas ce rôle lorsqu'il accède aux ressources. AWS

Avant de pouvoir utiliser un rôle d'exécution dans un Workspace Amazon EMR Studio, un administrateur doit configurer les autorisations utilisateur afin que ce dernier puisse appeler l'API elasticmapreduce:GetClusterSessionCredentials sur le rôle d'exécution. Lancez ensuite un nouveau cluster doté d'un rôle d'exécution que vous pouvez utiliser avec votre Workspace Amazon EMR Studio.

Sur cette page

Configurer les autorisations utilisateur pour le rôle d'exécution
Lancer un nouveau cluster avec un rôle d'exécution
Utiliser le cluster EMR avec un rôle d'exécution dans Workspaces
Considérations

Configurer les autorisations utilisateur pour le rôle d'exécution

Configurez les autorisations utilisateur afin que l'utilisateur de Studio puisse appeler l'API elasticmapreduce:GetClusterSessionCredentials sur le rôle d'exécution qu'il souhaite utiliser. Vous devez également configurer Configurer les autorisations utilisateur d'EMR Studio pour Amazon ou EC2 Amazon EKS avant que l'utilisateur puisse commencer à utiliser Studio.

Avertissement

Pour accorder cette autorisation, créez une condition basée sur la clé de elasticmapreduce:ExecutionRoleArn contexte lorsque vous autorisez un appelant à appeler le GetClusterSessionCredentials APIs. Les exemples suivants vous montre comment procéder.


{
      "Sid": "AllowSpecificExecRoleArn",
      "Effect": "Allow",
      "Action": [
          "elasticmapreduce:GetClusterSessionCredentials"
      ],
      "Resource": "*",
      "Condition": {
          "StringEquals": {
              "elasticmapreduce:ExecutionRoleArn": [
                  "arn:aws:iam::111122223333:role/test-emr-demo1",
                  "arn:aws:iam::111122223333:role/test-emr-demo2"
              ]
          }
      }
  }

L'exemple suivant montre comment autoriser un principal IAM à utiliser un rôle IAM appelé test-emr-demo3 en tant que rôle d'exécution. En outre, le titulaire de la politique ne pourra accéder aux clusters Amazon EMR qu'avec l'ID du cluster j-123456789.


{
    "Sid":"AllowSpecificExecRoleArn",
    "Effect":"Allow",
    "Action":[
        "elasticmapreduce:GetClusterSessionCredentials"
    ],
    "Resource": [
          "arn:aws:elasticmapreduce:<region>:111122223333:cluster/j-123456789"
     ],
    "Condition":{
        "StringEquals":{
            "elasticmapreduce:ExecutionRoleArn":[
                "arn:aws:iam::111122223333:role/test-emr-demo3"
            ]
        }
    }
}

L'exemple suivant permet à un principal IAM d'utiliser n'importe quel rôle IAM dont le nom commence par la chaîne test-emr-demo4 comme rôle d'exécution. En outre, le titulaire de la politique ne pourra accéder qu'aux clusters Amazon EMR étiquetés avec la paire clé-valeur tagKey: tagValue.


{
    "Sid":"AllowSpecificExecRoleArn",
    "Effect":"Allow",
    "Action":[
        "elasticmapreduce:GetClusterSessionCredentials"
    ],
    "Resource": "*",
    "Condition":{
        "StringEquals":{
             "elasticmapreduce:ResourceTag/tagKey": "tagValue"
        },
        "StringLike":{
            "elasticmapreduce:ExecutionRoleArn":[
                "arn:aws:iam::111122223333:role/test-emr-demo4*"
            ]
        }
    }
}

Lancer un nouveau cluster avec un rôle d'exécution

Maintenant que vous disposez des autorisations requises, lancez un nouveau cluster avec un rôle d'exécution que vous pouvez utiliser avec votre Workspace Amazon EMR Studio.

Si vous avez déjà lancé un nouveau cluster doté d'un rôle d'exécution, vous pouvez passer à la section Utiliser le cluster EMR avec un rôle d'exécution dans Workspaces.

Tout d'abord, remplissez les conditions requises dans la section Rôles d'exécution pour les étapes Amazon EMR.
Lancez ensuite un cluster avec les paramètres suivants pour utiliser les rôles d'exécution avec Amazon EMR Studio Workspaces. Pour savoir comment mettre à jour votre cluster, consultez Spécifier une configuration de sécurité pour un cluster Amazon EMR.
- Pour la version emr-6.11.0 ou ultérieure.
- Sélectionnez Spark, Livy et Jupyter Enterprise Gateway comme applications de cluster.
- Utilisez la configuration de sécurité que vous avez créée à l'étape précédente.
- Vous pouvez éventuellement activer Lake Formation pour votre cluster EMR. Pour de plus amples informations, veuillez consulter Activation de Lake Formation avec Amazon EMR.

Après avoir lancé votre cluster, vous pouvez utiliser le cluster doté de rôles d'exécution avec un Workspace EMR Studio.

Note

La ExecutionRoleArnvaleur n'est actuellement pas prise en charge par l'opération d' StartNotebookExecutionAPI lorsqu'elle estEMR. ExecutionEngineConfig.Type

Utiliser le cluster EMR avec un rôle d'exécution dans Workspaces

Après avoir configuré et lancé votre cluster, vous pouvez utiliser le cluster doté de rôles d'exécution avec un Workspace EMR Studio.

Créer un nouvel Workspace ou lancer un Workspace existant. Pour de plus amples informations, veuillez consulter Créer un Workspace EMR Studio.
Choisissez l'onglet Clusters EMR dans la barre latérale gauche de votre espace de travail ouvert, développez la section Type de calcul et choisissez votre cluster dans le menu Cluster EMR, et le rôle d'exécution dans le EC2 menu Rôle d'exécution.
Choisissez Attacher pour rattacher le cluster doté du rôle d'exécution à votre Workspace.

Note

Lorsque vous choisissez un rôle d'exécution, notez qu'il peut être associé à des politiques gérées sous-jacentes. Dans la plupart des cas, nous recommandons de choisir des ressources limitées, telles que des ordinateurs portables spécifiques. Si vous choisissez un rôle d'exécution qui inclut l'accès à tous vos blocs-notes, par exemple, la politique gérée associée au rôle fournit un accès complet.

Considérations

Tenez compte des considérations suivantes lorsque vous utilisez un cluster doté de rôles d'exécution avec votre Workspace Amazon EMR Studio :

Vous ne pouvez sélectionner un rôle d'exécution que lorsque vous rattachez un Workspace EMR Studio à un cluster EMR qui utilise Amazon EMR version 6.11 ou ultérieure.
La fonctionnalité du rôle d'exécution décrite sur cette page n'est prise en charge qu'avec Amazon EMR exécuté sur Amazon EC2, et non avec les applications interactives EMR sans serveur. Pour en savoir plus sur les rôles d'exécution dans EMR sans serveur, consultez la rubrique Job runtime roles dans le Guide de l'utilisateur Amazon EMR sans serveur.
Bien que vous deviez configurer des autorisations supplémentaires avant de pouvoir spécifier un rôle d'exécution lorsque vous soumettez une tâche à un cluster, vous n'avez pas besoin d'autorisations supplémentaires pour accéder aux fichiers générés par un Workspace EMR Studio. Les autorisations pour ces fichiers sont les mêmes que celles des fichiers générés à partir de clusters sans rôles d'exécution.
Vous ne pouvez pas utiliser SQL Explorer dans un Workspace EMR Studio avec un cluster doté d'un rôle d'exécution. Amazon EMR désactive SQL Explorer dans l'interface utilisateur lorsqu'un Workspace est rattaché à un cluster EMR doté de rôles d'exécution.
Vous ne pouvez pas utiliser le mode Collaboration dans un Workspace EMR Studio avec un cluster doté d'un rôle d'exécution. Amazon EMR désactive les fonctionnalités de collaboration d'un Workspace lorsqu'un Workspace est rattaché à un cluster EMR doté de rôles d'exécution. Le Workspace restera accessible uniquement à l'utilisateur qui l'a rattaché.
Vous ne pouvez pas utiliser de rôles d’exécution dans un Studio où la propagation d’identité approuvée IAM Identity Center est activée.
Vous pourriez recevoir un message d'avertissement « La page n'est peut-être pas sûre ! » depuis l'interface utilisateur de Spark pour un cluster doté de rôles d'exécution qui utilise Amazon EMR version 7.4.0 ou antérieure. Dans ce cas, contournez l'alerte pour rester sur l'interface utilisateur de Spark.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Collaboration dans Workspace

Exécuter les blocs-notes Amazon EMR Studio Workspace Workspace par programmation