翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # Amazon EMR インスタンスロールにアクセス AWS Secrets Manager 許可を追加する Amazon EMR は IAM サービスロールを使用して、ユーザーの代わりにクラスターのプロビジョニングと管理を行うためのアクションを実行します。クラスター EC2 インスタンスのサービスロール (*Amazon EMR の EC2 インスタンスプロファイル*とも呼ばれます) は、Amazon EMR が起動時にクラスター内のすべての EC2 インスタンスに割り当てる特殊なタイプのサービスロールです。 EMR クラスターが Amazon S3 データやその他の AWS のサービスと対話するためのアクセス許可を定義するには、クラスターの起動時に、`EMR_EC2_DefaultRole` ではなくカスタム Amazon EC2 インスタンスプロファイルを定義します。詳細については、「[クラスター EC2 インスタンスのサービスロール (EC2 インスタンスプロファイル)](emr-iam-role-for-ec2.md)」および「[Amazon EMR で IAM ロールをカスタマイズする](emr-iam-roles-custom.md)」を参照してください。 次のステートメントをデフォルトの EC2 インスタンスプロファイルに追加して、Amazon EMR がセッションにタグを付け、LDAP 証明書 AWS Secrets Manager を保存する にアクセスできるようにします。 ``` { "Sid": "AllowAssumeOfRolesAndTagging", "Effect": "Allow", "Action": ["sts:TagSession", "sts:AssumeRole"], "Resource": [ "arn:aws:iam::111122223333:role/LDAP_DATA_ACCESS_ROLE_NAME", "arn:aws:iam::111122223333:role/LDAP_USER_ACCESS_ROLE_NAME" ] }, { "Sid": "AllowSecretsRetrieval", "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": [ "arn:aws:secretsmanager:us-east-1:111122223333:secret:LDAP_SECRET_NAME*", "arn:aws:secretsmanager:us-east-1:111122223333:secret:ADMIN_LDAP_SECRET_NAME*" ] } ``` **注記** Secrets Manager のアクセス許可を設定するときに、シークレット名の末尾にワイルドカード文字 `*` を付け忘れると、クラスターリクエストは失敗します。ワイルドカードは、シークレットバージョンを表します。 ポリシーの範囲は AWS Secrets Manager 、クラスターがインスタンスをプロビジョニングするために必要な証明書のみに制限する必要があります。