クリーンアップ用の Amazon EMR でのサービスにリンクされたロールの使用 - Amazon EMR
クリーンアップ向けのサービスにリンクされたロールの使用Amazon EMR のサービスリンクロールの作成Amazon EMR のサービスリンクロールの編集Amazon EMR のサービスリンクロールの削除AWSServiceRoleForEMRCleanup がサポートされているリージョン

クリーンアップ用の Amazon EMR でのサービスにリンクされたロールの使用

Amazon EMR は、AWS Identity and Access Management (IAM) のサービスにリンクされたロールを使用しています。サービスにリンクされたロールは、Amazon EMR に直接リンクされた特殊な IAM ロールです。サービスにリンクされたロールは、Amazon EMR で事前定義されています。このロールには、サービスがユーザーに代わって他の AWS のサービスを呼び出すために必要な、すべてのアクセス許可が付与されています。

サービスにリンクされたロールは、Amazon EMR サービスロールおよび Amazon EMR の Amazon EC2 インスタンスプロファイルと連動します。サービスロールとインスタンスプロファイルに関する詳細については、「AWS のサービスおよびリソースへのアクセス許可を Amazon EMR に付与する IAM サービスロールの設定」を参照してください。

サービスにリンクされたロールを使用すると、必要な許可を手動で追加する必要がないため、Amazon EMR のセットアップが簡単になります。サービスリンクロールの許可は Amazon EMR が定義し、特に定義されない限り、Amazon EMR のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

Amazon EMR のサービスにリンクされたロールは、関連するリソースを削除し、アカウント内のすべての EMR クラスターを終了した後にのみ削除できます。これにより、リソースへのアクセス許可を誤って削除することが防止され、Amazon EMR リソースが保護されます。

クリーンアップ向けのサービスにリンクされたロールの使用

Amazon EMR はサービスベースの AWSServiceRoleForEMRCleanup ロールを使用して、Amazon EMR サービスリンクロールがその機能を失った場合に、Amazon EMR が代わりに Amazon EC2 リソースを終了および削除できるようにします。Amazon EMR は、クラスターの作成時にこのサービスリンクロールが存在しない場合は自動的に作成します。

AWSServiceRoleForEMRCleanup サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。

  • elasticmapreduce.amazonaws.com

AWSServiceRoleForEMRCleanup サービスリンクロールのアクセス許可ポリシーでは、Amazon EMR は、指定されたリソースで次のアクションを完了することができます。

  • アクション: ec2 での DescribeInstances

  • アクション: DescribeLaunchTemplates 上でec2

  • アクション: DeleteLaunchTemplate 上でec2

  • アクション: DescribeSpotInstanceRequests 上でec2

  • アクション: ModifyInstanceAttribute 上でec2

  • アクション: TerminateInstances 上でec2

  • アクション: CancelSpotInstanceRequests 上でec2

  • アクション: DeleteNetworkInterface 上でec2

  • アクション: DescribeInstanceAttribute 上でec2

  • アクション: DescribeVolumeStatus 上でec2

  • アクション: DescribeVolumes 上でec2

  • アクション: DetachVolume 上でec2

  • アクション: DeleteVolume 上でec2

  • アクション: DescribePlacementGroups 上でec2

  • アクション: DeletePlacementGroup 上でec2

サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、権限を設定する必要があります。

Amazon EMR のサービスリンクロールの作成

AWSServiceRoleForEMRCleanup ロールを手動で作成する必要はありません。クラスターを起動するときに、それが初回の起動であるか、AWSServiceRoleForEMRCleanup サービスリンクロールが存在しない場合、この AWSServiceRoleForEMRCleanup サービスリンクロールが Amazon EMR によって自動的に作成されます。サービスにリンクされたロールを作成するためのアクセス許可が必要です。この機能を (ユーザー、グループ、ロールなどの) IAM エンティティのアクセス許可ポリシーに追加するステートメントの例:

サービスリンクロールを作成する必要のある IAM エンティティのアクセス権限ポリシーに、次のステートメントを追加します。

{
             "Sid": "ElasticMapReduceServiceLinkedRole",
             "Effect": "Allow",
             "Action": "iam:CreateServiceLinkedRole",
             "Resource": "arn:aws:iam::*:role/aws-service-role/elasticmapreduce.amazonaws.com*/AWSServiceRoleForEMRCleanup*",
             "Condition": {
                 "StringEquals": {
                     "iam:AWSServiceName": [
                         "elasticmapreduce.amazonaws.com",
                         "elasticmapreduce.amazonaws.com.rproxy.govskope.ca.cn"
                     ]
                 }
             }
 }
重要

サービスリンクロールがサポートされていなかった 2017 年 10 月 24 日より前に Amazon EMR を使用していた場合、Amazon EMR により、アカウントに AWSServiceRoleForEMRCleanup サービスリンクロールが作成されています。詳細については、「IAM アカウントに新しいロールが表示される」を参照してください。

Amazon EMR のサービスリンクロールの編集

Amazon EMR は、AWSServiceRoleForEMRCleanup サービスリンクロールの編集を許可しません。サービスリンクロールを作成すると、多くのエンティティによってサービスリンクロールが参照される可能性があるため、サービスリンクロール名を変更することはできません。ただし、IAM を使用したサービスリンクロール記述の編集はできます。

サービスにリンクされたロールの説明の編集 (IAM コンソール)

サービスにリンクされたロールの説明は、IAM コンソールを使用して編集できます。

サービスにリンクされたロールの説明を編集するには (コンソール)

  1. IAM コンソールのナビゲーションペインで [ロール] を選択します。

  2. 変更するロールの名前を選択します。

  3. [Role description] (ロールの説明) の右にある [Edit] (編集) を選択します。

  4. ボックスに新しい説明を入力し、[Save changes] (変更の保存) を選択します。

サービスにリンクされたロールの説明の編集 (IAM CLI)

AWS Command Line Interface から IAM コマンドを使用して、サービスにリンクされたロールの説明を編集できます。

サービスにリンクされたロールの説明を変更するには (CLI)

  1. (オプション) ロールの現在の説明を表示するには、次のコマンドを使用します。

    $ aws iam get-role --role-name role-name

    CLI コマンドでは、ARN ではなくロール名を使用してロールを参照します。例えば、ロールの ARN が arn:aws:iam::123456789012:role/myrole である場合、そのロールを myrole と参照します。

  2. サービスにリンクされたロールの説明を更新するには、次のいずれかのコマンドを使用します。

    $ aws iam update-role-description --role-name role-name --description description

サービスにリンクされたロールの説明の編集 (IAM API)

サービスにリンクされたロールの説明は、IAM API を使用して編集できます。

サービスにリンクされたロールの説明を変更するには (API)

  1. (オプション) ロールの現在の説明を表示するには、次のコマンドを使用します。

    IAM API: GetRole

  2. ロールの説明を更新するには、次のコマンドを使用します。

    IAM API: UpdateRoleDescription

Amazon EMR のサービスリンクロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのサービスリンクロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、削除する前に、サービスにリンクされたロールをクリーンアップする必要があります。

サービスにリンクされたロールのクリーンアップ

IAM を使用してサービスリンクロールを削除するには、まずそのサービスリンクロールにアクティブなセッションがないことを確認し、そのサービスリンクロールで使用されているリソースをすべて削除する必要があります。

サービスにリンクされたロールにアクティブなセッションがあるかどうかを、IAM コンソールで確認するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで Roles (ロール) を選択してください。AWSServiceRoleForEMRCleanup サービスリンクロールの名前 (チェックボックスではない) を選択します。

  3. 選択したサービスリンクロールの [概要] ページで [アクセスアドバイザー] を選択します。

  4. [アクセスアドバイザー] タブで、サービスにリンクされたロールの最新のアクティビティを確認します。

    注記

    Amazon EMR が AWSServiceRoleForEMRCleanup サービスリンクロールを使用しているかどうか不明な場合は、サービスリンクロールを削除してみてください。サービスでサービスリンクロールが使用されている場合、削除は失敗し、サービスリンクロールが使用されているリージョンが表示されます。サービスリンクロールが使用されている場合は、サービスリンクロールを削除する前にセッションが終了するのを待つ必要があります。サービスにリンクされたロールのセッションを取り消すことはできません。

AWSServiceRoleForEMRCleanup が使用している Amazon EMR リソースを削除するには

サービスにリンクされたロールの削除 (IAM コンソール)

IAM コンソールを使用して、サービスにリンクされたロールを削除できます。

サービスにリンクされたロールを削除するには (コンソール)

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで Roles (ロール) を選択してください。AWSServiceRoleForEMRCleanup の横のチェックボックス (名前や行自体ではなく) を選択します。

  3. ページ上部にある [ロールのアクション] で [ロールの削除] を選択します。

  4. 確認ダイアログボックスで、サービスの最終アクセス時間データを確認します。これは、選択したそれぞれのロールの AWS サービスへの最終アクセス時間を示します。これは、そのロールが現在アクティブであるかどうかを確認するのに役立ちます。続行するには、[はい、削除します] を選択します。

  5. IAM コンソール通知を見て、サービスにリンクされたロールの削除の進行状況を監視します。IAM サービスリンクロールの削除は非同期であるため、削除するサービスリンクロールを送信すると、削除タスクは成功または失敗する可能性があります。タスクが失敗した場合は、通知から View details] (詳細を表示) または View Resources] (リソースを表示) を選択して、削除が失敗した理由を知ることができます。そのロールで使用中のリソースがサービスにあるために削除に失敗した場合、この失敗の理由にはリソースのリストも含まれます。

サービスにリンクされたロールの削除 (IAM CLI)

AWS Command Line Interface から IAM コマンドを使用して、サービスにリンクされたロールを削除できます。サービスにリンクされているロールは、使用されている、または関連するリソースがある場合は削除できないため、削除リクエストを送信する必要があります。これらの条件が満たされないとき、そのリクエストは拒否される場合があります。

サービスにリンクされたロールを削除するには (CLI)

  1. 削除タスクのステータスを確認するには、レスポンスから deletion-task-id を取得する必要があります。サービスにリンクされたロールの削除リクエストを送信するには、次のコマンドを入力します。

    $ aws iam delete-service-linked-role --role-name AWSServiceRoleForEMRCleanup

  2. 削除タスクのステータスを確認するには、次のコマンドを入力します。

    $ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id

    削除タスクのステータスは、 NOT_STARTEDIN_PROGRESS, SUCCEEDED、または FAILED となります。 削除が失敗した場合は、失敗した理由がコールによって返され、トラブルシューティングが可能になります。

サービスにリンクされたロールの削除 (IAM API)

IAM API を使用して、サービスにリンクされたロールを削除できます。サービスにリンクされているロールは、使用されている、または関連するリソースがある場合は削除できないため、削除リクエストを送信する必要があります。これらの条件が満たされないとき、そのリクエストは拒否される場合があります。

サービスにリンクされたロールを削除するには (API)

  1. サービスにリンクされたロールの削除リクエストを送信するには、DeleteServiceLinkedRole を呼び出します。リクエストで、AWSServiceRoleForEMRCleanup ロール名を指定します。

    削除タスクのステータスを確認するには、レスポンスから DeletionTaskId を取得する必要があります。

  2. 削除タスクのステータスを確認するには、GetServiceLinkedRoleDeletionStatus を呼び出します。リクエストで DeletionTaskId を指定します。

    削除タスクのステータスは、 NOT_STARTEDIN_PROGRESS, SUCCEEDED、または FAILED となります。 削除が失敗した場合は、失敗した理由がコールによって返され、トラブルシューティングが可能になります。

AWSServiceRoleForEMRCleanup がサポートされているリージョン

Amazon EMR は、次のリージョンで AWSServiceRoleForEMRCleanup サービスリンクロールの使用をサポートしています。

リージョン名 リージョン識別子 Amazon EMR でのサポート
米国東部 (バージニア北部) us-east-1 はい
米国東部 (オハイオ) us-east-2 はい
米国西部 (北カリフォルニア) us-west-1 はい
米国西部 (オレゴン) us-west-2 はい
アジアパシフィック (ムンバイ) ap-south-1 はい
アジアパシフィック (大阪) ap-northeast-3 はい
アジアパシフィック (ソウル) ap-northeast-2 はい
アジアパシフィック (シンガポール) ap-southeast-1 はい
アジアパシフィック (シドニー) ap-southeast-2 はい
アジアパシフィック (東京) ap-northeast-1 はい
カナダ (中部) ca-central-1 はい
欧州 (フランクフルト) eu-central-1 はい
欧州 (アイルランド) eu-west-1 はい
欧州 (ロンドン) eu-west-2 はい
欧州 (パリ) eu-west-3 はい
南米 (サンパウロ) sa-east-1 はい