Amazon EMR에서 EC2 인스턴스 프로파일

Amazon EMR은 IAM 서비스 역할을 사용하여 클러스터 프로비저닝 및 관리하는 작업을 자동으로 수행합니다. 클러스터 EC2 인스턴스의 서비스 역할(Amazon EMR에 대한 EC2 인스턴스 프로파일이라고도 함)은 시작할 때 클러스터의 모든 EC2 인스턴스에 할당되는 특별한 유형의 서비스 역할입니다.

EMR 클러스터가 Amazon S3 데이터, 그리고 Apache Ranger 및 기타 AWS 서비스에서 보호하는 Hive 메타데이터와 상호 작용할 수 있는 권한을 정의하려면 클러스터를 시작할 때 EMR_EC2_DefaultRole 대신, 사용자 지정 Amazon EC2 인스턴스 프로파일을 정의합니다.

자세한 내용은 클러스터 EC2 인스턴스에 대한 서비스 역할(EC2 인스턴스 프로파일) 및 Amazon EMR을 사용하여 IAM 역할 사용자 지정(을)를 참조하세요.

Amazon EMR이 세션에 태그를 지정하고 TLS 인증서를 저장하는 AWS Secrets Manager에 액세스할 수 있도록 기본 EC2 인스턴스 프로파일에 다음 명령문을 추가해야 합니다.


    {
      "Sid": "AllowAssumeOfRolesAndTagging",
      "Effect": "Allow",
      "Action": ["sts:TagSession", "sts:AssumeRole"],
      "Resource": [
        "arn:aws:iam::<AWS_ACCOUNT_ID>:role/<RANGER_ENGINE-PLUGIN_DATA_ACCESS_ROLE_NAME>",
        "arn:aws:iam::<AWS_ACCOUNT_ID>:role/<RANGER_USER_ACCESS_ROLE_NAME>"
      ]
    },
    {
        "Sid": "AllowSecretsRetrieval",
        "Effect": "Allow",
        "Action": "secretsmanager:GetSecretValue",
        "Resource": [
            "arn:aws:secretsmanager:<REGION>:<AWS_ACCOUNT_ID>:secret:<PLUGIN_TLS_SECRET_NAME>*",
            "arn:aws:secretsmanager:<REGION>:<AWS_ACCOUNT_ID>:secret:<ADMIN_RANGER_SERVER_TLS_SECRET_NAME>*"
        ]
    }

참고

Secrets Manager 권한의 경우, 보안 암호 이름 끝에 있는 와일드카드('*')를 잊지 마십시오. 그렇지 않으면 요청이 실패합니다. 와일드카드는 보안 암호 버전을 나타냅니다.

참고

AWS Secrets Manager 정책 범위를 프로비저닝에 필요한 인증서로만 제한합니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

Apache Ranger와의 네이티브 통합을 위한 IAM 역할

Apache Ranger의 IAM 역할