Política de usuários avançados Política de engenheiro de dados Uso de tags para controle de acesso com

Exemplos de políticas de acesso de usuários do EMR Sem Servidor

Você pode configurar políticas refinadas para seus usuários, dependendo das ações que cada um deve executar ao interagir com aplicações do EMR Sem Servidor. As políticas a seguir são exemplos que podem ajudar na configuração das permissões apropridadas para os usuários. Esta seção se concentra somente nas políticas do EMR Sem Servidor. Para obter exemplos de políticas de usuário do EMR Studio, consulte Configurar permissões de usuário do EMR Studio. Para obter informações sobre como anexar políticas aos usuários do IAM (entidades principais), consulte Gerenciar políticas do IAM no Guia do usuário do IAM.

Política de usuários avançados

Para conceder todas as ações necessárias ao EMR Sem Servidor, crie e anexe uma política AmazonEMRServerlessFullAccess ao usuário, perfil ou grupo do IAM necessário.

Confira a seguir um exemplo de política que permite que usuários avançados criem e modifiquem aplicações do EMR Sem Servidor, além de realizar outras ações, como enviar e depurar trabalhos. Ele revela todas as ações que o EMR Sem Servidor requer para outros serviços.

Ao habilitar a conectividade de rede com a VPC, as aplicações do EMR Sem Servidor criam interfaces de rede elástica (ENIs) do Amazon EC2 para se comunicar com os recursos da VPC. A política a seguir garante que todas as novas ENIs do EC2 sejam criadas somente no contexto das aplicações do EMR Sem Servidor.

nota

É altamente recomendável definir essa política para garantir que os usuários não possam criar ENIs do EC2, exceto no contexto da inicialização de aplicações do EMR Sem Servidor.

Se quiser restringir o acesso do EMR Sem Servidor a determinadas sub-redes, você pode marcar cada sub-rede com uma condição de tag. Essa política do IAM garante que as aplicações do EMR Sem Servidor só possam criar ENIs do EC2 em sub-redes permitidas.


{
    "Sid": "AllowEC2ENICreationInSubnetAndSecurityGroupWithEMRTags",
    "Effect": "Allow",
    "Action": [
        "ec2:CreateNetworkInterface"
    ],
    "Resource": [
        "arn:aws:ec2:*:*:subnet/*",
        "arn:aws:ec2:*:*:security-group/*"
    ],
    "Condition": {
        "StringEquals": {
            "aws:ResourceTag/KEY": "VALUE"
        }
    }
}

Importante

Se você for um administrador ou usuário avançado criando sua primeira aplicação, deverá configurar suas políticas de permissão para permitir a criação de um perfil vinculado a serviços do EMR Sem Servidor. Consulte para saber mais Uso de perfis vinculados ao serviço para o EMR Sem Servidor.

A política do IAM a seguir permite criar um perfil vinculado ao serviço do EMR Sem Servidor para a sua conta.


{
   "Sid":"AllowEMRServerlessServiceLinkedRoleCreation",
   "Effect":"Allow",
   "Action":"iam:CreateServiceLinkedRole",
   "Resource":"arn:aws:iam::account-id:role/aws-service-role/ops.emr-serverless.amazonaws.com/AWSServiceRoleForAmazonEMRServerless"
}

Política de engenheiro de dados

O exemplo a seguir é de uma política que permite aos usuários permissões somente leitura em aplicações do EMR Sem Servidor, bem como a capacidade de enviar e depurar trabalhos. Lembre-se de que, como essa política não nega explicitamente as ações, uma declaração de política diferente ainda pode ser usada para conceder acesso a ações específicas.

Uso de tags para controle de acesso com

Você pode usar condições de tag para controle de acesso refinado. Por exemplo, você pode restringir usuários de uma equipe para que eles só possam enviar trabalhos a aplicações do EMR Sem Servidor marcados com o nome da equipe deles.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Perfis de runtime do trabalho para o Amazon EMR Sem Servidor

Políticas para controle de acesso baseado em etiquetas