Concessão de acesso ao Amazon EMR no EKS para os usuários - Amazon EMR
Criação de uma nova política do IAM e anexo dela a um usuário no console do IAMPermissões para o gerenciamento de clusters virtuaisPermissões para o envio de trabalhosPermissões para a depuração e o monitoramento

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Concessão de acesso ao Amazon EMR no EKS para os usuários

Para as ações executadas no Amazon EMR no EKS, uma permissão do IAM correspondente para essa ação é necessária. Você deve criar uma política do IAM que permita executar ações do Amazon EMR no EKS e anexá-la ao perfil ou ao usuário do IAM que você usa.

Este tópico fornece etapas para a criação de uma nova política e para o anexo dela a um usuário. Ele também abrange as permissões básicas necessárias para configurar o ambiente do Amazon EMR no EKS. Recomendamos redefinir as permissões para recursos específicos sempre que possível com base nas suas necessidades de negócios.

Criação de uma nova política do IAM e anexo dela a um usuário no console do IAM

Crie uma nova política do IAM

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação esquerdo do console do IAM, escolha Políticas.

  3. Na página Policies (Políticas), escolha Create Policy (Criar política).

  4. Na janela Criar política, navegue até a guia Editar JSON. Crie um documento de política com uma ou mais instruções JSON, conforme mostrado nos exemplos que seguem este procedimento. Em seguida, escolha Analisar política.

  5. Na tela Review Policy (Revisar política), insira o Policy Name (Nome da política), por exemplo, AmazonEMROnEKSPolicy. Insira uma descrição opcional e, em seguida, escolha Criar política.

Anexe a política a um usuário ou a um perfil

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/

  2. No painel de navegação, selecione Políticas.

  3. Na lista de políticas, marque a caixa de seleção ao lado da política criada na seção anterior. Você pode usar o menu Filtro e a caixa de pesquisa para filtrar a lista de políticas.

  4. Selecione Ações da política e escolha Anexar.

  5. Escolha o usuário ou o perfil ao qual a política será anexada. Você pode usar o menu Filter (Filtro) e a caixa de pesquisa para filtrar a lista de entidades principais. Após escolher o usuário ou o perfil ao qual a política será anexada, selecione Anexar política.

Permissões para o gerenciamento de clusters virtuais

Para gerenciar clusters virtuais em sua AWS conta, crie uma política do IAM com as seguintes permissões. Essas permissões permitem que você crie, liste, descreva e exclua clusters virtuais em sua AWS conta.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "emr-containers.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "emr-containers:CreateVirtualCluster",
                "emr-containers:ListVirtualClusters",
                "emr-containers:DescribeVirtualCluster",
                "emr-containers:DeleteVirtualCluster"
            ],
            "Resource": "*"
        }
    ]
}

O Amazon EMR é integrado ao gerenciamento de acesso ao cluster (CAM) do Amazon EKS, para que você possa automatizar a configuração das políticas AuthN e AuthZ necessárias para executar trabalhos Spark do Amazon EMR em namespaces de clusters do Amazon EKS. Para fazer isso, você deve ter as seguintes permissões:

{
  "Effect": "Allow",
  "Action": [
    "eks:CreateAccessEntry"
  ],
  "Resource": "arn:<AWS_PARTITION>:eks:<AWS_REGION>:<AWS_ACCOUNT_ID>:cluster/<EKS_CLUSTER_NAME>"
}, 
{
  "Effect": "Allow",
  "Action": [
    "eks:DescribeAccessEntry",
    "eks:DeleteAccessEntry",
    "eks:ListAssociatedAccessPolicies",
    "eks:AssociateAccessPolicy",
    "eks:DisassociateAccessPolicy"
  ],
  "Resource": "arn:<AWS_PARTITION>:eks:<AWS_REGION>:<AWS_ACCOUNT_ID>:access-entry/<EKS_CLUSTER_NAME>/role/<AWS_ACCOUNT_ID>/AWSServiceRoleForAmazonEMRContainers/*"
}

Para obter mais informações, consulte Automate enabling cluster access for Amazon EMR on EKS.

Quando a CreateVirtualCluster operação é invocada pela primeira vez a partir de uma AWS conta, você também precisa das CreateServiceLinkedRole permissões para criar a função vinculada ao serviço para o Amazon EMR no EKS. Para obter mais informações, consulte Uso de perfis vinculados ao serviço para o Amazon EMR no EKS.

Permissões para o envio de trabalhos

Para enviar trabalhos nos clusters virtuais da sua AWS conta, crie uma política do IAM com as seguintes permissões. Essas permissões permitem iniciar, listar, descrever e cancelar execuções de trabalhos para todos os clusters virtuais em sua conta. Você deve considerar adicionar permissões para listar ou descrever clusters virtuais, o que permite verificar o estado do cluster virtual antes de enviar trabalhos.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "emr-containers:StartJobRun",
                "emr-containers:ListJobRuns",
                "emr-containers:DescribeJobRun",
                "emr-containers:CancelJobRun"
            ],
            "Resource": "*"
        }
    ]
}

Permissões para a depuração e o monitoramento

Para obter acesso aos registros enviados para o Amazon S3 e CloudWatch, ou para visualizar os registros de eventos do aplicativo no console do Amazon EMR, crie uma política do IAM com as seguintes permissões. Recomendamos redefinir as permissões para recursos específicos sempre que possível com base nas suas necessidades de negócios.

Importante

Se você não criou um bucket do Amazon S3, será necessário adicionar a permissão s3:CreateBucket à instrução de política. Se você não criou um grupo de logs, será necessário adicionar logs:CreateLogGroup à instrução de política.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "emr-containers:DescribeJobRun",
                "elasticmapreduce:CreatePersistentAppUI",
                "elasticmapreduce:DescribePersistentAppUI",
                "elasticmapreduce:GetPersistentAppUIPresignedURL"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:Get*",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams"
            ],
            "Resource": "*"
        }
    ]
}

Para obter mais informações sobre como configurar uma execução de trabalho para enviar registros para o Amazon S3 CloudWatch, consulte Configurar uma execução de trabalho para usar registros do S3 e Configurar uma execução de trabalho para usar registros. CloudWatch