As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Concessão de acesso ao Amazon EMR no EKS para os usuários
Para as ações executadas no Amazon EMR no EKS, uma permissão do IAM correspondente para essa ação é necessária. Você deve criar uma política do IAM que permita executar ações do Amazon EMR no EKS e anexá-la ao perfil ou ao usuário do IAM que você usa.
Este tópico fornece etapas para a criação de uma nova política e para o anexo dela a um usuário. Ele também abrange as permissões básicas necessárias para configurar o ambiente do Amazon EMR no EKS. Recomendamos redefinir as permissões para recursos específicos sempre que possível com base nas suas necessidades de negócios.
## Criação de uma nova política do IAM e anexo dela a um usuário no console do IAM
**Crie uma nova política do IAM**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação esquerdo do console do IAM, escolha **Políticas**.
1. Na página **Policies** (Políticas), escolha **Create Policy** (Criar política).
1. Na janela **Criar política**, navegue até a guia **Editar JSON**. Crie um documento de política com uma ou mais instruções JSON, conforme mostrado nos exemplos que seguem este procedimento. Em seguida, escolha **Analisar política**.
1. Na tela **Review Policy** (Revisar política), insira o **Policy Name** (Nome da política), por exemplo, `AmazonEMROnEKSPolicy`. Insira uma descrição opcional e, em seguida, escolha **Criar política**.
**Anexe a política a um usuário ou a um perfil**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. No painel de navegação, selecione **Políticas**.
1. Na lista de políticas, marque a caixa de seleção ao lado da política criada na seção anterior. Você pode usar o menu **Filtro** e a caixa de pesquisa para filtrar a lista de políticas.
1. Selecione **Ações da política** e escolha **Anexar**.
1. Escolha o usuário ou o perfil ao qual a política será anexada. Você pode usar o menu **Filter** (Filtro) e a caixa de pesquisa para filtrar a lista de entidades principais. Após escolher o usuário ou o perfil ao qual a política será anexada, selecione **Anexar política**.
## Permissões para o gerenciamento de clusters virtuais
Para gerenciar clusters virtuais em sua AWS conta, crie uma política do IAM com as seguintes permissões. Essas permissões permitem que você crie, liste, descreva e exclua clusters virtuais em sua AWS conta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"iam:AWSServiceName": "emr-containers.amazonaws.com"
}
},
"Sid": "AllowIAMCreateservicelinkedrole"
},
{
"Effect": "Allow",
"Action": [
"emr-containers:CreateVirtualCluster",
"emr-containers:ListVirtualClusters",
"emr-containers:DescribeVirtualCluster",
"emr-containers:DeleteVirtualCluster"
],
"Resource": [
"*"
],
"Sid": "AllowEMRCONTAINERSCreatevirtualcluster"
}
]
}
```
------
O Amazon EMR é integrado ao gerenciamento de acesso ao cluster (CAM) do Amazon EKS, para que você possa automatizar a configuração das políticas AuthN e AuthZ necessárias para executar trabalhos Spark do Amazon EMR em namespaces de clusters do Amazon EKS. Para fazer isso, você deve ter as seguintes permissões:
```
{
"Effect": "Allow",
"Action": [
"eks:CreateAccessEntry"
],
"Resource": "arn:{{}}:eks:{{}}:{{}}:cluster/{{}}"
},
{
"Effect": "Allow",
"Action": [
"eks:DescribeAccessEntry",
"eks:DeleteAccessEntry",
"eks:ListAssociatedAccessPolicies",
"eks:AssociateAccessPolicy",
"eks:DisassociateAccessPolicy"
],
"Resource": "arn:{{}}:eks:{{}}:{{}}:access-entry/{{}}/role/{{}}/AWSServiceRoleForAmazonEMRContainers/*"
}
```
Para obter mais informações, consulte [Automate enabling cluster access for Amazon EMR on EKS](https://docs.aws.amazon.com/emr/latest/EMR-on-EKS-DevelopmentGuide/setting-up-cluster-access.html#setting-up-cluster-access-cam-integration).
Quando a `CreateVirtualCluster` operação é invocada pela primeira vez a partir de uma AWS conta, você também precisa das `CreateServiceLinkedRole` permissões para criar a função vinculada ao serviço para o Amazon EMR no EKS. Para obter mais informações, consulte [Uso de perfis vinculados ao serviço para o Amazon EMR no EKS](using-service-linked-roles.md).
## Permissões para o envio de trabalhos
Para enviar trabalhos nos clusters virtuais da sua AWS conta, crie uma política do IAM com as seguintes permissões. Essas permissões permitem iniciar, listar, descrever e cancelar execuções de trabalhos para todos os clusters virtuais em sua conta. Você deve considerar adicionar permissões para listar ou descrever clusters virtuais, o que permite verificar o estado do cluster virtual antes de enviar trabalhos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"emr-containers:StartJobRun",
"emr-containers:ListJobRuns",
"emr-containers:DescribeJobRun",
"emr-containers:CancelJobRun"
],
"Resource": [
"*"
],
"Sid": "AllowEMRCONTAINERSStartjobrun"
}
]
}
```
------
## Permissões para a depuração e o monitoramento
Para obter acesso aos registros enviados para o Amazon S3 e CloudWatch, ou para visualizar os registros de eventos do aplicativo no console do Amazon EMR, crie uma política do IAM com as seguintes permissões. Recomendamos redefinir as permissões para recursos específicos sempre que possível com base nas suas necessidades de negócios.
**Importante**
Se você não criou um bucket do Amazon S3, será necessário adicionar a permissão `s3:CreateBucket` à instrução de política. Se você não criou um grupo de logs, será necessário adicionar `logs:CreateLogGroup` à instrução de política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"emr-containers:DescribeJobRun",
"elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:GetPersistentAppUIPresignedURL"
],
"Resource": [
"*"
],
"Sid": "AllowEMRCONTAINERSDescribejobrun"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"*"
],
"Sid": "AllowS3Getobject"
},
{
"Effect": "Allow",
"Action": [
"logs:Get*",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": [
"*"
],
"Sid": "AllowLOGSGet"
}
]
}
```
------
Para obter mais informações sobre como configurar uma execução de trabalho para enviar registros para o Amazon S3 CloudWatch, consulte [Configurar uma execução de trabalho para usar registros do S3 e [Configurar uma execução de trabalho para](https://docs.aws.amazon.com/emr/latest/EMR-on-EKS-DevelopmentGuide/emr-eks-jobs-CLI.html#emr-eks-jobs-cloudwatch) usar registros](https://docs.aws.amazon.com/emr/latest/EMR-on-EKS-DevelopmentGuide/emr-eks-jobs-CLI.html#emr-eks-jobs-s3). CloudWatch