Uso de perfis vinculados ao serviço para o Amazon EMR no EKS - Amazon EMR
Permissões de perfis vinculados ao serviço para o Amazon EMR no EKSCriação de um perfil vinculado ao serviço para o Amazon EMR no EKSEdição de um perfil vinculado ao serviço para o Amazon EMR no EKSExclusão de um perfil vinculado ao serviço do Amazon EMR no EKSRegiões com suporte para perfis vinculados ao serviço do Amazon EMR no EKS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Uso de perfis vinculados ao serviço para o Amazon EMR no EKS

O Amazon EMR no EKS usa funções vinculadas a serviços AWS Identity and Access Management (IAM). Um perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao Amazon EMR no EKS. As funções vinculadas ao serviço são predefinidas pelo Amazon EMR no EKS e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Um perfil vinculado ao serviço facilita a configuração do Amazon EMR no EKS porque você não precisa adicionar manualmente as permissões necessárias. O Amazon EMR no EKS define as permissões dos perfis vinculados ao serviço e, a menos que definido de outra forma, somente o Amazon EMR no EKS pode assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege os recursos do Amazon EMR no EKS, pois você não pode remover inadvertidamente a permissão de acesso aos recursos.

Para obter informações sobre outros serviços suportados por perfis vinculados a serviços, consulte Serviços da AWS Suportados pelo IAM e procure os serviços que apresentarem Sim na coluna Função Vinculada a Serviço.. Escolha um Sim com um link para visualizar a documentação do perfil vinculado para esse serviço.

Permissões de perfis vinculados ao serviço para o Amazon EMR no EKS

O Amazon EMR no EKS usa a função vinculada ao serviço chamada. AWSServiceRoleForAmazonEMRContainers

O perfil vinculado ao serviço AWSServiceRoleForAmazonEMRContainers confia nos seguintes serviços para aceitar o perfil:

  • emr-containers.amazonaws.com

A política de permissões de perfil AmazonEMRContainersServiceRolePolicy permite que o Amazon EMR no EKS conclua um conjunto de ações nos recursos especificados, como demonstra a instrução de política apresentada a seguir.

nota

O conteúdo da política gerenciada muda, então a política mostrada aqui pode ser out-of-date. Veja a maior parte da documentação sobre up-to-date políticas na Amazon EMRContainers ServiceRolePolicy no Guia de referência de políticas AWS gerenciadas.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "eks:DescribeCluster",
                "eks:ListNodeGroups",
                "eks:DescribeNodeGroup",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "elasticloadbalancing:DescribeInstanceHealth",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeTargetGroups",
                "elasticloadbalancing:DescribeTargetHealth",
                "eks:ListPodIdentityAssociations",
                "eks:DescribePodIdentityAssociation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "acm:ImportCertificate",
                "acm:AddTagsToCertificate"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/emr-container:endpoint:managed-certificate": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "acm:DeleteCertificate"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/emr-container:endpoint:managed-certificate": "true"
                }
            }
        }
    ]
}

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.

Criação de um perfil vinculado ao serviço para o Amazon EMR no EKS

Não é necessário criar manualmente um perfil vinculado ao serviço. Ao criar um cluster virtual, o Amazon EMR no EKS cria o perfil vinculado ao serviço para você.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Ao criar um cluster virtual, o Amazon EMR no EKS cria o perfil vinculado ao serviço para você novamente.

Você também pode usar o console do IAM para criar um perfil vinculado ao serviço com o caso de uso do Amazon EMR no EKS. Na AWS CLI ou na AWS API, crie uma função vinculada ao serviço com o nome do emr-containers.amazonaws.com serviço. Para obter mais informações, consulte Criar uma função vinculada ao serviço no Guia do usuário do IAM. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

Edição de um perfil vinculado ao serviço para o Amazon EMR no EKS

O Amazon EMR no EKS não permite editar o perfil vinculado ao serviço AWSServiceRoleForAmazonEMRContainers. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Exclusão de um perfil vinculado ao serviço do Amazon EMR no EKS

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.

nota

Se o serviço Amazon EMR no EKS estiver usando o perfil quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Excluir recursos do Amazon EMR no EKS usados ​​pelos AWSServiceRoleForAmazonEMRContainers

  1. Abra o console do Amazon EMR.

  2. Escolha um cluster virtual.

  3. Na página Virtual Cluster, escolha Excluir.

  4. Repita este procedimento para quaisquer outros clusters virtuais em sua conta.

Como excluir manualmente o perfil vinculado ao serviço usando o IAM

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForAmazonEMRContainers vinculada ao serviço. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões com suporte para perfis vinculados ao serviço do Amazon EMR no EKS

O Amazon EMR no EKS oferece suporte ao uso de perfis vinculados ao serviço em todas as regiões nas quais o serviço está disponível. Para obter mais informações, consulte Cotas e endpoints de serviço do Amazon EMR no EKS.