Adicionar permissões AWS Secrets Manager ao perfil de instância do Amazon EMR

O Amazon EMR usa um perfil de serviço do IAM para realizar ações a seu favor a fim de provisionar e gerenciar clusters. O perfil de serviço para instâncias do EC2 do cluster, também chamada de perfil de instância do EC2 para Amazon EMR, é um tipo especial de perfil de serviço que o Amazon EMR atribui ao iniciar cada instância do EC2 do cluster.

Para definir permissões para que um cluster do EMR interaja com dados do Amazon S3 e outros serviços da AWS, defina um perfil de instância personalizado do Amazon EC2 no lugar de EMR_EC2_DefaultRole ao executar o cluster. Para obter mais informações, consulte Perfil de serviço para instâncias do EC2 do cluster (perfil de instância do EC2) e Personalização de perfis do IAM com o Amazon EMR.

Adicione as seguintes instruções ao perfil de instância padrão do EC2 para permitir que o Amazon EMR marque sessões e acesse o AWS Secrets Manager que armazena certificados LDAP.

    {
      "Sid": "AllowAssumeOfRolesAndTagging",
      "Effect": "Allow",
      "Action": ["sts:TagSession", "sts:AssumeRole"],
      "Resource": [
        "arn:aws:iam::111122223333:role/LDAP_DATA_ACCESS_ROLE_NAME",
        "arn:aws:iam::111122223333:role/LDAP_USER_ACCESS_ROLE_NAME"
      ]
    },
    {
        "Sid": "AllowSecretsRetrieval",
        "Effect": "Allow",
        "Action": "secretsmanager:GetSecretValue",
        "Resource": [
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:LDAP_SECRET_NAME*",
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:ADMIN_LDAP_SECRET_NAME*"
        ]
    }