本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 EMR Serverless 的服務連結角色
Amazon EMR Serverless 使用 AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 EMR Serverless 的唯一 IAM 角色類型。服務連結角色由 EMR Serverless 預先定義,並包含服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更輕鬆地設定 EMR Serverless,因為您不必手動新增必要的許可。EMR Serverless 定義其服務連結角色的許可,除非另有定義,否則只有 EMR Serverless 可以擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除服務連結角色的相關資源,才能將其刪除。這可保護您的 EMR Serverless 資源,因為您不會不小心移除存取資源的許可。
如需有關支援服務連結角色的其他 服務的資訊,請參閱[AWS 使用 IAM 的服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並在**服務連結角色**欄中檢查是否有**是**的服務。選擇有連結的**是**,以存取該服務的服務連結角色文件。
## EMR Serverless 的服務連結角色許可
EMR Serverless 使用名為 **AWSServiceRoleForAmazonEMRServerless** 的服務連結角色,讓它代表您呼叫 AWS APIs。
AWSServiceRoleForAmazonEMRServerless 服務連結角色信任下列服務擔任該角色:
+ `ops.emr-serverless.amazonaws.com`
名為 的角色許可政策`AmazonEMRServerlessServiceRolePolicy`允許 EMR Serverless 對指定的資源完成下列動作。
**注意**
受管政策內容會變更,因此此處顯示的政策可能已過期。在 中檢視up-to-date政策 [AmazonEMRServerlessServiceRolePolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRServerlessServiceRolePolicy) AWS 管理主控台。
+ 動作:`ec2:CreateNetworkInterface`
+ 動作:`ec2:DeleteNetworkInterface`
+ 動作:`ec2:DescribeNetworkInterfaces`
+ 動作:`ec2:DescribeSecurityGroups`
+ 動作:`ec2:DescribeSubnets`
+ 動作:`ec2:DescribeVpcs`
+ 動作:`ec2:DescribeDhcpOptions`
+ 動作:`ec2:DescribeRouteTables`
+ 動作:`cloudwatch:PutMetricData`
以下是完整的`AmazonEMRServerlessServiceRolePolicy`政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EC2PolicyStatement",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeRouteTables"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudWatchPolicyStatement",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": [
"AWS/EMRServerless",
"AWS/Usage"
]
}
}
}
]
}
```
------
下列信任政策會連接到此角色,以允許 EMR Serverless 委託人擔任此角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/emr-serverless.amazonaws.com/AWSServiceRoleForEMRServerless",
"Sid": "AllowSTSAssumerole"
}
]
}
```
------
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 為 EMR Serverless 建立服務連結角色
您不需要手動建立服務連結角色,當您在 AWS 管理主控台 (使用 EMR Studio) AWS CLI、 或 API 中建立新的 EMR Serverless 應用程式時 AWS ,EMR Serverless 會為您建立服務連結角色。您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。
**使用 IAM 建立 AWSServiceRoleForAmazonEMRServerless 服務連結角色**
將下列陳述式新增至需要建立服務連結角色之 IAM 實體的許可政策。
```
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/ops.emr-serverless.amazonaws.com/AWSServiceRoleForAmazonEMRServerless*",
"Condition": {"StringLike": {"iam:AWSServiceName": "ops.emr-serverless.amazonaws.com"}}
}
```
如果您刪除此服務連結角色,然後需要再次建立,請使用相同的程序在帳戶中重新建立角色。當您建立新的 EMR Serverless 應用程式時,EMR Serverless 會再次為您建立服務連結角色。
您也可以使用 IAM 主控台建立具有 **EMR Serverless** 使用案例的服務連結角色。在 AWS CLI 或 AWS API 中,使用服務名稱建立`ops.emr-serverless.amazonaws.com`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。如果您刪除此服務連結角色,請使用相同的程序再次建立角色。
## 編輯 EMR Serverless 的服務連結角色
EMR Serverless 不允許您編輯 AWSServiceRoleForAmazonEMRServerless 服務連結角色,因為各種實體可能會參考該角色。您無法編輯 EMR Serverless 服務連結角色使用的擁有 AWS IAM 政策,因為它包含 EMR Serverless 所需的所有必要許可。然而,您可使用 IAM 來編輯角色描述。
**使用 IAM 編輯 AWSServiceRoleForAmazonEMRServerless 服務連結角色的描述 **
將下列陳述式新增至 IAM 實體編輯服務連結角色描述所需的許可政策:
```
{
"Effect": "Allow",
"Action": [
"iam: UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/ops.emr-serverless.amazonaws.com/AWSServiceRoleForAmazonEMRServerless*",
"Condition": {"StringLike": {"iam:AWSServiceName": "ops.emr-serverless.amazonaws.com"}}
}
```
如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 EMR Serverless 的服務連結角色
如果您不再需要使用需要服務連結角色的功能或服務,我們建議您刪除該角色。這樣您就沒有未主動監控或維護的未使用實體。不過,請先刪除所有區域中的所有 EMR Serverless 應用程式,再刪除服務連結角色。
**注意**
如果您嘗試刪除與角色相關聯的資源時,EMR Serverless 服務正在使用該角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**使用 IAM 刪除 AWSServiceRoleForAmazonEMRServerless 服務連結角色**
將下列陳述式新增至需要刪除服務連結角色之 IAM 實體的許可政策。
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/ops.emr-serverless.amazonaws.com/AWSServiceRoleForAmazonEMRServerless*",
"Condition": {"StringLike": {"iam:AWSServiceName": "ops.emr-serverless.amazonaws.com"}}
}
```
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForAmazonEMRServerless 服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## EMR Serverless 服務連結角色支援的 區域
EMR Serverless 支援在提供服務的所有區域中使用服務連結角色。如需詳細資訊,請參閱[AWS 區域和端點](https://docs.aws.amazon.com/general/latest/gr/rande.html)。