本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 將 AWS Secrets Manager 許可新增至 Amazon EMR 執行個體角色
<a name="ldap-setup-asm"></a>

Amazon EMR 使用 IAM 服務角色代表您執行動作，以佈建和管理叢集。叢集 EC2 執行個體的服務角色 (也稱為 *Amazon EMR 的 EC2 執行個體設定檔*) 是一種特殊類型的服務角色，Amazon EMR 會在啟動時指派給叢集中的每個 EC2 執行個體。

若要定義 EMR 叢集與 Amazon S3 資料和其他 AWS 服務互動的許可，請在啟動叢集時定義自訂 Amazon EC2 執行個體設定檔而非 `EMR_EC2_DefaultRole`。如需詳細資訊，請參閱[叢集 EC2 執行個體的服務角色 (EC2 執行個體設定檔)](emr-iam-role-for-ec2.md)及[使用 Amazon EMR 自訂 IAM 角色](emr-iam-roles-custom.md)。

將下列陳述式新增至預設 EC2 執行個體描述檔，以允許 Amazon EMR 標記工作階段並存取存放 LDAP 憑證 AWS Secrets Manager 的 。

```
    {
      "Sid": "AllowAssumeOfRolesAndTagging",
      "Effect": "Allow",
      "Action": ["sts:TagSession", "sts:AssumeRole"],
      "Resource": [
        "arn:aws:iam::111122223333:role/LDAP_DATA_ACCESS_ROLE_NAME",
        "arn:aws:iam::111122223333:role/LDAP_USER_ACCESS_ROLE_NAME"
      ]
    },
    {
        "Sid": "AllowSecretsRetrieval",
        "Effect": "Allow",
        "Action": "secretsmanager:GetSecretValue",
        "Resource": [
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:LDAP_SECRET_NAME*",
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:ADMIN_LDAP_SECRET_NAME*"
        ]
    }
```

**注意**  
如果您在設定 Secrets Manager 許可時忘記機密名稱結尾的萬用字元 `*`，叢集請求將會失敗。萬用字元代表機密版本。  
您應該將 AWS Secrets Manager 政策的範圍限制為僅叢集佈建執行個體所需的憑證。