Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwaltete Richtlinien von Amazon EMR
Die einfachste Möglichkeit, Vollzugriff oder Lesezugriff auf benötigte Amazon-EMR-Aktionen zu erteilen, besteht in der Verwendung von IAM-verwalteten Richtlinien für Amazon EMR. Verwaltete Richtlinien haben den Vorteil, automatisch aktualisiert zu werden, wenn sich die Berechtigungsanforderungen ändern. Wenn Sie eingebundene Richtlinien verwenden, können Service-Veränderungen auftreten, die zu Berechtigungsfehlern führen.
Amazon EMR wird bestehende verwaltete Richtlinien (v1-Richtlinien) zugunsten neuer verwalteter Richtlinien (v2-Richtlinien) ablehnen. Die neuen verwalteten Richtlinien wurden detailliert auf bewährte Verfahren abgestimmt. AWS Sobald die bestehenden verwalteten Richtlinien der Version 1 veraltet sind, können Sie diese Richtlinien keinen neuen IAM-Rollen oder -Benutzern mehr zuordnen. Bestehende Rollen und Benutzer, die veraltete Richtlinien verwenden, können diese weiterhin verwenden. Die verwalteten v2-Richtlinien schränken den Zugriff mithilfe von Tags ein. Sie lassen nur bestimmte Amazon-EMR-Aktionen zu und erfordern Cluster-Ressourcen, die mit einem EMR-spezifischen Schlüssel gekennzeichnet sind. Wir empfehlen Ihnen, die Dokumentation sorgfältig zu lesen, bevor Sie die neuen v2-Richtlinien verwenden.
Die v1-Richtlinien werden in der Liste der **Richtlinien** der IAM-Konsole mit einem Warnsymbol daneben als veraltet markiert. Die veralteten Richtlinien werden die folgenden Merkmale aufweisen:
+ Sie werden unverändert für alle gegenwärtig angefügten Benutzer, Gruppen und Rollen funktionsfähig. Alles funktioniert normal.
+ Sie können nicht neuen Benutzern, Gruppen oder Rollen angefügt werden. Wenn Sie eine der Richtlinien von einer gegenwärtigen Entität trennen, können Sie sie nicht wieder anfügen.
+ Nachdem Sie eine v1-Richtlinie von allen aktuellen Entitäten getrennt haben, ist die Richtlinie nicht mehr sichtbar und kann nicht mehr verwendet werden.
In der folgenden Tabelle werden die Änderungen zwischen den aktuellen Richtlinien (v1) und v2-Richtlinien zusammengefasst.
**Von Amazon EMR verwaltete Richtlinienänderungen**
| Richtlinientyp | Richtliniennamen | Zweck der Richtlinie | Änderungen der v2-Richtlinie |
| --- | --- | --- | --- |
| Standard-EMR-Servicerolle und angehängte verwaltete Richtlinie | **Rollenname: EMR\$1 DefaultRole** V1-Richtlinie (wird nicht mehr unterstützt): **AmazonElasticMapReduceRole**(EMR-Servicerolle) V2-Richtlinienname (mit eingeschränktem Geltungsbereich): [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) | Ermöglicht Amazon EMR, in Ihrem Namen andere AWS Services aufzurufen, wenn Ressourcen bereitgestellt und Service-Level-Aktionen ausgeführt werden. Diese Rolle ist für alle Cluster erforderlich. | Die Richtlinie fügt die neue Berechtigung hinzu. `"ec2:DescribeInstanceTypeOfferings"` Dieser API-Vorgang gibt eine Liste von Instance-Typen zurück, die von einer Liste der angegebenen Availability Zones unterstützt werden. |
| Von IAM verwaltete Richtlinie für vollen Amazon EMR-Zugriff durch angehängte Benutzer, Rollen oder Gruppen | V2-Richtlinienname (mit Geltungsbereich): [`AmazonEMRServicePolicy_v2`](emr-managed-policy-fullaccess-v2.md) | Erlaubt Benutzern volle Berechtigungen für EMR-Aktionen. Beinhaltet iam: PassRole Berechtigungen für Ressourcen. | Die Richtlinie setzt voraus, dass Benutzer Benutzer-Tags zu Ressourcen hinzufügen müssen, bevor sie diese Richtlinie verwenden können. Siehe [Taggen von Ressourcen zur Verwendung verwalteter Richtlinien](#manually-tagged-resources). Für die PassRole Aktion iam: muss die PassedToService Bedingung iam: auf den angegebenen Dienst gesetzt sein. Der Zugriff auf Amazon EC2, Amazon S3 und andere Services ist standardmäßig nicht zulässig. Weitere Informationen finden Sie unter [Verwaltete IAM-Richtlinie für vollen Zugriff (verwaltete Standardrichtlinie v2)](emr-managed-policy-fullaccess-v2.md). |
| Von IAM verwaltete Richtlinie für vollständigen EMR-Zugriff durch angehängte Benutzer, Rollen oder Gruppen | V1-Richtlinie (wird veraltet): [`AmazonElasticMapReduceReadOnlyAccess`](emr-managed-policy-readonly.md) V2-Richtlinienname (mit Geltungsbereich): [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) | Ermöglicht Benutzern nur Leseberechtigungen für Amazon-EMR-Aktionen. | Mit Berechtigungen können nur bestimmte schreibgeschützte ElasticMapReduce-Aktionen ausgeführt werden. Der Zugriff auf Amazon S3 ist standardmäßig nicht zulässig. Weitere Informationen finden Sie unter [Verwaltete IAM-Richtlinie für vollen Zugriff (verwaltete Standardrichtlinie v2)](emr-managed-policy-readonly-v2.md) |
| Standard-EMR-Servicerolle und angehängte verwaltete Richtlinie | **Rollenname: EMR\$1 DefaultRole** V1-Richtlinie (wird nicht mehr unterstützt): **AmazonElasticMapReduceRole**(EMR-Servicerolle) V2-Richtlinienname (mit eingeschränktem Geltungsbereich): [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) | Ermöglicht Amazon EMR, in Ihrem Namen andere AWS Services aufzurufen, wenn Ressourcen bereitgestellt und Service-Level-Aktionen ausgeführt werden. Diese Rolle ist für alle Cluster erforderlich. | Die v2-Servicerolle und die v2-Standardrichtlinie ersetzen die veraltete Rolle und Richtlinie. Die Richtlinie setzt voraus, dass Benutzer Benutzer-Tags zu Ressourcen hinzufügen müssen, bevor sie diese Richtlinie verwenden können. Siehe [Taggen von Ressourcen zur Verwendung verwalteter Richtlinien](#manually-tagged-resources). Siehe [Servicerolle für Amazon EMR (EMR-Rolle)](emr-iam-role.md). |
| Servicerolle für EC2-Cluster-Instances (EC2-Instance-Profil) | **Rollenname: EMR\$1 \$1 EC2 DefaultRole** **Veralteter Richtlinienname: Rolle AmazonElasticMapReducefor EC2** | Ermöglicht Anwendungen, die auf einem EMR-Cluster ausgeführt werden, auf andere AWS -Ressourcen wie Amazon S3 zuzugreifen. Wenn Sie beispielsweise Apache-Spark-Aufträge ausführen, die Daten von Amazon S3 verarbeiten, muss die Richtlinie den Zugriff auf solche Ressourcen zulassen. | Sowohl die Standardrolle als auch die Standardrichtlinie werden demnächst veraltet sein. Es gibt keinen Ersatz für die verwaltete AWS Standardrolle oder -richtlinie. Sie müssen eine ressourcen- oder identitätsbasierte Richtlinie bereitstellen. Das bedeutet, dass Anwendungen, die auf einem EMR-Cluster ausgeführt werden, standardmäßig keinen Zugriff auf Amazon S3 oder andere Ressourcen haben, es sei denn, Sie fügen diese manuell zur Richtlinie hinzu. Siehe [Standardrolle und verwaltete Richtlinie](emr-iam-role-for-ec2.md#emr-ec2-role-default). |
| Andere Richtlinien für EC2-Servicerollen | Aktuelle Richtliniennamen: **AmazonElasticMapReduceforAutoScalingRole, AmazonElasticMapReduceEditorsRole, EMRCleanup Amazon-Richtlinie** | Stellt Berechtigungen bereit, die Amazon EMR benötigt, um auf andere AWS Ressourcen zuzugreifen und Aktionen auszuführen, wenn Auto Scaling, Notebooks oder zum Bereinigen von EC2-Ressourcen verwendet werden. | Keine Änderungen für Version 2. |
## Sicherung von iam: PassRole
Die verwalteten Standardrichtlinien von Amazon EMR mit vollen Berechtigungen beinhalten `iam:PassRole`-Sicherheitskonfigurationen, darunter die folgenden:
+ `iam:PassRole`-Berechtigungen nur für bestimmte Amazon-EMR-Standardrollen.
+ `iam:PassedToService`Bedingungen, die es Ihnen ermöglichen, die Richtlinie nur mit bestimmten AWS Diensten zu verwenden, z. B. `elasticmapreduce.amazonaws.com` und`ec2.amazonaws.com`.
Sie können die JSON-Version der [Amazon EMRFull AccessPolicy \$1v2- und Amazon EMRService](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRFullAccessPolicy_v2) [Policy\$1v2-Richtlinien in der IAM-Konsole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2) anzeigen. Wir empfehlen, dass Sie neue Cluster mit den verwalteten v2-Richtlinien erstellen.
Wenn Sie benutzerdefinierte Richtlinien erstellen müssen, empfehlen wir ihnen, mit verwalteten Richtlinien zu beginnen und diese entsprechend Ihren Anforderungen zu bearbeiten.
Informationen zum Anfügen von Richtlinien an [-Benutzer (Prinzipale) finden Sie unter Arbeiten mit verwalteten Richtlinien über die AWS-Managementkonsole](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html#policies_using-managed-console) im *IAM-Benutzerhandbuch*.
## Taggen von Ressourcen zur Verwendung verwalteter Richtlinien
**Amazon EMRService Policy\$1v2** und **Amazon EMRFull AccessPolicy \$1v2** hängen vom begrenzten Zugriff auf Ressourcen ab, die Amazon EMR bereitstellt oder verwendet. Der eingeschränkte Umfang wird dadurch erreicht, dass der Zugriff nur auf die Ressourcen beschränkt wird, denen ein vordefiniertes Benutzer-Tag zugeordnet ist. Wenn Sie eine dieser beiden Richtlinien verwenden, müssen Sie bei der Bereitstellung des Clusters das vordefinierte Benutzer-Tag `for-use-with-amazon-emr-managed-policies = true` übergeben. Amazon EMR verbreitet diese Tags automatisch. Darüber hinaus müssen Sie den im folgenden Abschnitt aufgelisteten Ressourcen ein Benutzer-Tag hinzufügen. Wenn Sie die Amazon-EMR-Konsole verwenden, um Ihren Cluster zu starten, finden Sie weitere Informationen unter [Überlegungen zur Verwendung der Amazon-EMR-Konsole zum Starten von Clustern mit verwalteten v2-Richtlinien](#emr-cluster-v2policy-awsconsole-launch).
Um verwaltete Richtlinien zu verwenden, übergeben Sie das Benutzer-Tag `for-use-with-amazon-emr-managed-policies = true`, wenn Sie einen Cluster mit der CLI, dem SDK oder einer anderen Methode bereitstellen.
Wenn Sie das Tag übergeben, leitet Amazon EMR das Tag an die privaten Subnetz-ENI-, EC2-Instance- und EBS-Volumes weiter, die es erstellt. Amazon EMR kennzeichnet auch automatisch Sicherheitsgruppen, die es erstellt. Wenn Sie jedoch möchten, dass Amazon EMR mit einer bestimmten Sicherheitsgruppe gestartet wird, müssen Sie sie taggen. Für Ressourcen, die nicht von Amazon EMR erstellt wurden, müssen Sie diesen Ressourcen Tags hinzufügen. Beispielsweise müssen Sie Amazon EC2-Subnetze, EC2-Sicherheitsgruppen (sofern sie nicht von Amazon EMR erstellt wurden) und VPCs (wenn Amazon EMR Sicherheitsgruppen erstellen soll) kennzeichnen. Um Cluster mit verwalteten v2-Richtlinien zu starten VPCs, müssen Sie diese VPCs mit dem vordefinierten Benutzertag kennzeichnen. Siehe [Überlegungen zur Verwendung der Amazon-EMR-Konsole zum Starten von Clustern mit verwalteten v2-Richtlinien](#emr-cluster-v2policy-awsconsole-launch).
**Weiterverbreitetes benutzerdefiniertes Tagging**
Amazon EMR kennzeichnet Ressourcen, die es mit den Amazon-EMR-Tags erstellt, die Sie bei der Erstellung eines Clusters angeben. Amazon EMR wendet Tags auf die Ressourcen an, die es während der Lebensdauer des Clusters erstellt.
Amazon EMR verbreitet Benutzer-Tags für die folgenden Ressourcen:
+ Privates Subnetz-ENI (elastische Netzwerkschnittstellen für Servicezugriff)
+ EC2-Instances
+ EBS-Volumes
+ EC2-Startvorlage
**Automatisch getaggte Sicherheitsgruppen**
Amazon EMR kennzeichnet EC2-Sicherheitsgruppen, die es erstellt, mit dem Tag, das für verwaltete v2-Richtlinien für Amazon EMR erforderlich ist `for-use-with-amazon-emr-managed-policies`, unabhängig davon, welche Tags Sie im Befehl „Cluster erstellen“ angeben. Für eine Sicherheitsgruppe, die vor der Einführung der verwalteten Richtlinien der Version 2 erstellt wurde, kennzeichnet Amazon EMR die Sicherheitsgruppe nicht automatisch. Wenn Sie verwaltete v2-Richtlinien mit den Standardsicherheitsgruppen verwenden möchten, die bereits im Konto vorhanden sind, müssen Sie die Sicherheitsgruppen manuell mit `for-use-with-amazon-emr-managed-policies = true` taggen.
**Manuell getaggte Clusterressourcen**
Sie müssen einige Cluster-Ressourcen manuell taggen, damit sie über Amazon-EMR-Standardrollen abgerufen werden können.
+ Sie müssen EC2-Sicherheitsgruppen und EC2-Subnetze manuell mit dem von Amazon EMR verwalteten Richtlinien-Tag `for-use-with-amazon-emr-managed-policies` kennzeichnen.
+ Sie müssen eine VPC manuell taggen, wenn Amazon EMR Standardsicherheitsgruppen erstellen soll. EMR versucht, eine Sicherheitsgruppe mit dem spezifischen Tag zu erstellen, falls die Standardsicherheitsgruppe noch nicht existiert.
Amazon EMR kennzeichnet automatisch die folgenden Ressourcen:
+ Von EMR erstellte EC2-Sicherheitsgruppen
Sie müssen die folgenden Ressourcen manuell taggen:
+ EC2-Subnetz
+ EC2-Sicherheitsgruppen
Optional können Sie die folgenden Ressourcen manuell taggen:
+ VPC – nur wenn Sie möchten, dass Amazon EMR Sicherheitsgruppen erstellt
## Überlegungen zur Verwendung der Amazon-EMR-Konsole zum Starten von Clustern mit verwalteten v2-Richtlinien
Sie können Cluster mit verwalteten v2-Richtlinien mithilfe der Amazon-EMR-Konsole bereitstellen. Im Folgenden finden Sie einige Überlegungen, wenn Sie die Konsole zum Starten von Amazon-EMR-Clustern verwenden.
+ Sie müssen das vordefinierte Tag nicht übergeben. Amazon EMR fügt das Tag automatisch hinzu und leitet es an die entsprechenden Komponenten weiter.
+ Bei Komponenten, die manuell markiert werden müssen, versucht die alte Amazon-EMR-Konsole, sie automatisch zu kennzeichnen, sofern Sie über die erforderlichen Berechtigungen zum Taggen von Ressourcen verfügen. Wenn Sie nicht berechtigt sind, Ressourcen zu taggen, oder wenn Sie die Konsole verwenden möchten, bitten Sie Ihren Administrator, diese Ressourcen zu taggen.
+ Sie können Cluster mit verwalteten v2-Richtlinien nur starten, wenn alle Voraussetzungen erfüllt sind.
+ Die alte Amazon-EMR-Konsole zeigt Ihnen, welche Ressourcen (VPC/Subnetze) markiert werden müssen.
# Von IAM verwaltete Richtlinie für vollen Zugriff (verwaltete Standardrichtlinie v2) für Amazon EMR
Die standardmäßigen verwalteten EMR-Richtlinien mit Geltungsbereich v2 gewähren Benutzern bestimmte Zugriffsrechte. Sie benötigen ein vordefiniertes Amazon-EMR-Ressourcen-Tag und `iam:PassRole` Zustandsschlüssel für Ressourcen, die von Amazon EMR verwendet werden, wie z. B. die `Subnet` und die `SecurityGroup`, die Sie zum Starten Ihres Clusters verwenden.
Um alle erforderlichen Aktionen für Amazon EMR zuzulassen, fügen Sie die `AmazonEMRFullAccessPolicy_v2`-verwaltete Richtlinie an. Diese aktualisierte verwaltete Standardrichtlinie ersetzt die [`AmazonElasticMapReduceFullAccess`](emr-managed-policy-fullaccess.md) verwaltete Richtlinie.
`AmazonEMRFullAccessPolicy_v2` hängt vom begrenzten Zugriff auf Ressourcen ab, die Amazon EMR bereitstellt oder nutzt. Wenn Sie diese Richtlinie verwenden, müssen Sie bei der Bereitstellung des Clusters das Benutzer-Tag `for-use-with-amazon-emr-managed-policies = true` übergeben. Amazon EMR verbreitet diese Tags automatisch. Darüber hinaus müssen Sie möglicherweise manuell ein Benutzer-Tag zu bestimmten Ressourcentypen hinzufügen, z. B. EC2-Sicherheitsgruppen, die nicht von Amazon EMR erstellt wurden. Weitere Informationen finden Sie unter [Taggen von Ressourcen zur Verwendung verwalteter Richtlinien](emr-managed-iam-policies.md#manually-tagged-resources).
Die [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2)-Richtlinie schützt Ressourcen, indem sie wie folgt vorgeht:
+ Erfordert, dass Ressourcen für die Clustererstellung und den Zugriff auf Amazon EMR mit dem vordefinierten Tag `for-use-with-amazon-emr-managed-policies` für verwaltete Amazon-EMR-Richtlinien gekennzeichnet werden.
+ Beschränkt die `iam:PassRole`-Aktion auf bestimmte Standardrollen und den `iam:PassedToService`-Zugriff auf bestimmte Services.
+ Bietet standardmäßig keinen Zugriff mehr auf Amazon EC2, Amazon S3 und andere Services.
Im Folgenden finden Sie den Inhalt dieser Richtlinie.
**Anmerkung**
Sie können die Richtlinie auch über den Konsolenlink [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2) anzeigen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RunJobFlowExplicitlyWithEMRManagedTag",
"Effect": "Allow",
"Action": [
"elasticmapreduce:RunJobFlow"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "ElasticMapReduceActions",
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddInstanceFleet",
"elasticmapreduce:AddInstanceGroups",
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:AddTags",
"elasticmapreduce:CancelSteps",
"elasticmapreduce:CreateEditor",
"elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:CreateSecurityConfiguration",
"elasticmapreduce:DeleteEditor",
"elasticmapreduce:DeleteSecurityConfiguration",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:DescribeJobFlows",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:DescribeSecurityConfiguration",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:DescribeReleaseLabel",
"elasticmapreduce:GetBlockPublicAccessConfiguration",
"elasticmapreduce:GetManagedScalingPolicy",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"elasticmapreduce:GetAutoTerminationPolicy",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListEditors",
"elasticmapreduce:ListInstanceFleets",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListInstances",
"elasticmapreduce:ListSecurityConfigurations",
"elasticmapreduce:ListSteps",
"elasticmapreduce:ListSupportedInstanceTypes",
"elasticmapreduce:ModifyCluster",
"elasticmapreduce:ModifyInstanceFleet",
"elasticmapreduce:ModifyInstanceGroups",
"elasticmapreduce:OpenEditorInConsole",
"elasticmapreduce:PutAutoScalingPolicy",
"elasticmapreduce:PutBlockPublicAccessConfiguration",
"elasticmapreduce:PutManagedScalingPolicy",
"elasticmapreduce:RemoveAutoScalingPolicy",
"elasticmapreduce:RemoveManagedScalingPolicy",
"elasticmapreduce:RemoveTags",
"elasticmapreduce:SetTerminationProtection",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:TerminateJobFlows",
"elasticmapreduce:ViewEventsFromAllClustersInConsole"
],
"Resource": [
"*"
]
},
{
"Sid": "ViewMetricsInEMRConsole",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
]
},
{
"Sid": "PassRoleForElasticMapReduce",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_DefaultRole",
"arn:aws:iam::*:role/EMR_DefaultRole_V2"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "elasticmapreduce.amazonaws.com*"
}
}
},
{
"Sid": "PassRoleForEC2",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_EC2_DefaultRole"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "ec2.amazonaws.com*"
}
}
},
{
"Sid": "PassRoleForAutoScaling",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_AutoScaling_DefaultRole"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "application-autoscaling.amazonaws.com*"
}
}
},
{
"Sid": "ElasticMapReduceServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/elasticmapreduce.amazonaws.com*/AWSServiceRoleForEMRCleanup*"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"elasticmapreduce.amazonaws.com",
"elasticmapreduce.amazonaws.com.rproxy.govskope.us.cn"
]
}
}
},
{
"Sid": "ConsoleUIActions",
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeKeyPairs",
"ec2:DescribeNatGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"s3:ListAllMyBuckets",
"iam:ListRoles"
],
"Resource": [
"*"
]
}
]
}
```
------
# Von IAM verwaltete Richtlinie für vollen Zugriff (demnächst veraltet)
Die verwalteten Richtlinien `AmazonElasticMapReduceFullAccess` und `AmazonEMRFullAccessPolicy_v2` AWS Identity and Access Management (IAM) gewähren alle erforderlichen Aktionen für Amazon EMR und andere Services.
**Wichtig**
Die verwaltete Richtlinie `AmazonElasticMapReduceFullAccess` ist veraltet und wird nicht mehr für die Verwendung mit Amazon EMR empfohlen. Nutzen Sie stattdessen [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md). Wenn der IAM-Service die v1-Richtlinie irgendwann als veraltet markiert, können Sie sie keiner Rolle zuordnen. Sie können einem Cluster jedoch eine bestehende Rolle zuordnen, auch wenn diese Rolle die veraltete Richtlinie verwendet.
Die verwalteten Standardrichtlinien von Amazon EMR mit vollen Berechtigungen beinhalten `iam:PassRole`-Sicherheitskonfigurationen, darunter die folgenden:
+ `iam:PassRole`-Berechtigungen nur für bestimmte Amazon-EMR-Standardrollen.
+ `iam:PassedToService`Bedingungen, die es Ihnen ermöglichen, die Richtlinie nur mit bestimmten AWS Diensten wie `elasticmapreduce.amazonaws.com` und zu verwenden. `ec2.amazonaws.com`
Sie können die JSON-Version der [Amazon EMRFull AccessPolicy \$1v2- und Amazon EMRService](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRFullAccessPolicy_v2) [Policy\$1v2-Richtlinien in der IAM-Konsole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2) anzeigen. Wir empfehlen, dass Sie neue Cluster mit den verwalteten v2-Richtlinien erstellen.
Sie können den Inhalt der veralteten v1-Richtlinie unter einsehen. AWS-Managementkonsole [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonElasticMapReduceFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonElasticMapReduceFullAccess) Die `ec2:TerminateInstances`-Aktion in der Richtlinie gewährt einem Benutzer oder einer Rolle die Erlaubnis, eine der Amazon-EC2-Instances zu kündigen, die mit dem IAM-Konto verknüpft sind. Dies schließt Instances ein, die nicht Teil eines EMR-Clusters sind.
# Von IAM verwaltete Richtlinie für schreibgeschützten Zugriff (verwaltete Standardrichtlinie v2) für Amazon EMR
Um Amazon EMR nur Leserechte zu gewähren, fügen Sie die verwaltete **Amazon EMRRead OnlyAccessPolicy \$1v2-Richtlinie** bei. Diese verwaltete Standardrichtlinie ersetzt die [`AmazonElasticMapReduceReadOnlyAccess`](emr-managed-policy-readonly.md) verwaltete Richtlinie. Der Inhalt dieser Richtlinienerklärung wird im folgenden Ausschnitt dargestellt. Im Vergleich zur `AmazonElasticMapReduceReadOnlyAccess`-Richtlinie verwendet die `AmazonEMRReadOnlyAccessPolicy_v2`-Richtlinie keine Platzhalterzeichen für das `elasticmapreduce`-Element. Stattdessen beschränkt sich die standardmäßige v2-Richtlinie auf die zulässigen `elasticmapreduce`-Aktionen.
**Anmerkung**
Sie können den AWS-Managementkonsole Link auch verwenden, um die Richtlinie [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRReadOnlyAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRReadOnlyAccessPolicy_v2)einzusehen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ElasticMapReduceActions",
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:DescribeJobFlows",
"elasticmapreduce:DescribeSecurityConfiguration",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:DescribeReleaseLabel",
"elasticmapreduce:GetBlockPublicAccessConfiguration",
"elasticmapreduce:GetManagedScalingPolicy",
"elasticmapreduce:GetAutoTerminationPolicy",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListEditors",
"elasticmapreduce:ListInstanceFleets",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListInstances",
"elasticmapreduce:ListSecurityConfigurations",
"elasticmapreduce:ListSteps",
"elasticmapreduce:ListSupportedInstanceTypes",
"elasticmapreduce:ViewEventsFromAllClustersInConsole"
],
"Resource": [
"*"
]
},
{
"Sid": "ViewMetricsInEMRConsole",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
]
}
]
}
```
------
# Von IAM verwaltete Richtlinie für vollen Zugriff (demnächst veraltet)
Die `AmazonElasticMapReduceReadOnlyAccess`-verwaltete Richtlinie ist demnächst veraltet. Sie können diese Richtlinie nicht anhängen, wenn Sie neue Cluster starten. `AmazonElasticMapReduceReadOnlyAccess` wurde durch die verwaltete Standardrichtlinie [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) von Amazon EMR ersetzt. Der Inhalt dieser Richtlinienerklärung wird im folgenden Ausschnitt dargestellt. Platzhalterzeichen für das `elasticmapreduce`-Element geben an, dass nur Aktionen, die mit der angegebenen Zeichenfolgen beginnen, zulässig sind. Hinweis: Da diese Richtlinie Aktionen nicht ausdrücklich verweigert, kann dennoch eine andere Richtlinienanweisung verwendet werden, um den Zugriff auf bestimmte Aktionen zu gewähren.
**Anmerkung**
Sie können die Richtlinie auch verwenden AWS-Managementkonsole , um die Richtlinie einzusehen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:Describe*",
"elasticmapreduce:List*",
"elasticmapreduce:ViewEventsFromAllClustersInConsole",
"s3:GetObject",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"sdb:Select",
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
],
"Sid": "AllowELASTICMAPREDUCEDescribe"
}
]
}
```
------
# AWS verwaltete Richtlinie: EMRDescribe ClusterPolicyFor EMRWAL
Sie können `EMRDescribeClusterPolicyForEMRWAL` nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es Amazon EMR ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen zu dieser dienstbezogenen Rolle finden Sie unter. [Verwenden von serviceverknüpften Rollen mit Amazon EMR für die Write-Ahead-Protokollierung](using-service-linked-roles-wal.md)
Diese Richtlinie gewährt Nur-Lese-Berechtigungen, die es dem WAL-Service für Amazon EMR ermöglichen, den Status eines Clusters zu finden und zurückzugeben. Weitere Informationen zu Amazon EMR WAL finden Sie unter [Write-Ahead-Logs (WAL) für](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-hbase-wal.html) Amazon EMR.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `emr`— Ermöglicht Principals, den Cluster-Status von Amazon EMR aus zu beschreiben. Dies ist erforderlich, damit Amazon EMR bestätigen kann, wann ein Cluster beendet wurde, und dann nach dreißig Tagen alle vom Cluster hinterlassenen WAL-Protokolle bereinigen kann.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster"
],
"Resource": [
"*"
],
"Sid": "AllowELASTICMAPREDUCEDescribecluster"
}
]
}
```
------
## AWS verwaltete Richtlinien für Amazon EMR
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet AWS wird. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
# Amazon EMR-Updates für AWS verwaltete Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon EMR an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen.
| Änderungen | Beschreibung | Datum |
| --- | --- | --- |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) – Aktualisierung auf eine bestehende Richtlinie | Ab Amazon EMR Version 7.5.0 hinzugefügt ec2:CreateVpcEndpoint und für eine optimale Benutzererfahrung ec2:CreateTags erforderlich. ec2:ModifyVpcEndpoint | 4. März 2025 |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) – Aktualisierung auf eine bestehende Richtlinie | Hinzugefügtelasticmapreduce:CreatePersistentAppUI, undelasticmapreduce:DescribePersistentAppUI. elasticmapreduce:GetPersistentAppUIPresignedURL | 28. Februar 2025 |
| [`EMRDescribeClusterPolicyForEMRWAL`](EMRDescribeClusterPolicyForEMRWAL.md) – Neue Richtlinie | Es wurde eine neue Richtlinie hinzugefügt, sodass Amazon EMR dreißig Tage nach Beendigung des Clusters den Clusterstatus für die WAL-Bereinigung bestimmen kann. | 10. August 2023 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) und [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) – Zur Aktualisierung einer bestehenden Richtlinie | elasticmapreduce:DescribeReleaseLabel und elasticmapreduce:GetAutoTerminationPolicy hinzugefügt. | 21. April 2022 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) – Aktualisierung auf eine bestehende Richtlinie | ec2:DescribeImages hinzugefügt für [Verwendung eines benutzerdefinierten AMI für mehr Flexibilität bei der Amazon EMR-Clusterkonfiguration](emr-custom-ami.md). | 15. Februar 2022 |
| [**Verwaltete Richtlinien von Amazon EMR**](emr-managed-iam-policies.md) | Aktualisiert, um die Verwendung vordefinierter Benutzer-Tags zu verdeutlichen. Es wurde ein Abschnitt zur Verwendung der AWS Konsole zum Starten von Clustern mit verwalteten v2-Richtlinien hinzugefügt. | 29. September 2021 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) – Aktualisierung auf eine bestehende Richtlinie | Die Aktionen PassRoleForAutoScaling und PassRoleForEC2 wurden dahingehend geändert, dass der StringLike-Bedingungsoperator entsprechend "iam:PassedToService":"application-autoscaling.amazonaws.com\$1" und "iam:PassedToService":"ec2.amazonaws.com\$1" verwendet wird. | 20. Mai 2021 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) – Aktualisierung auf eine bestehende Richtlinie | Ungültige Aktion `s3:ListBuckets` wurde entfernt und durch `s3:ListAllMyBuckets`-Aktion ersetzt. Die Erstellung von serviceverknüpften Rollen (SLR) wurde aktualisiert und ist nun explizit auf die einzige SLR beschränkt, die Amazon EMR mit expliziten Serviceprinzipien hat. Die SLRs , die erstellt werden können, sind genau die gleichen wie vor dieser Änderung. | 23. März 2021 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) – Neue Richtlinie | Amazon EMR hat neue Berechtigungen für den Bereichszugriff auf Ressourcen hinzugefügt und eine Voraussetzung hinzugefügt, dass Benutzer Ressourcen vordefinierte Benutzer-Tags hinzufügen müssen, bevor sie von Amazon EMR verwaltete Richtlinien verwenden können. `iam:PassRole`-Aktion erfordert, dass die `iam:PassedToService`-Bedingung auf den angegebenen Service gesetzt ist. Der Zugriff auf Amazon EC2, Amazon S3 und andere Services ist standardmäßig nicht zulässig. | 11. März 2021 |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) – Neue Richtlinie | Fügt die Voraussetzung hinzu, dass Benutzer Benutzer-Tags zu Ressourcen hinzufügen müssen, bevor sie diese Richtlinie verwenden können. | 11. März 2021 |
| [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) – Neue Richtlinie | Mit Berechtigungen können nur bestimmte schreibgeschützte ElasticMapReduce-Aktionen ausgeführt werden. Der Zugriff auf Amazon S3 ist standardmäßig nicht zulässig. | 11. März 2021 |
| Amazon EMR hat mit der Nachverfolgung von Änderungen begonnen | Amazon EMR hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 11. März 2021 |