AWS Secrets Manager Berechtigungen zur Amazon EMR-Instance-Rolle hinzufügen - Amazon EMR

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Secrets Manager Berechtigungen zur Amazon EMR-Instance-Rolle hinzufügen

Amazon EMR verwendet eine IAM-Servicerolle, um in Ihrem Namen Aktionen zur Bereitstellung und Verwaltung von Clustern durchzuführen. Die Servicerolle für EC2-Instance-Cluster (auch als EC2-Instance-Profil für Amazon EMR bezeichnet) ist eine spezielle Art von Servicerolle, die jeder EC2-Instance in einem Amazon-EMR-Cluster zugewiesen wird, wenn die Instance startet.

Um die Berechtigungen für einen EMR-Cluster für die Interaktion mit Amazon-S3-Daten und anderen AWS -Services zu definieren, definieren Sie ein benutzerdefiniertes Amazon EC2-Instance-Profil und nicht EMR_EC2_DefaultRole, wenn Sie Ihren Cluster starten. Weitere Informationen erhalten Sie unter Servicerolle für EC2-Cluster-Instances (EC2-Instance-Profil) und Passen Sie IAM-Rollen mit Amazon EMR an.

Fügen Sie dem standardmäßigen EC2-Instance-Profil die folgenden Anweisungen hinzu, damit Amazon EMR Sitzungen taggen und auf die zugreifen kann, in denen AWS Secrets Manager LDAP-Zertifikate gespeichert sind.

    {
      "Sid": "AllowAssumeOfRolesAndTagging",
      "Effect": "Allow",
      "Action": ["sts:TagSession", "sts:AssumeRole"],
      "Resource": [
        "arn:aws:iam::111122223333:role/LDAP_DATA_ACCESS_ROLE_NAME",
        "arn:aws:iam::111122223333:role/LDAP_USER_ACCESS_ROLE_NAME"
      ]
    },
    {
        "Sid": "AllowSecretsRetrieval",
        "Effect": "Allow",
        "Action": "secretsmanager:GetSecretValue",
        "Resource": [
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:LDAP_SECRET_NAME*",
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:ADMIN_LDAP_SECRET_NAME*"
        ]
    }
Anmerkung

Ihre Cluster-Anfragen schlagen fehl, wenn Sie bei der Festlegung von Secrets Manager-Berechtigungen das *-Platzhalterzeichen am Ende des geheimen Namens vergessen. Der Platzhalter steht für die geheimen Versionen.

Sie sollten den Geltungsbereich der AWS Secrets Manager Richtlinie auch auf die Zertifikate beschränken, die Ihr Cluster für die Bereitstellung von Instances benötigt.