Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Políticas administradas por Amazon EMR
La forma más sencilla de conceder acceso completo o acceso de solo lectura a las acciones de Amazon EMR requeridas consiste en utilizar las políticas administradas de IAM para Amazon EMR. Las políticas administradas ofrecen el beneficio de que se actualizan automáticamente si cambian los requisitos de permisos. Si utiliza políticas insertadas, pueden producirse cambios en los servicios que provoquen la aparición de errores de permisos.
Amazon EMR dejará de utilizar las políticas administradas existentes (políticas de la versión 1) en favor de las nuevas políticas administradas (políticas de la versión 2). Se ha reducido el alcance de las nuevas políticas gestionadas para alinearlas con las mejores prácticas. AWS Una vez que las políticas administradas de la versión 1 estén obsoletas, no podrá adjuntarlas a ningún rol o usuario de IAM nuevo. Los roles y usuarios existentes que usan políticas obsoletas pueden seguir usándolas. Las políticas administradas de la versión 2 restringen el acceso mediante etiquetas. Solo permiten acciones específicas de Amazon EMR y requieren recursos de clúster etiquetados con una clave específica de EMR. Le recomendamos que revise detenidamente la documentación antes de utilizar las nuevas políticas de la versión 2.
Las políticas de la versión 1 se marcarán como obsoletas con un icono de advertencia a su lado en la lista **Políticas** de la consola de IAM. Las políticas obsoletas tienen las siguientes características:
+ Siguen funcionando para todos los usuarios, grupos y roles asociados en ese momento. Ningún elemento deja de funcionar.
+ No pueden asociarse a ningún usuario, grupo o rol nuevo. Si separa una política de una entidad actual, no puede volver a asociarla.
+ Después de separar una política de la versión 1 de todas las entidades actuales, la política dejará de estar visible y ya no podrá utilizarse.
La siguiente tabla resume los cambios entre las políticas actuales (versión 1) y las políticas de la versión 2.
**Cambios en las políticas administradas por Amazon EMR**
| Tipo de política | Nombres de las políticas | Propósito de la política | Cambios en la política de la versión 2 |
| --- | --- | --- | --- |
| Rol de servicio de EMR predeterminado y política administrada adjunta | **Nombre del rol: EMR\$1 DefaultRole** Política V1 (quedará obsoleta): **AmazonElasticMapReduceRole**(Rol de servicio EMR) Nombre de la política de la versión 2 (con ámbito de aplicación reducido): [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) | Permite a Amazon EMR llamar a otros AWS servicios en su nombre al aprovisionar recursos y realizar acciones a nivel de servicio. Este rol es necesario para todos los clústeres. | La política añade el nuevo permiso `"ec2:DescribeInstanceTypeOfferings"`. Esta operación de API devuelve una lista de tipos de instancias compatibles con una lista de zonas de disponibilidad determinadas. |
| Política administrada por IAM para un acceso integral a Amazon EMR por parte del usuario, rol o grupo asociado | Nombre de la política de la versión 2 (con ámbito de aplicación): [`AmazonEMRServicePolicy_v2`](emr-managed-policy-fullaccess-v2.md) | Concede a los usuarios permisos completos para realizar acciones de EMR. Incluye iam: permisos para recursos. PassRole | La política agrega un requisito previo según el cual los usuarios deben agregar etiquetas de usuario a los recursos antes de poder usar esta política. Consulte [Etiquetado de recursos para usar políticas administradas](#manually-tagged-resources). iam: la PassRole acción requiere la PassedToService condición iam: establecida en el servicio especificado. El acceso a Amazon EC2, Amazon S3 y otros servicios no está permitido de forma predeterminada. Consulte [Política administrada por IAM para un acceso total (política predeterminada administrada de la versión 2)](emr-managed-policy-fullaccess-v2.md). |
| Política administrada por IAM para el acceso de solo lectura por parte del usuario, rol o grupo asociado | Política de la versión 1 (quedará obsoleta): [`AmazonElasticMapReduceReadOnlyAccess`](emr-managed-policy-readonly.md) Nombre de la política de la versión 2 (con ámbito de aplicación): [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) | Concede a los usuarios permisos de solo lectura para realizar acciones de Amazon EMR. | Los permisos permiten únicamente acciones específicas de solo lectura de elasticmapreduce. El acceso a Amazon S3 no está permitido de forma predeterminada. Consulte [Política administrada por IAM para un acceso de solo lectura (política predeterminada administrada de la versión 2)](emr-managed-policy-readonly-v2.md). |
| Rol de servicio de EMR predeterminado y política administrada adjunta | **Nombre del rol: EMR\$1 DefaultRole** Política V1 (quedará obsoleta): **AmazonElasticMapReduceRole**(Rol de servicio EMR) Nombre de la política de la versión 2 (con ámbito de aplicación reducido): [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) | Permite a Amazon EMR llamar a otros AWS servicios en su nombre al aprovisionar recursos y realizar acciones a nivel de servicio. Este rol es necesario para todos los clústeres. | El rol de servicio de la versión 2 y la política predeterminada de la versión 2 sustituyen a la política y al rol obsoletos. La política agrega un requisito previo según el cual los usuarios deben agregar etiquetas de usuario a los recursos antes de poder usar esta política. Consulte [Etiquetado de recursos para usar políticas administradas](#manually-tagged-resources). Consulte [Rol de servicio para Amazon EMR (rol de EMR)](emr-iam-role.md). |
| Rol de servicio para instancias de EC2 del clúster (perfil de instancia de EC2) | **Nombre del rol: EMR\$1 \$1 EC2 DefaultRole** **Nombre de la política obsoleta: Role AmazonElasticMapReducefor EC2** | Permite que las aplicaciones que se ejecutan en un clúster de EMR accedan a otros recursos de AWS , como Amazon S3. Por ejemplo, si ejecuta trabajos de Apache Spark que procesan datos de Amazon S3, la política debe permitir el acceso a dichos recursos. | Tanto el rol predeterminado como la política predeterminada están en vías de quedar obsoletos. No hay ninguna política o función gestionada AWS predeterminada que la sustituya. Debe proporcionar una política basada en los recursos o en la identidad. Esto significa que, de forma predeterminada, las aplicaciones que se ejecuten en un clúster de EMR no tienen acceso a Amazon S3 ni a ningún otro recurso, a menos que las agregue manualmente a la política. Consulte [Política administrada y rol predeterminados](emr-iam-role-for-ec2.md#emr-ec2-role-default). |
| Otras políticas de rol de servicio de EC2 | Nombres de políticas actuales: **AmazonElasticMapReduceforAutoScalingRole, AmazonElasticMapReduceEditorsRole, Amazon EMRCleanup Policy** | Proporciona los permisos que Amazon EMR necesita para acceder a otros recursos de AWS y realizar acciones si utiliza el escalado automático, y los cuadernos, o bien para limpiar los recursos de EC2. | No hay cambios para la versión 2. |
## Objetivo de aseguramiento: PassRole
Las políticas administradas de forma predeterminada con todos los permisos de Amazon EMR incorporan configuraciones de seguridad `iam:PassRole`, entre las que se incluyen las siguientes:
+ Permisos `iam:PassRole` solo para roles específicos de Amazon EMR predeterminados.
+ `iam:PassedToService`condiciones que le permiten usar la política solo con AWS servicios específicos, como `elasticmapreduce.amazonaws.com` y`ec2.amazonaws.com`.
Puede ver la versión JSON de las políticas [Amazon EMRFull AccessPolicy \$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRFullAccessPolicy_v2) y [Amazon EMRService Policy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2) en la consola de IAM. Le recomendamos crear nuevos clústeres con las políticas administradas de la versión 2.
Para crear políticas personalizadas, le recomendamos que comience a partir de las políticas administradas y las edite de acuerdo con sus requisitos.
Para obtener información sobre cómo asociar políticas a los usuarios (entidades principales), consulte [Uso de políticas administradas con la Consola de administración de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html#policies_using-managed-console) en la *Guía del usuario de IAM*.
## Etiquetado de recursos para usar políticas administradas
**Amazon EMRService Policy\$1v2** y **Amazon EMRFull AccessPolicy \$1v2** dependen del acceso limitado a los recursos que Amazon EMR aprovisiona o utiliza. La reducción del alcance se logra restringiendo el acceso únicamente a los recursos que tienen una etiqueta de usuario predefinida asociada a ellos. Si utiliza cualquiera de estas dos políticas, debe pasar la etiqueta de usuario predefinida `for-use-with-amazon-emr-managed-policies = true` al aprovisionar el clúster. A continuación, Amazon EMR propagará automáticamente esa etiqueta. Además, debe agregar una etiqueta de usuario a los recursos que se enumeran en la siguiente sección. Si utiliza la consola de Amazon EMR para lanzar el clúster, consulte [Consideraciones sobre el uso de la consola de Amazon EMR para lanzar clústeres con políticas administradas de la versión 2](#emr-cluster-v2policy-awsconsole-launch).
Para usar políticas administradas, pase la etiqueta de usuario `for-use-with-amazon-emr-managed-policies = true` al aprovisionar un clúster con la CLI, el SDK u otro método.
Al pasar la etiqueta, Amazon EMR la propaga a los volúmenes de EBS, las instancias de EC2 y las ENI de subred privada que cree. Amazon EMR también etiqueta automáticamente los grupos de seguridad que cree. Sin embargo, si desea que Amazon EMR se lance con un grupo de seguridad determinado, debe etiquetarlo. En el caso de los recursos que no haya creado Amazon EMR, debe agregar etiquetas a esos recursos. Por ejemplo, debe etiquetar las subredes de Amazon EC2, los grupos de seguridad de EC2 (si no los creó Amazon EMR) y (si VPCs desea que Amazon EMR cree grupos de seguridad). Para lanzar clústeres con políticas administradas en la versión 2 VPCs, debe etiquetarlos VPCs con la etiqueta de usuario predefinida. Consulte, [Consideraciones sobre el uso de la consola de Amazon EMR para lanzar clústeres con políticas administradas de la versión 2](#emr-cluster-v2policy-awsconsole-launch).
**Etiquetado propagado especificado por el usuario**
Amazon EMR etiqueta los recursos que crea mediante las etiquetas de Amazon EMR que especifique al crear un clúster. Amazon EMR aplica etiquetas a los recursos que cree durante la vida útil del clúster.
Amazon EMR propaga las etiquetas de usuario de los siguientes recursos:
+ ENI de Subred privada (interfaces de red elásticas de acceso a servicios)
+ Instancias de EC2
+ Volúmenes de EBS
+ Plantillas de lanzamiento de EC2
**Grupos de seguridad etiquetados automáticamente**
Amazon EMR etiqueta los grupos de seguridad de EC2 que cree con la etiqueta necesaria para las políticas administradas de la versión 2 de Amazon EMR, `for-use-with-amazon-emr-managed-policies`, independientemente de las etiquetas que especifique en el comando create cluster. En el caso de un grupo de seguridad que se creó antes de la introducción de las políticas administradas de la versión 2, Amazon EMR no etiqueta automáticamente el grupo de seguridad. Si desea utilizar políticas administradas de la versión 2 con los grupos de seguridad predeterminados que ya existen en la cuenta, debe etiquetar los grupos de seguridad manualmente con `for-use-with-amazon-emr-managed-policies = true`.
**Recursos de clúster etiquetados manualmente**
Debe etiquetar manualmente algunos recursos del clúster para que los roles predeterminados de Amazon EMR puedan acceder a ellos.
+ Debe etiquetar manualmente los grupos de seguridad de EC2 y las subredes de EC2 con la etiqueta de política administrada de Amazon EMR `for-use-with-amazon-emr-managed-policies`.
+ Debe etiquetar manualmente una VPC si quiere que Amazon EMR cree grupos de seguridad predeterminados. EMR intentará crear un grupo de seguridad con la etiqueta específica si el grupo de seguridad predeterminado aún no existe.
Amazon EMR etiqueta automáticamente los siguientes recursos:
+ Grupos de seguridad de EC2 creados por EMR
Debe etiquetar de forma manual los siguientes recursos:
+ Subred de EC2
+ Grupos de seguridad de la EC2
De forma opcional, puede etiquetar de forma manual los siguientes recursos:
+ VPC: solo cuando desee que Amazon EMR cree grupos de seguridad
## Consideraciones sobre el uso de la consola de Amazon EMR para lanzar clústeres con políticas administradas de la versión 2
Puede aprovisionar clústeres con políticas administradas de la versión 2 mediante la consola de Amazon EMR. Estas son algunas consideraciones que debe tener en cuenta al utilizar la consola para lanzar clústeres de Amazon EMR.
+ No es necesario pasar la etiqueta predefinida. Amazon EMR agrega automáticamente la etiqueta y la propaga a los componentes correspondientes.
+ En el caso de los componentes que deben etiquetarse manualmente, la antigua consola de Amazon EMR intenta etiquetarlos automáticamente si tiene los permisos necesarios para etiquetar los recursos. Si no tiene los permisos para etiquetar los recursos o si desea utilizar la consola, pida al administrador que etiquete esos recursos.
+ No puede lanzar clústeres con políticas administradas de la versión 2, a menos que se cumplan todos los requisitos previos.
+ La consola antigua de Amazon EMR le muestra qué recursos (VPC/subredes) deben etiquetarse.
# Política administrada por IAM para un acceso total (política predeterminada administrada de la versión 2) para Amazon EMR
Las políticas administradas por defecto de EMR con el ámbito de aplicación de la versión 2 otorgan privilegios de acceso específicos a los usuarios. Requieren una etiqueta de recurso de Amazon EMR predefinida y claves de condición de `iam:PassRole` para los recursos que utiliza Amazon EMR, como la `Subnet` y el `SecurityGroup` que utiliza para lanzar el clúster.
Para conceder todas las acciones necesarias dentro del ámbito de aplicación de Amazon EMR, adjunte la política administrada `AmazonEMRFullAccessPolicy_v2`. Esta política administrada predeterminada actualizada sustituye a la política administrada [`AmazonElasticMapReduceFullAccess`](emr-managed-policy-fullaccess.md).
`AmazonEMRFullAccessPolicy_v2` depende del acceso limitado a los recursos que Amazon EMR aprovisiona o utiliza. Cuando utilice esta política, tendrá que pasar la etiqueta de usuario `for-use-with-amazon-emr-managed-policies = true` al aprovisionar el clúster. Amazon EMR propagará automáticamente la etiqueta. Además, es posible que tenga que agregar manualmente una etiqueta de usuario a tipos específicos de recursos, como grupos de seguridad de EC2 que no fueron creados por Amazon EMR. Para obtener más información, consulte [Etiquetado de recursos para usar políticas administradas](emr-managed-iam-policies.md#manually-tagged-resources).
La política [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2) protege los recursos de la siguiente manera:
+ Requiere que los recursos se etiqueten con la etiqueta de políticas administradas de Amazon EMR predefinida `for-use-with-amazon-emr-managed-policies` para la creación de clústeres y el acceso a Amazon EMR.
+ Restringe la acción `iam:PassRole` a roles predeterminados específicos y el acceso `iam:PassedToService` a servicios específicos.
+ Ya no proporciona acceso a Amazon EC2, Amazon S3 ni otros servicios de forma predeterminada.
El contenido de esta política se muestra a continuación.
**nota**
También puede utilizar el enlace de la consola [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2) para ver esta política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RunJobFlowExplicitlyWithEMRManagedTag",
"Effect": "Allow",
"Action": [
"elasticmapreduce:RunJobFlow"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "ElasticMapReduceActions",
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddInstanceFleet",
"elasticmapreduce:AddInstanceGroups",
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:AddTags",
"elasticmapreduce:CancelSteps",
"elasticmapreduce:CreateEditor",
"elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:CreateSecurityConfiguration",
"elasticmapreduce:DeleteEditor",
"elasticmapreduce:DeleteSecurityConfiguration",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:DescribeJobFlows",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:DescribeSecurityConfiguration",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:DescribeReleaseLabel",
"elasticmapreduce:GetBlockPublicAccessConfiguration",
"elasticmapreduce:GetManagedScalingPolicy",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"elasticmapreduce:GetAutoTerminationPolicy",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListEditors",
"elasticmapreduce:ListInstanceFleets",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListInstances",
"elasticmapreduce:ListSecurityConfigurations",
"elasticmapreduce:ListSteps",
"elasticmapreduce:ListSupportedInstanceTypes",
"elasticmapreduce:ModifyCluster",
"elasticmapreduce:ModifyInstanceFleet",
"elasticmapreduce:ModifyInstanceGroups",
"elasticmapreduce:OpenEditorInConsole",
"elasticmapreduce:PutAutoScalingPolicy",
"elasticmapreduce:PutBlockPublicAccessConfiguration",
"elasticmapreduce:PutManagedScalingPolicy",
"elasticmapreduce:RemoveAutoScalingPolicy",
"elasticmapreduce:RemoveManagedScalingPolicy",
"elasticmapreduce:RemoveTags",
"elasticmapreduce:SetTerminationProtection",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:TerminateJobFlows",
"elasticmapreduce:ViewEventsFromAllClustersInConsole"
],
"Resource": [
"*"
]
},
{
"Sid": "ViewMetricsInEMRConsole",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
]
},
{
"Sid": "PassRoleForElasticMapReduce",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_DefaultRole",
"arn:aws:iam::*:role/EMR_DefaultRole_V2"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "elasticmapreduce.amazonaws.com*"
}
}
},
{
"Sid": "PassRoleForEC2",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_EC2_DefaultRole"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "ec2.amazonaws.com*"
}
}
},
{
"Sid": "PassRoleForAutoScaling",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_AutoScaling_DefaultRole"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "application-autoscaling.amazonaws.com*"
}
}
},
{
"Sid": "ElasticMapReduceServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/elasticmapreduce.amazonaws.com*/AWSServiceRoleForEMRCleanup*"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"elasticmapreduce.amazonaws.com",
"elasticmapreduce.amazonaws.com.rproxy.govskope.us.cn"
]
}
}
},
{
"Sid": "ConsoleUIActions",
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeKeyPairs",
"ec2:DescribeNatGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"s3:ListAllMyBuckets",
"iam:ListRoles"
],
"Resource": [
"*"
]
}
]
}
```
------
# Política administrada por IAM para obtener acceso completo (en vías de quedar obsoleta)
Las políticas gestionadas `AmazonElasticMapReduceFullAccess` y `AmazonEMRFullAccessPolicy_v2` AWS Identity and Access Management (IAM) otorgan todas las acciones necesarias para Amazon EMR y otros servicios.
**importante**
La política administrada `AmazonElasticMapReduceFullAccess` está en vías de quedar obsoleta y ya no se recomienda su uso con Amazon EMR. En su lugar, utilice [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md). Cuando el servicio de IAM haga que la política de la versión 1 quede obsoleta, ya no podrá asociarla a ningún rol. Sin embargo, puede adjuntar un rol existente a un clúster incluso si ese rol usa la política obsoleta.
Las políticas administradas de forma predeterminada con todos los permisos de Amazon EMR incorporan configuraciones de seguridad `iam:PassRole`, entre las que se incluyen las siguientes:
+ Permisos `iam:PassRole` solo para roles específicos de Amazon EMR predeterminados.
+ `iam:PassedToService`condiciones que le permiten usar la política solo con AWS servicios específicos, como `elasticmapreduce.amazonaws.com` y. `ec2.amazonaws.com`
Puede ver la versión JSON de las políticas [Amazon EMRFull AccessPolicy \$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRFullAccessPolicy_v2) y [Amazon EMRService Policy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2) en la consola de IAM. Le recomendamos crear nuevos clústeres con las políticas administradas de la versión 2.
Puede ver el contenido de la política de la versión 1, que está obsoleta, en at. Consola de administración de AWS [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonElasticMapReduceFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonElasticMapReduceFullAccess) La acción `ec2:TerminateInstances` de la política otorga permiso a un usuario o rol para cancelar cualquiera de las instancias de Amazon EC2 asociadas a la cuenta de IAM. Esto incluye instancias que no forman parte de un clúster de EMR.
# Política administrada por IAM para el acceso de solo lectura (política predeterminada administrada de la versión 2) para Amazon EMR
Para conceder privilegios de solo lectura a Amazon EMR, adjunte la política gestionada **Amazon EMRRead OnlyAccessPolicy** \$1v2. Esta política administrada predeterminada reemplaza a la política administrada [`AmazonElasticMapReduceReadOnlyAccess`](emr-managed-policy-readonly.md). El contenido de esta instrucción de la política se muestra en el siguiente fragmento: En comparación con la política `AmazonElasticMapReduceReadOnlyAccess`, la política `AmazonEMRReadOnlyAccessPolicy_v2` no utiliza caracteres comodín para el elemento `elasticmapreduce`. En su lugar, la política de la versión 2 predeterminada determina el ámbito de aplicación de las acciones `elasticmapreduce` permitidas.
**nota**
También puede utilizar el Consola de administración de AWS enlace para ver la política [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRReadOnlyAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRReadOnlyAccessPolicy_v2).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ElasticMapReduceActions",
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:DescribeJobFlows",
"elasticmapreduce:DescribeSecurityConfiguration",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:DescribeReleaseLabel",
"elasticmapreduce:GetBlockPublicAccessConfiguration",
"elasticmapreduce:GetManagedScalingPolicy",
"elasticmapreduce:GetAutoTerminationPolicy",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListEditors",
"elasticmapreduce:ListInstanceFleets",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListInstances",
"elasticmapreduce:ListSecurityConfigurations",
"elasticmapreduce:ListSteps",
"elasticmapreduce:ListSupportedInstanceTypes",
"elasticmapreduce:ViewEventsFromAllClustersInConsole"
],
"Resource": [
"*"
]
},
{
"Sid": "ViewMetricsInEMRConsole",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
]
}
]
}
```
------
# Política administrada por IAM para obtener acceso de solo lecturas (en vías de quedar obsoleta)
La política administrada `AmazonElasticMapReduceReadOnlyAccess` está en vías de quedar obsoleta. No puede adjuntar esta política al lanzar nuevos clústeres. `AmazonElasticMapReduceReadOnlyAccess` se ha sustituido por [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md), que ahora es la política administrada predeterminada de Amazon EMR. El contenido de esta instrucción de la política se muestra en el siguiente fragmento: Los caracteres comodín para el elemento `elasticmapreduce` especifican que solo se permiten las acciones que empiezan por las cadenas especificadas. Tenga en cuenta que, dado que esta política no deniega acciones explícitamente, se puede seguir utilizando una instrucción de política distinta para otorgar acceso a acciones especificadas.
**nota**
También puede utilizar el Consola de administración de AWS para ver la política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:Describe*",
"elasticmapreduce:List*",
"elasticmapreduce:ViewEventsFromAllClustersInConsole",
"s3:GetObject",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"sdb:Select",
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
],
"Sid": "AllowELASTICMAPREDUCEDescribe"
}
]
}
```
------
# AWS política gestionada: EMRDescribe ClusterPolicyFor EMRAL
No puede asociar `EMRDescribeClusterPolicyForEMRWAL` a sus entidades IAM. Esta política está adjunta a un rol vinculado a servicios que permite a Amazon EMR realizar acciones en su nombre. Para obtener más información sobre este rol vinculado a servicios, consulte [Uso de roles vinculados a servicios con Amazon EMR para el registro de escritura anticipada](using-service-linked-roles-wal.md).
Esta política concede permisos de solo lectura que permiten al servicio WAL de Amazon EMR encontrar y devolver el estado de un clúster. Para obtener más información sobre Amazon EMR WAL, consulte [Registros de escritura anticipada (WAL) para Amazon EMR](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-hbase-wal.html).
**Detalles de los permisos**
Esta política incluye los permisos siguientes:
+ `emr` – Permite a las entidades principales describir el estado de clúster de Amazon EMR. Esto es necesario para que Amazon EMR pueda confirmar la finalización de un clúster y, después de treinta días, limpiar todos los registros de WAL que haya dejado el clúster.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster"
],
"Resource": [
"*"
],
"Sid": "AllowELASTICMAPREDUCEDescribecluster"
}
]
}
```
------
## AWS políticas gestionadas para Amazon EMR
Una política AWS administrada es una política independiente creada y administrada por. AWS AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
# Amazon EMR actualiza las políticas gestionadas AWS
Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas para Amazon EMR desde que este servicio comenzó a realizar el seguimiento de estos cambios.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md): actualización de una política actual | Se agregaron ec2:CreateVpcEndpoint, ec2:ModifyVpcEndpoint y ec2:CreateTags, necesarios para obtener un funcionamiento óptimo a partir de Amazon EMR 7.5.0. | 4 de marzo de 2025 |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md): actualización de una política actual | También se agregaron elasticmapreduce:CreatePersistentAppUI, elasticmapreduce:DescribePersistentAppUI y elasticmapreduce:GetPersistentAppUIPresignedURL. | 28 de febrero de 2025 |
| [`EMRDescribeClusterPolicyForEMRWAL`](EMRDescribeClusterPolicyForEMRWAL.md): política nueva | Se agregó una nueva política para que Amazon EMR pueda determinar el estado del clúster para la limpieza de WAL treinta días después de la finalización del clúster. | 10 de agosto de 2023 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) y [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md): actualización de una política existente | Se añadieron elasticmapreduce:DescribeReleaseLabel y elasticmapreduce:GetAutoTerminationPolicy. | 21 de abril de 2022 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md): actualización de una política actual | Se agregó ec2:DescribeImages para [Uso de una AMI personalizada para ofrecer más flexibilidad a la configuración del clúster de Amazon EMR](emr-custom-ami.md). | 15 de febrero de 2022 |
| [**Políticas administradas por Amazon EMR**](emr-managed-iam-policies.md) | Se actualizó para aclarar el uso de etiquetas de usuario predefinidas. Se agregó una sección sobre el uso de la AWS consola para lanzar clústeres con políticas administradas en la versión 2. | 29 de septiembre de 2021 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md): actualización de una política actual | Se modificaron las acciones PassRoleForEC2 y PassRoleForAutoScaling para que usen el operador de condición StringLike y que así coincidan con "iam:PassedToService":"application-autoscaling.amazonaws.com\$1" y "iam:PassedToService":"ec2.amazonaws.com\$1", respectivamente. | 20 de mayo de 2021 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md): actualización de una política actual | Se ha eliminado la acción no válida `s3:ListBuckets` y se ha sustituido por la acción `s3:ListAllMyBuckets`. Se actualizó la creación de roles vinculados a un servicio (SLR) para que se limite explícitamente al único rol que tiene Amazon EMR con principios de servicio explícitos. Los SLRs que se pueden crear son exactamente los mismos que antes de este cambio. | 23 de marzo de 2021 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md): política nueva | Amazon EMR ha agregado nuevos permisos para limitar el acceso a los recursos y para agregar un requisito previo según el cual los usuarios deben agregar una etiqueta de usuario predefinida a los recursos antes de poder utilizar las políticas administradas de Amazon EMR. La acción `iam:PassRole` requiere que se establezca una condición `iam:PassedToService` en un servicio específico. El acceso a Amazon EC2, Amazon S3 y otros servicios no está permitido de forma predeterminada. | 11 de marzo de 2021 |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md): política nueva | Agrega un requisito previo según el cual los usuarios deben agregar etiquetas de usuario a los recursos antes de poder utilizar esta política. | 11 de marzo de 2021 |
| [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md): política nueva | Los permisos permiten únicamente acciones específicas de solo lectura de elasticmapreduce. El acceso a Amazon S3 no está permitido de forma predeterminada. | 11 de marzo de 2021 |
| Amazon EMR ha comenzado a hacer un seguimiento de los cambios | Amazon EMR comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas. | 11 de marzo de 2021 |