Perfil de instancia de EC2 para Amazon EMR

Amazon EMR utiliza un rol de servicio de IAM para realizar acciones en su nombre para aprovisionar y administrar clústeres. El rol de servicio para instancias de EC2 de clúster, también conocido como el perfil de instancia de EC2 para Amazon EMR, es un tipo especial de rol de servicio asignado a cada instancia de EC2 de un clúster en el momento del lanzamiento.

Para definir los permisos para la interacción del clúster de EMR con los datos de Amazon S3 y con el metaalmacén de Hive protegido por Apache Ranger y otros AWS servicios, defina un perfil de instancia EC2 personalizado para usarlo en lugar del que se utiliza al lanzar el EMR_EC2_DefaultRole clúster.

Para obtener más información, consulte Rol de servicio para instancias de EC2 del clúster (perfil de instancia de EC2) y Personalización de roles de IAM con Amazon EMR.

Debe añadir las siguientes instrucciones al perfil de instancia EC2 predeterminado de Amazon EMR para poder etiquetar las sesiones y acceder al que almacena AWS Secrets Manager los certificados TLS.

    {
      "Sid": "AllowAssumeOfRolesAndTagging",
      "Effect": "Allow",
      "Action": ["sts:TagSession", "sts:AssumeRole"],
      "Resource": [
        "arn:aws:iam::<AWS_ACCOUNT_ID>:role/<RANGER_ENGINE-PLUGIN_DATA_ACCESS_ROLE_NAME>",
        "arn:aws:iam::<AWS_ACCOUNT_ID>:role/<RANGER_USER_ACCESS_ROLE_NAME>"
      ]
    },
    {
        "Sid": "AllowSecretsRetrieval",
        "Effect": "Allow",
        "Action": "secretsmanager:GetSecretValue",
        "Resource": [
            "arn:aws:secretsmanager:<REGION>:<AWS_ACCOUNT_ID>:secret:<PLUGIN_TLS_SECRET_NAME>*",
            "arn:aws:secretsmanager:<REGION>:<AWS_ACCOUNT_ID>:secret:<ADMIN_RANGER_SERVER_TLS_SECRET_NAME>*"
        ]
    }