Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Politiques gérées par Amazon EMR
Le moyen le plus simple d'accorder un accès complet ou un accès en lecture seule aux actions requises d'Amazon EMR est d'utiliser les politiques IAM gérées pour Amazon EMR. Les stratégies gérées offrent l'avantage de mises à jour automatiques dès que les exigences d'autorisations varient. Si vous utilisez des stratégies en ligne, il se peut que vous rencontriez des erreurs d'autorisation.
Amazon EMR va supprimer les politiques gérées existantes (politiques v1) au profit de nouvelles politiques gérées (politiques v2). Les nouvelles politiques gérées ont été réduites afin de s'aligner sur les AWS meilleures pratiques. Une fois que les politiques gérées v1 existantes auront été supprimées, vous ne pourrez plus les associer à de nouveaux rôles ou utilisateurs IAM. Les rôles et utilisateurs existants qui utilisent des politiques obsolètes peuvent continuer à les utiliser. Les politiques gérées v2 restreignent l'accès au moyen de balises. Elles n'autorisent que les actions Amazon EMR spécifiées et nécessitent des ressources de cluster étiquetées avec une clé spécifique à EMR. Nous vous recommandons de lire attentivement la documentation avant d'utiliser les nouvelles politiques v2.
Les politiques v1 seront marquées comme étant obsolètes avec une icône d'avertissement à côté d'elles dans la liste **Politiques** de la console IAM. Les politiques obsolètes auront les caractéristiques suivantes :
+ Elles continueront à fonctionner pour tous les utilisateurs, groupes et rôles actuellement attachés. Aucun élément ne cesse de fonctionner.
+ Elles ne peuvent pas être attachées à de nouveaux utilisateurs, groupes ou rôles. Si vous détachez l'une des politiques d'une entité actuelle, vous ne pouvez pas la rattacher.
+ Une fois que vous avez détaché une politique v1 de toutes les entités actuelles, la politique n'est plus visible et ne peut plus être utilisée.
Le tableau suivant récapitule les modifications entre les politiques actuelles (v1) et les politiques v2.
**Amazon EMR a géré les modifications de politique**
| Type de politique | Noms des politiques | Objectif de la politique | Modifications apportées à la politique v2 |
| --- | --- | --- | --- |
| Rôle du service EMR par défaut et politique gérée associée | Nom du rôle : **EMR\$1 DefaultRole** Politique V1 (à déconseiller) : (rôle de **AmazonElasticMapReduceRole**service EMR) Nom de la politique V2 (limitée) : [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) | Permet à Amazon EMR d'appeler d'autres AWS services en votre nom lors de la mise en service des ressources et de l'exécution d'actions au niveau des services. Ce rôle est obligatoire pour tous les clusters. | La politique ajoute la nouvelle autorisation`"ec2:DescribeInstanceTypeOfferings"`. Cette opération d'API renvoie une liste de types d'instances pris en charge par une liste de zones de disponibilité données. |
| Politique gérée par IAM pour un accès complet à Amazon EMR par utilisateur, rôle ou groupe attaché | Nom de la politique V2 (limitée) : [`AmazonEMRServicePolicy_v2`](emr-managed-policy-fullaccess-v2.md) | Accorde aux utilisateurs des autorisations complètes pour les actions EMR. Inclut iam : PassRole autorisations pour les ressources. | La politique ajoute une condition préalable selon laquelle les utilisateurs doivent ajouter des balises d'utilisateur aux ressources avant de pouvoir utiliser cette politique. Consultez [Balisage des ressources pour l'utilisation des politiques gérées](#manually-tagged-resources). iam : PassRole action nécessite que la PassedToService condition iam : soit définie sur le service spécifié. L'accès à Amazon EC2, Amazon S3 et à d'autres services n'est pas autorisé par défaut. Consultez [Politique IAM gérée pour un accès complet (politique gérée par défaut v2)](emr-managed-policy-fullaccess-v2.md). |
| Politique IAM pour l'accès en lecture seule par l'utilisateur, le rôle ou le groupe attaché. | Politique V1 (qui sera obsolète) : [`AmazonElasticMapReduceReadOnlyAccess`](emr-managed-policy-readonly.md) Nom de la politique V2 (limitée) : [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) | Accorde aux utilisateurs des autorisations en lecture seule pour les actions Amazon EMR. | Les autorisations ne permettent que les actions en lecture seule spécifiées d'elasticmapreduce. L'accès à Amazon S3 n'est pas autorisé par défaut. Consultez [Politique IAM gérée pour l'accès en lecture seule (politique gérée par défaut v2)](emr-managed-policy-readonly-v2.md). |
| Rôle du service EMR par défaut et politique gérée associée | Nom du rôle : **EMR\$1 DefaultRole** Politique V1 (à déconseiller) : (rôle de **AmazonElasticMapReduceRole**service EMR) Nom de la politique V2 (limitée) : [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) | Permet à Amazon EMR d'appeler d'autres AWS services en votre nom lors de la mise en service des ressources et de l'exécution d'actions au niveau des services. Ce rôle est obligatoire pour tous les clusters. | Le rôle de service v2 et la politique par défaut v2 remplacent le rôle et la politique obsolètes. La politique ajoute une condition préalable selon laquelle les utilisateurs doivent ajouter des balises d'utilisateur aux ressources avant de pouvoir utiliser cette politique. Consultez [Balisage des ressources pour l'utilisation des politiques gérées](#manually-tagged-resources). Consultez [Rôle de service pour Amazon EMR (rôle EMR)](emr-iam-role.md). |
| Rôle de service pour les instances EC2 de cluster (profil d'instance EC2) | Nom du rôle : **EMR\$1 \$1 EC2 DefaultRole** **Nom de la politique obsolète : Role AmazonElasticMapReducefor EC2** | Permet aux applications exécutées sur un cluster EMR d'accéder à d'autres ressources AWS , telles qu'Amazon S3. Par exemple, si vous exécutez des tâches Apache Spark qui traitent des données provenant d'Amazon S3, la politique doit autoriser l'accès à ces ressources. | Le rôle et la politique par défaut sont tous deux sur le point d'être obsolètes. Il n'existe aucun rôle ou politique géré AWS par défaut de remplacement. Vous devez fournir une politique basée sur les ressources ou sur l'identité. Cela signifie que, par défaut, les applications s'exécutant sur un cluster EMR n'ont pas accès à Amazon S3 ou à d'autres ressources, à moins que vous ne les ajoutiez manuellement à la politique. Consultez [Rôle et stratégie gérée par défaut](emr-iam-role-for-ec2.md#emr-ec2-role-default). |
| Autres politiques relatives aux rôles de service EC2 | Noms des politiques actuelles : **AmazonElasticMapReduceforAutoScalingRole, AmazonElasticMapReduceEditorsRole, Amazon EMRCleanup Policy** | Fournit les autorisations dont Amazon EMR a besoin pour accéder à d'autres AWS ressources et effectuer des actions en cas d'utilisation du dimensionnement automatique, de blocs-notes ou pour nettoyer les ressources EC2. | Aucun changement pour la version 2. |
## Fixation de l'objectif : PassRole
Les politiques gérées par défaut d'Amazon EMR avec autorisations complètes intègrent des configurations de sécurité `iam:PassRole`, notamment les suivantes :
+ Les autorisations `iam:PassRole` uniquement pour des rôles Amazon EMR par défaut spécifiques.
+ `iam:PassedToService`conditions qui vous permettent d'utiliser la politique uniquement avec AWS des services spécifiques, tels que `elasticmapreduce.amazonaws.com` et`ec2.amazonaws.com`.
Vous pouvez consulter la version JSON des politiques [Amazon EMRFull AccessPolicy \$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRFullAccessPolicy_v2) et [Amazon EMRService Policy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2) dans la console IAM. Nous vous recommandons de créer de nouveaux clusters avec les politiques gérées v2.
Pour créer des stratégies personnalisées, nous vous recommandons de commencer avec des stratégies gérées, puis de les modifier selon vos besoins.
Pour plus d'informations sur la manière d'attacher des politiques à des utilisateurs (principaux), consultez [Utilisation de politiques gérées à l'aide de la AWS Management Console](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html#policies_using-managed-console) dans le *Guide de l'utilisateur IAM*.
## Balisage des ressources pour l'utilisation des politiques gérées
**Amazon EMRService Policy\$1v2** et **Amazon EMRFull AccessPolicy \$1v2** dépendent d'un accès limité aux ressources qu'Amazon EMR fournit ou utilise. La réduction de la portée est obtenue en limitant l'accès aux seules ressources associées à une balise utilisateur prédéfinie. Lorsque vous utilisez l'une de ces deux politiques, vous devez transmettre la balise utilisateur prédéfinie `for-use-with-amazon-emr-managed-policies = true` lorsque vous provisionnez le cluster. Amazon EMR propagera alors automatiquement ces balises. Vous devez également ajouter une balise utilisateur aux ressources énumérées dans la section suivante. Si vous utilisez la console Amazon EMR pour lancer votre cluster, consultez [Considérations relatives à l'utilisation de la console Amazon EMR pour lancer des clusters avec des politiques gérées v2](#emr-cluster-v2policy-awsconsole-launch).
Pour utiliser des politiques gérées, transmettez la balise utilisateur `for-use-with-amazon-emr-managed-policies = true` lorsque vous provisionnez un cluster à l'aide de la CLI, du kit SDK ou d'une autre méthode.
Lorsque vous transmettez la balise, Amazon EMR propage la balise vers le sous-réseau privé ENI, l'instance EC2 et les volumes EBS qu'il crée. Amazon EMR balise également automatiquement les groupes de sécurité qu'il crée. Toutefois, si vous voulez qu'Amazon EMR soit lancé avec un certain groupe de sécurité, vous devez le baliser. Pour les ressources qui ne sont pas créées par Amazon EMR, vous devez ajouter des balises à ces ressources. Par exemple, vous devez baliser les sous-réseaux Amazon EC2, les groupes de sécurité EC2 (s'ils ne sont pas créés par Amazon EMR) et (si VPCs vous souhaitez qu'Amazon EMR crée des groupes de sécurité). Pour lancer des clusters avec des politiques gérées dans la version v2 VPCs, vous devez les étiqueter VPCs avec le tag utilisateur prédéfini. Consultez [Considérations relatives à l'utilisation de la console Amazon EMR pour lancer des clusters avec des politiques gérées v2](#emr-cluster-v2policy-awsconsole-launch).
**Balisage propagé spécifié par l'utilisateur**
Amazon EMR balise les ressources qu'il crée à l'aide des balises Amazon EMR que vous spécifiez lors de la création d'un cluster. Amazon EMR applique des balises aux ressources qu'il crée pendant la durée de vie du cluster.
Amazon EMR propage les balises utilisateur pour les ressources suivantes :
+ Sous-réseau privé ENI (interfaces réseau élastiques d'accès aux services)
+ Instances EC2
+ Volumes EBS
+ Modèle de lancement EC2
**Groupes de sécurité balisés automatiquement**
Amazon EMR balise les groupes de sécurité EC2 qu'il crée avec la balise requise pour les politiques gérées v2 pour Amazon EMR, `for-use-with-amazon-emr-managed-policies`, quelles que soient les balises que vous spécifiez dans la commande de création de cluster. Pour un groupe de sécurité créé avant l'introduction des politiques gérées v2, Amazon EMR ne balise pas automatiquement le groupe de sécurité. Si vous voulez utiliser des politiques gérées v2 avec les groupes de sécurité par défaut qui existent déjà dans le compte, vous devez baliser les groupes de sécurité manuellement avec `for-use-with-amazon-emr-managed-policies = true`.
**Ressources de cluster balisées manuellement**
Vous devez baliser manuellement certaines ressources du cluster afin que les rôles par défaut d'Amazon EMR puissent y accéder.
+ Vous devez baliser manuellement les groupes de sécurité EC2 et les sous-réseaux EC2 avec la balise de politique gérée Amazon EMR `for-use-with-amazon-emr-managed-policies`.
+ Vous devez baliser manuellement un VPC si vous voulez qu'Amazon EMR crée des groupes de sécurité par défaut. EMR essaiera de créer un groupe de sécurité avec la balise spécifique si le groupe de sécurité par défaut n'existe pas déjà.
Amazon EMR balise automatiquement les ressources suivantes :
+ Groupes de sécurité EC2 créés par EMR
Vous devez baliser manuellement les ressources suivantes :
+ Sous-réseau EC2
+ Groupes de sécurité EC2
Vous pouvez, en option, baliser manuellement les ressources suivantes :
+ VPC : uniquement lorsque vous voulez qu'Amazon EMR crée des groupes de sécurité
## Considérations relatives à l'utilisation de la console Amazon EMR pour lancer des clusters avec des politiques gérées v2
Vous pouvez provisionner des clusters avec des politiques gérées v2 à l'aide de la console Amazon EMR. Voici quelques points à prendre en compte lorsque vous utilisez la console pour lancer des clusters Amazon EMR.
+ Il n'est pas nécessaire de transmettre la balise prédéfinie. Amazon EMR ajoute automatiquement la balise et la propage aux composants appropriés.
+ Pour les composants qui doivent être balisés manuellement, l'ancienne console Amazon EMR essaie de les baliser automatiquement si vous disposez des autorisations requises pour baliser les ressources. Si vous n'êtes pas autorisé à étiqueter des ressources ou si vous souhaitez utiliser la console, demandez à votre administrateur de baliser ces ressources.
+ Vous ne pouvez pas lancer de clusters avec des politiques gérées v2 si toutes les conditions préalables ne sont pas remplies.
+ L'ancienne console Amazon EMR vous indique quelles ressources (VPC/sous-réseaux) doivent être balisées.
# Politique gérée par IAM pour un accès complet (politique par défaut gérée v2) pour Amazon EMR
Les politiques gérées par défaut EMR limitées à la v2 accordent des privilèges d'accès spécifiques aux utilisateurs. Elles nécessitent une balise de ressource Amazon EMR prédéfinie et des clés de condition `iam:PassRole` pour les ressources utilisées par Amazon EMR, telles que `Subnet` et `SecurityGroup` que vous utilisez pour lancer votre cluster.
Pour accorder les actions requises limitées à Amazon EMR, attachez la politique gérée par `AmazonEMRFullAccessPolicy_v2`. Cette politique gérée par défaut mise à jour remplace la politique gérée [`AmazonElasticMapReduceFullAccess`](emr-managed-policy-fullaccess.md).
`AmazonEMRFullAccessPolicy_v2` dépend de l'accès limité aux ressources qu'Amazon EMR fournit ou utilise. Lorsque vous utilisez cette politique, vous devez transmettre la balise utilisateur `for-use-with-amazon-emr-managed-policies = true` lors du provisionnement du cluster. Amazon EMR propagera automatiquement la balise. Vous pouvez également avoir besoin d'ajouter manuellement une balise utilisateur à des types de ressources spécifiques, tels que les groupes de sécurité EC2 qui n'ont pas été créés par Amazon EMR. Pour de plus amples informations, veuillez consulter [Balisage des ressources pour l'utilisation des politiques gérées](emr-managed-iam-policies.md#manually-tagged-resources).
La politique [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2) sécurise les ressources en procédant comme suit :
+ Nécessite que les ressources soient balisées avec la balise prédéfinie des politiques gérées par Amazon EMR `for-use-with-amazon-emr-managed-policies` pour la création de clusters et l'accès à Amazon EMR.
+ Limite l'action `iam:PassRole` à des rôles par défaut spécifiques et l'accès `iam:PassedToService` à des services spécifiques.
+ Ne donne plus accès à Amazon EC2, Amazon S3 et à d'autres services par défaut.
Voici le contenu de cette politique.
**Note**
Vous pouvez également utiliser le lien de la console [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2) pour afficher la politique.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RunJobFlowExplicitlyWithEMRManagedTag",
"Effect": "Allow",
"Action": [
"elasticmapreduce:RunJobFlow"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "ElasticMapReduceActions",
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddInstanceFleet",
"elasticmapreduce:AddInstanceGroups",
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:AddTags",
"elasticmapreduce:CancelSteps",
"elasticmapreduce:CreateEditor",
"elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:CreateSecurityConfiguration",
"elasticmapreduce:DeleteEditor",
"elasticmapreduce:DeleteSecurityConfiguration",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:DescribeJobFlows",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:DescribeSecurityConfiguration",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:DescribeReleaseLabel",
"elasticmapreduce:GetBlockPublicAccessConfiguration",
"elasticmapreduce:GetManagedScalingPolicy",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"elasticmapreduce:GetAutoTerminationPolicy",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListEditors",
"elasticmapreduce:ListInstanceFleets",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListInstances",
"elasticmapreduce:ListSecurityConfigurations",
"elasticmapreduce:ListSteps",
"elasticmapreduce:ListSupportedInstanceTypes",
"elasticmapreduce:ModifyCluster",
"elasticmapreduce:ModifyInstanceFleet",
"elasticmapreduce:ModifyInstanceGroups",
"elasticmapreduce:OpenEditorInConsole",
"elasticmapreduce:PutAutoScalingPolicy",
"elasticmapreduce:PutBlockPublicAccessConfiguration",
"elasticmapreduce:PutManagedScalingPolicy",
"elasticmapreduce:RemoveAutoScalingPolicy",
"elasticmapreduce:RemoveManagedScalingPolicy",
"elasticmapreduce:RemoveTags",
"elasticmapreduce:SetTerminationProtection",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:TerminateJobFlows",
"elasticmapreduce:ViewEventsFromAllClustersInConsole"
],
"Resource": [
"*"
]
},
{
"Sid": "ViewMetricsInEMRConsole",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
]
},
{
"Sid": "PassRoleForElasticMapReduce",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_DefaultRole",
"arn:aws:iam::*:role/EMR_DefaultRole_V2"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "elasticmapreduce.amazonaws.com*"
}
}
},
{
"Sid": "PassRoleForEC2",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_EC2_DefaultRole"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "ec2.amazonaws.com*"
}
}
},
{
"Sid": "PassRoleForAutoScaling",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_AutoScaling_DefaultRole"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "application-autoscaling.amazonaws.com*"
}
}
},
{
"Sid": "ElasticMapReduceServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/elasticmapreduce.amazonaws.com*/AWSServiceRoleForEMRCleanup*"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"elasticmapreduce.amazonaws.com",
"elasticmapreduce.amazonaws.com.rproxy.govskope.us.cn"
]
}
}
},
{
"Sid": "ConsoleUIActions",
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeKeyPairs",
"ec2:DescribeNatGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"s3:ListAllMyBuckets",
"iam:ListRoles"
],
"Resource": [
"*"
]
}
]
}
```
------
# Politique gérée par IAM pour un accès complet (sur le point de devenir obsolète)
Les politiques gérées `AmazonElasticMapReduceFullAccess` et `AmazonEMRFullAccessPolicy_v2` Gestion des identités et des accès AWS (IAM) accordent toutes les actions requises pour Amazon EMR et d'autres services.
**Important**
La politique gérée `AmazonElasticMapReduceFullAccess` est sur le point de devenir obsolète et son utilisation avec Amazon EMR n'est plus recommandée. Utilisez à la place [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md). Lorsque le service IAM rendra la politique v1 obsolète, vous ne pourrez plus l'attacher à un rôle. Toutefois, vous pouvez associer un rôle existant à un cluster même si ce rôle utilise la politique obsolète.
Les politiques gérées par défaut d'Amazon EMR avec autorisations complètes intègrent des configurations de sécurité `iam:PassRole`, notamment les suivantes :
+ Les autorisations `iam:PassRole` uniquement pour des rôles Amazon EMR par défaut spécifiques.
+ `iam:PassedToService`conditions qui vous permettent d'utiliser la politique uniquement avec AWS des services spécifiques, tels que `elasticmapreduce.amazonaws.com` et`ec2.amazonaws.com`.
Vous pouvez consulter la version JSON des politiques [Amazon EMRFull AccessPolicy \$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRFullAccessPolicy_v2) et [Amazon EMRService Policy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2) dans la console IAM. Nous vous recommandons de créer de nouveaux clusters avec les politiques gérées v2.
Vous pouvez consulter le contenu de la politique obsolète v1 dans le AWS Management Console fichier at. [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonElasticMapReduceFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonElasticMapReduceFullAccess) L'action `ec2:TerminateInstances` prévue dans la politique autorise un utilisateur ou un rôle à résilier l'une des instances Amazon EC2 associées au compte IAM. Cela inclut les instances qui ne font pas partie d'un cluster EMR.
# Politique gérée par IAM pour l'accès en lecture seule (politique par défaut gérée v2) pour Amazon EMR
Pour accorder des privilèges de lecture seule à Amazon EMR, joignez la politique gérée **Amazon EMRRead OnlyAccessPolicy** \$1v2. Cette politique gérée par défaut remplace la politique gérée [`AmazonElasticMapReduceReadOnlyAccess`](emr-managed-policy-readonly.md). Le contenu de cette déclaration de politique est repris dans l'extrait suivant. Par rapport à la politique `AmazonElasticMapReduceReadOnlyAccess`, la politique `AmazonEMRReadOnlyAccessPolicy_v2` n'utilise pas de caractères génériques pour l'élément `elasticmapreduce`. Au lieu de cela, la politique v2 par défaut définit le champ d'application des actions `elasticmapreduce` autorisées.
**Note**
Vous pouvez également utiliser le AWS Management Console lien [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRReadOnlyAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRReadOnlyAccessPolicy_v2)pour consulter la politique.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ElasticMapReduceActions",
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:DescribeJobFlows",
"elasticmapreduce:DescribeSecurityConfiguration",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:DescribeReleaseLabel",
"elasticmapreduce:GetBlockPublicAccessConfiguration",
"elasticmapreduce:GetManagedScalingPolicy",
"elasticmapreduce:GetAutoTerminationPolicy",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListEditors",
"elasticmapreduce:ListInstanceFleets",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListInstances",
"elasticmapreduce:ListSecurityConfigurations",
"elasticmapreduce:ListSteps",
"elasticmapreduce:ListSupportedInstanceTypes",
"elasticmapreduce:ViewEventsFromAllClustersInConsole"
],
"Resource": [
"*"
]
},
{
"Sid": "ViewMetricsInEMRConsole",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
]
}
]
}
```
------
# Politique IAM gérée pour l'accès en lecture seule (sur le point de devenir obsolète)
La politique gérée `AmazonElasticMapReduceReadOnlyAccess` est sur le point de devenir obsolète. Vous ne pouvez pas attacher cette politique lors du lancement de nouveaux clusters. `AmazonElasticMapReduceReadOnlyAccess` a été remplacé par [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) en tant que politique gérée par défaut d'Amazon EMR. Le contenu de cette déclaration de politique est repris dans l'extrait suivant. Les caractères génériques de l'élément `elasticmapreduce` indiquent que seules les actions commençant par des chaînes spécifiées sont autorisées. Gardez à l'esprit que, si cette stratégie n'empêche pas explicitement certaines actions, une autre déclaration de stratégie peut toutefois être utilisée pour accorder l'accès aux actions spécifiées.
**Note**
Vous pouvez également utiliser le AWS Management Console pour consulter la politique.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:Describe*",
"elasticmapreduce:List*",
"elasticmapreduce:ViewEventsFromAllClustersInConsole",
"s3:GetObject",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"sdb:Select",
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
],
"Sid": "AllowELASTICMAPREDUCEDescribe"
}
]
}
```
------
# AWS politique gérée : EMRDescribe ClusterPolicyFor EMRWAL
Vous ne pouvez pas joindre de `EMRDescribeClusterPolicyForEMRWAL` à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet à Amazon EMR d'effectuer des actions en votre nom. Pour plus d'informations sur ce rôle lié à un service, consultez. [Utilisation de rôles liés à un service avec Amazon EMR pour la journalisation anticipée](using-service-linked-roles-wal.md)
Cette politique accorde des autorisations en lecture seule qui permettent au service WAL pour Amazon EMR de rechercher et de renvoyer l'état d'un cluster. Pour plus d'informations sur Amazon EMR WAL, consultez la section Write [ahead logs (WAL) pour Amazon](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-hbase-wal.html) EMR.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes :
+ `emr`— Permet aux principaux de décrire l'état du cluster à partir d'Amazon EMR. Cela est nécessaire pour qu'Amazon EMR puisse confirmer la fermeture d'un cluster, puis, au bout de trente jours, nettoyer tous les journaux WAL laissés par le cluster.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster"
],
"Resource": [
"*"
],
"Sid": "AllowELASTICMAPREDUCEDescribecluster"
}
]
}
```
------
## AWS politiques gérées pour Amazon EMR
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
# Mises à jour des politiques gérées par Amazon EMR AWS
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon EMR depuis que ce service a commencé à suivre ces modifications.
| Modifier | Description | Date |
| --- | --- | --- |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) – Mise à jour d’une stratégie existante | Ajouté ec2:CreateVpcEndpoint et ec2:CreateTags requis pour une expérience optimale, à partir de la version 7.5.0 d'Amazon EMR. ec2:ModifyVpcEndpoint | 4 mars 2025 |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) : mise à jour d’une politique existante | Ajouté elasticmapreduce:CreatePersistentAppUIelasticmapreduce:DescribePersistentAppUI, etelasticmapreduce:GetPersistentAppUIPresignedURL. | 28 février 2025 |
| [`EMRDescribeClusterPolicyForEMRWAL`](EMRDescribeClusterPolicyForEMRWAL.md) : nouvelle politique | Ajout d'une nouvelle politique afin qu'Amazon EMR puisse déterminer l'état du cluster pour le nettoyage du WAL trente jours après la fin du cluster. | 10 août 2023 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) et [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) : mise à jour d'une stratégie existante | Ajout de elasticmapreduce:DescribeReleaseLabel et de elasticmapreduce:GetAutoTerminationPolicy. | 21 avril 2022 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) : mise à jour d’une politique existante | Ajout de ec2:DescribeImages pour [Utilisation d'une AMI personnalisée pour apporter plus de flexibilité à la configuration du cluster Amazon EMR](emr-custom-ami.md). | 15 février 2022 |
| [**Politiques gérées par Amazon EMR**](emr-managed-iam-policies.md) | Mis à jour pour clarifier l'utilisation de balises utilisateur prédéfinies. Ajout d'une section sur l'utilisation de la AWS console pour lancer des clusters avec des politiques gérées dans la version 2. | 29 septembre 2021 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) : mise à jour d’une politique existante | Modification des actions PassRoleForAutoScaling et PassRoleForEC2 pour utiliser l'opérateur de condition StringLike pour correspondre à "iam:PassedToService":"application-autoscaling.amazonaws.com\$1" et "iam:PassedToService":"ec2.amazonaws.com\$1", respectivement. | 20 mai 2021 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) : mise à jour d’une politique existante | L'action non valide `s3:ListBuckets` a été supprimée et remplacée par l'action `s3:ListAllMyBuckets`. La création de rôles liés à un service (SLR) a été mise à jour pour être explicitement limitée au seul SLR dont dispose Amazon EMR avec des principes de service explicites. Les SLRs éléments qui peuvent être créés sont exactement les mêmes qu'avant cette modification. | 23 mars 2021 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) : nouvelle politique | Amazon EMR a ajouté de nouvelles autorisations pour limiter l'accès aux ressources et pour ajouter une condition préalable selon laquelle les utilisateurs doivent ajouter une balise utilisateur prédéfinie aux ressources avant de pouvoir utiliser les politiques gérées par Amazon EMR. L'action `iam:PassRole` nécessite que la condition `iam:PassedToService` soit définie sur le service spécifié. L'accès à Amazon EC2, Amazon S3 et à d'autres services n'est pas autorisé par défaut. | 11 mars 2021 |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) : nouvelle politique | Ajoute une condition préalable selon laquelle les utilisateurs doivent ajouter des balises utilisateur aux ressources avant de pouvoir utiliser cette politique. | 11 mars 2021 |
| [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) : nouvelle politique | Les autorisations ne permettent que les actions en lecture seule spécifiées d'elasticmapreduce. L'accès à Amazon S3 n'est pas autorisé par défaut. | 11 mars 2021 |
| Amazon EMR a commencé à assurer le suivi des modifications | Amazon EMR a commencé à suivre les modifications apportées à ses politiques AWS gérées. | 11 mars 2021 |