profil d'instance EC2 pour Amazon EMR

Amazon EMR utilise un rôle de service IAM pour effectuer des actions en votre nom afin d'allouer et de gérer les clusters. Le rôle de service pour les instances EC2 de cluster, également appelé profil d'instance EC2 pour Amazon EMR, est un type spécial de rôle de service attribué à chaque instance EC2 d'un cluster au moment du lancement.

Pour définir les autorisations d'interaction du cluster EMR avec les données Amazon S3 et avec le métastore Hive protégé par Apache Ranger et d'autres AWS services, définissez un profil d'instance EC2 personnalisé à utiliser à la place du EMR_EC2_DefaultRole profil lorsque vous lancez votre cluster.

Pour plus d’informations, consultez Rôle de service pour les instances EC2 de cluster (profil d'instance EC2) et Personnalisez les rôles IAM avec Amazon EMR.

Vous devez ajouter les instructions suivantes au profil d'instance EC2 par défaut pour qu'Amazon EMR puisse baliser les sessions et accéder à celles qui stockent AWS Secrets Manager les certificats TLS.

    {
      "Sid": "AllowAssumeOfRolesAndTagging",
      "Effect": "Allow",
      "Action": ["sts:TagSession", "sts:AssumeRole"],
      "Resource": [
        "arn:aws:iam::<AWS_ACCOUNT_ID>:role/<RANGER_ENGINE-PLUGIN_DATA_ACCESS_ROLE_NAME>",
        "arn:aws:iam::<AWS_ACCOUNT_ID>:role/<RANGER_USER_ACCESS_ROLE_NAME>"
      ]
    },
    {
        "Sid": "AllowSecretsRetrieval",
        "Effect": "Allow",
        "Action": "secretsmanager:GetSecretValue",
        "Resource": [
            "arn:aws:secretsmanager:<REGION>:<AWS_ACCOUNT_ID>:secret:<PLUGIN_TLS_SECRET_NAME>*",
            "arn:aws:secretsmanager:<REGION>:<AWS_ACCOUNT_ID>:secret:<ADMIN_RANGER_SERVER_TLS_SECRET_NAME>*"
        ]
    }