Ajouter AWS Secrets Manager des autorisations au rôle d'instance Amazon EMR

Amazon EMR utilise un rôle de service IAM pour effectuer des actions en votre nom afin d'allouer et de gérer les clusters. Le rôle de service pour les instances EC2 de cluster, également appelé profil d'instance EC2 pour Amazon EMR, est un type de rôle de service spécial qu'Amazon EMR attribue à chaque instance EC2 d'un cluster au moment du lancement.

Pour définir les autorisations permettant à un cluster EMR d'interagir avec les données Amazon S3 et d'autres services AWS , définissez un profil d'instance Amazon EC2 personnalisé au lieu de EMR_EC2_DefaultRole lorsque vous lancez votre cluster. Pour plus d’informations, consultez Rôle de service pour les instances EC2 de cluster (profil d'instance EC2) et Personnalisez les rôles IAM avec Amazon EMR.

Ajoutez les instructions suivantes au profil d'instance EC2 par défaut pour permettre à Amazon EMR de baliser les sessions et d'accéder à celles qui stockent AWS Secrets Manager les certificats LDAP.

    {
      "Sid": "AllowAssumeOfRolesAndTagging",
      "Effect": "Allow",
      "Action": ["sts:TagSession", "sts:AssumeRole"],
      "Resource": [
        "arn:aws:iam::111122223333:role/LDAP_DATA_ACCESS_ROLE_NAME",
        "arn:aws:iam::111122223333:role/LDAP_USER_ACCESS_ROLE_NAME"
      ]
    },
    {
        "Sid": "AllowSecretsRetrieval",
        "Effect": "Allow",
        "Action": "secretsmanager:GetSecretValue",
        "Resource": [
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:LDAP_SECRET_NAME*",
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:ADMIN_LDAP_SECRET_NAME*"
        ]
    }