Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kebijakan terkelola Amazon EMR.
Cara termudah untuk memberikan akses penuh atau akses hanya-baca untuk tindakan Amazon EMR yang diperlukan adalah dengan menggunakan kebijakan terkelola IAM untuk Amazon EMR. Kebijakan terkelola menawarkan manfaat pemutakhiran secara otomatis jika persyaratan izin berubah. Jika Anda menggunakan kebijakan inline, perubahan layanan dapat terjadi yang menyebabkan kesalahan izin muncul.
Amazon EMR akan menghentikan kebijakan terkelola yang ada (kebijakan v1) demi kebijakan terkelola baru (kebijakan v2). Kebijakan terkelola baru telah dicakupkan untuk menyelaraskan dengan praktik terbaik. AWS Setelah kebijakan terkelola v1 yang ada tidak digunakan lagi, Anda tidak akan dapat melampirkan kebijakan ini ke peran atau pengguna IAM baru. Peran dan pengguna yang ada yang menggunakan kebijakan yang tidak lagi digunakan dapat terus menggunakannya. Kebijakan terkelola v2 membatasi akses menggunakan tag. Mereka hanya mengizinkan tindakan EMR Amazon yang ditentukan dan memerlukan sumber daya cluster yang ditandai dengan kunci khusus EMR. Kami merekomendasikan bahwa Anda hati-hati meninjau dokumentasi sebelum menggunakan kebijakan v2 baru.
Kebijakan v1 tidak lagi digunakan dengan ikon pemberitahuan di sebelahnya di daftar **Kebijakan** di konsol IAM. Kebijakan yang tidak lagi digunakan akan memiliki karakteristik sebagai berikut:
+ Kebijakan terus berfungsi untuk semua pengguna, grup, dan peran yang dilampirkan saat ini. Tidak ada yang rusak.
+ Kebijakan tidak dapat dilampirkan pada pengguna, grup, atau peran baru. Jika Anda melepas salah satu kebijakan dari entitas yang ada, Anda tidak dapat melampirkannya kembali.
+ Setelah Anda melepaskan kebijakan v1 dari semua entitas saat ini, kebijakan tidak lagi akan terlihat dan tidak lagi dapat digunakan.
Tabel berikut merangkum perubahan antara kebijakan saat ini (v1) dan kebijakan v2.
**Amazon EMR mengelola perubahan kebijakan**
| Tipe kebijakan | Nama kebijakan | Tujuan kebijakan | Perubahan kebijakan v2 |
| --- | --- | --- | --- |
| Peran layanan EMR default dan kebijakan terkelola terlampir | Nama peran: **EMR\$1 DefaultRole** Kebijakan V1 (tidak digunakan lagi): (Peran Layanan **AmazonElasticMapReduceRole**EMR) Nama kebijakan (dicakup) V2: [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) | Memungkinkan Amazon EMR memanggil AWS layanan lain atas nama Anda saat menyediakan sumber daya dan melakukan tindakan tingkat layanan. Peran ini diperlukan untuk semua klaster. | Kebijakan menambahkan izin baru`"ec2:DescribeInstanceTypeOfferings"`. Operasi API ini menampilkan daftar tipe instance yang didukung oleh daftar Availability Zone yang diberikan. |
| Kebijakan terkelola IAM untuk akses EMR Amazon penuh oleh pengguna, peran, atau grup terlampir | Nama kebijakan V2 (cakupan): [`AmazonEMRServicePolicy_v2`](emr-managed-policy-fullaccess-v2.md) | Mengizinkan izin penuh pengguna untuk tindakan EMR. Termasuk iam: PassRole izin untuk sumber daya. | Kebijakan menambahkan prasyarat bahwa pengguna harus menambahkan tanda pengguna ke sumber daya sebelum mereka dapat menggunakan kebijakan ini. Lihat [Penandaan sumber daya untuk menggunakan kebijakan terkelola](#manually-tagged-resources). iam: PassRole tindakan membutuhkan iam: PassedToService kondisi disetel ke layanan tertentu. Akses ke Amazon EC2, Amazon S3, dan layanan lainnya tidak diizinkan secara default. Lihat [Kebijakan Terkelola IAM untuk Akses Penuh (Kebijakan Default Terkelola v2)](emr-managed-policy-fullaccess-v2.md). |
| Kebijakan terkelola IAM untuk akses hanya-baca oleh pengguna, peran, atau grup terlampir | Kebijakan V1 (tidak digunakan lagi): [`AmazonElasticMapReduceReadOnlyAccess`](emr-managed-policy-readonly.md) Nama kebijakan V2 (cakupan): [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) | Mengizinkan izin hanya-baca pengguna untuk tindakan Amazon EMR. | Izin hanya mengizinkan tindakan hanya-baca elasticmapreduce yang ditentukan. Akses ke Amazon S3 adalah akses yang tidak diizinkan secara default. Lihat [Kebijakan Terkelola IAM untuk Akses Hanya-Baca (Kebijakan Default Terkelola v2)](emr-managed-policy-readonly-v2.md). |
| Peran layanan EMR default dan kebijakan terkelola terlampir | Nama peran: **EMR\$1 DefaultRole** Kebijakan V1 (tidak digunakan lagi): (Peran Layanan **AmazonElasticMapReduceRole**EMR) Nama kebijakan (dicakup) V2: [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) | Memungkinkan Amazon EMR memanggil AWS layanan lain atas nama Anda saat menyediakan sumber daya dan melakukan tindakan tingkat layanan. Peran ini diperlukan untuk semua klaster. | Peran layanan v2 dan kebijakan default v2 menggantikan peran dan kebijakan yang tidak lagi digunakan. Kebijakan menambahkan prasyarat bahwa pengguna harus menambahkan tanda pengguna ke sumber daya sebelum mereka dapat menggunakan kebijakan ini. Lihat [Penandaan sumber daya untuk menggunakan kebijakan terkelola](#manually-tagged-resources). Lihat [Peran layanan untuk Amazon EMR (peran EMR)](emr-iam-role.md). |
| Peran layanan untuk instans EC2 klaster (profil instans EC2) | Nama peran: **EMR\$1 \$1 EC2 DefaultRole** **Nama kebijakan usang: Peran AmazonElasticMapReducefor EC2** | Mengizinkan aplikasi yang berjalan pada klaster EMR untuk mengakses sumber daya AWS lain, seperti Amazon S3. Misalnya, jika Anda menjalankan tugas Apache Spark yang memproses data dari Amazon S3, kebijakan perlu mengizinkan akses ke sumber daya tersebut. | Peran default dan kebijakan default berada di jalur yang tidak lagi digunakan. Tidak ada peran atau kebijakan terkelola AWS default pengganti. Anda harus memberikan kebijakan berbasis sumber daya atau kebijakan berbasis identitas. Ini berarti bahwa, secara default, aplikasi yang berjalan pada klaster EMR tidak memiliki akses ke Amazon S3 atau sumber daya lain kecuali Anda secara manual menambahkan ini ke kebijakan. Lihat [Peran default dan kebijakan terkelola](emr-iam-role-for-ec2.md#emr-ec2-role-default). |
| Kebijakan peran layanan EC2 lainnya | Nama kebijakan saat ini: **AmazonElasticMapReduceforAutoScalingRole, AmazonElasticMapReduceEditorsRole, EMRCleanup Kebijakan Amazon** | Memberikan izin yang diperlukan Amazon EMR untuk mengakses sumber daya AWS lain dan melakukan tindakan jika menggunakan penskalaan otomatis, buku catatan, atau untuk membersihkan sumber daya EC2. | Tidak ada perubahan untuk v2. |
## Mengamankan iam: PassRole
Kebijakan terkelola default izin penuh Amazon EMR menggabungkan konfigurasi `iam:PassRole` keamanan, termasuk yang berikut ini:
+ Izin `iam:PassRole` hanya untuk peran Amazon EMR default tertentu.
+ `iam:PassedToService`kondisi yang memungkinkan Anda untuk menggunakan kebijakan hanya dengan AWS layanan tertentu, seperti `elasticmapreduce.amazonaws.com` dan`ec2.amazonaws.com`.
Anda dapat melihat versi JSON dari kebijakan [Amazon EMRFull AccessPolicy \$1v2 dan [Amazon EMRService Policy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2)](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRFullAccessPolicy_v2) di konsol IAM. Kami menyarankan Anda membuat cluster baru dengan kebijakan terkelola v2.
Untuk membuat kebijakan khusus, kami merekomendasikan sebaiknya Anda mulai dengan kebijakan terkelola dan mengeditnya sesuai dengan kebutuhan Anda.
Untuk informasi tentang cara melampirkan kebijakan ke pengguna (prinsipal), lihat [Bekerja dengan kebijakan terkelola menggunakan Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html#policies_using-managed-console) Pengguna *IAM*. Konsol Manajemen AWS
## Penandaan sumber daya untuk menggunakan kebijakan terkelola
**Amazon EMRService Policy\$1v2 dan** **Amazon EMRFull AccessPolicy \$1v2** bergantung pada akses tercakup ke sumber daya yang disediakan atau digunakan Amazon EMR. Cakupan ke bawah dicapai dengan membatasi akses hanya ke sumber daya yang memiliki tag pengguna yang telah ditentukan sebelumnya yang terkait dengannya. Bila Anda menggunakan salah satu dari dua kebijakan ini, Anda harus meneruskan tag pengguna yang telah ditentukan `for-use-with-amazon-emr-managed-policies = true` saat Anda menyediakan klaster. Amazon EMR kemudian akan secara otomatis menyebarkan tanda itu. Selain itu, Anda harus menambahkan tag pengguna ke sumber daya yang tercantum di bagian berikut. Jika Anda menggunakan konsol EMR Amazon untuk meluncurkan cluster Anda, lihat. [Pertimbangan untuk menggunakan konsol EMR Amazon untuk meluncurkan cluster dengan kebijakan terkelola v2](#emr-cluster-v2policy-awsconsole-launch)
Untuk menggunakan kebijakan terkelola, teruskan tag pengguna `for-use-with-amazon-emr-managed-policies = true` saat Anda menyediakan klaster dengan CLI, SDK, atau metode lain.
Ketika Anda melewatkan tanda, Amazon EMR menyebarkan tanda untuk ENI subnet privat, instans EC2, dan volume EBS yang dibuatnya. Amazon EMR juga secara otomatis memberi tanda grup keamanan yang dibuat. Namun, jika Anda ingin Amazon EMR untuk diluncurkan dengan grup keamanan tertentu, Anda harus memberinya tanda. Untuk sumber daya yang tidak dibuat oleh Amazon EMR, Anda harus menambahkan tag ke sumber daya tersebut. Misalnya, Anda harus menandai subnet Amazon EC2, grup keamanan EC2 (jika tidak dibuat oleh Amazon EMR), dan (jika VPCs Anda ingin Amazon EMR membuat grup keamanan). Untuk meluncurkan cluster dengan kebijakan terkelola v2 VPCs, Anda harus menandai klaster tersebut VPCs dengan tag pengguna yang telah ditentukan sebelumnya. Lihat, [Pertimbangan untuk menggunakan konsol EMR Amazon untuk meluncurkan cluster dengan kebijakan terkelola v2](#emr-cluster-v2policy-awsconsole-launch).
**Penyebaran penandaan yang ditentukan pengguna**
Sumber daya tanda Amazon EMR yang dibuat menggunakan tanda Amazon EMR yang Anda tentukan saat membuat klaster. Amazon EMR membuat tanda untuk sumber daya yang dibuat selama masa klaster.
Amazon EMR menyebarkan tanda pengguna untuk sumber daya berikut:
+ ENI Subnet Privat (antarmuka jaringan elastis akses layanan)
+ Instans EC2
+ Volume EBS
+ Templat Peluncuran EC2
**Grup keamanan bertanda otomatis**
Amazon EMR menandai grup keamanan EC2 yang menciptakan dengan tanda yang diperlukan untuk kebijakan terkelola v2 untuk Amazon EMR, `for-use-with-amazon-emr-managed-policies`, terlepas dari tanda yang Anda tentukan di perintah buat klaster. Untuk grup keamanan yang dibuat sebelum pengidentifikasian kebijakan terkelola v2, Amazon EMR tidak secara otomatis memberi tanda pada grup keamanan. Jika Anda ingin menggunakan kebijakan terkelola v2 dengan grup keamanan default yang sudah ada di akun, Anda perlu memberi tanda pada grup keamanan secara manual dengan `for-use-with-amazon-emr-managed-policies = true`.
**Sumber daya klaster yang beri tanda secara manual**
Anda harus secara manual memberi tanda pada beberapa sumber klaster sehingga mereka dapat diakses oleh peran default Amazon EMR.
+ Anda harus secara manual memberi tanda pada grup keamanan EC2 dan subnet EC2 dengan tanda kebijakan terkelola Amazon EMR `for-use-with-amazon-emr-managed-policies`.
+ Anda harus secara manual memberi tanda pada VPC jika Anda ingin Amazon EMR untuk membuat grup keamanan default. EMR akan mencoba membuat grup keamanan dengan tanda tertentu jika grup keamanan default belum ada.
Amazon EMR secara otomatis memberi tanda pada sumber daya berikut:
+ Grup Keamanan EC2 yang dibuat oleh EMR
Anda harus secara manual memberi tanda pada sumber daya berikut:
+ Subnet EC2
+ Grup Keamanan EC2
Opsional, Anda dapat secara manual memberi tanda pada sumber daya berikut:
+ VPC - hanya bila Anda ingin Amazon EMR untuk membuat grup keamanan
## Pertimbangan untuk menggunakan konsol EMR Amazon untuk meluncurkan cluster dengan kebijakan terkelola v2
Anda dapat menyediakan kluster dengan kebijakan terkelola v2 menggunakan konsol EMR Amazon. Berikut adalah beberapa pertimbangan saat Anda menggunakan konsol untuk meluncurkan kluster EMR Amazon.
+ Anda tidak perlu melewati tag yang telah ditentukan. Amazon EMR secara otomatis menambahkan tag dan menyebarkannya ke komponen yang sesuai.
+ Untuk komponen yang perlu diberi tag secara manual, konsol EMR Amazon lama mencoba memberi tag secara otomatis jika Anda memiliki izin yang diperlukan untuk menandai sumber daya. Jika Anda tidak memiliki izin untuk menandai sumber daya atau jika Anda ingin menggunakan konsol, minta administrator untuk menandai sumber daya tersebut.
+ Anda tidak dapat meluncurkan cluster dengan kebijakan terkelola v2 kecuali semua prasyarat terpenuhi.
+ Konsol EMR Amazon lama menunjukkan sumber daya (VPC/subnet) mana yang perlu diberi tag.
# Kebijakan terkelola IAM untuk akses penuh (kebijakan default terkelola v2) untuk Amazon EMR
Kebijakan terkelola default EMR yang dicakup v2 memberikan hak istimewa akses khusus kepada pengguna. Mereka membutuhkan tanda sumber daya Amazon EMR yang telah ditetapkan dan kunci syarat `iam:PassRole` untuk sumber daya yang digunakan oleh Amazon EMR, seperti `Subnet` dan `SecurityGroup` yang Anda gunakan untuk meluncurkan klaster Anda.
Untuk memberikan cakupan tindakan yang diperlukan untuk Amazon EMR, melampirkan `AmazonEMRFullAccessPolicy_v2` kebijakan terkelola. Kebijakan terkelola default yang diperbarui ini menggantikan [`AmazonElasticMapReduceFullAccess`](emr-managed-policy-fullaccess.md) kebijakan terkelola.
`AmazonEMRFullAccessPolicy_v2` tergantung pada akses yang dicakup ke sumber daya yang disediakan atau digunakan Amazon EMR. Bila menggunakan kebijakan ini, Anda harus melewati tanda pengguna `for-use-with-amazon-emr-managed-policies = true` saat menyediakan klaster. Amazon EMR secara otomatis akan menyebarkan tanda. Selain itu, Anda mungkin perlu secara manual menambahkan tanda pengguna untuk tipe sumber daya tertentu, seperti grup keamanan EC2 yang tidak dibuat oleh Amazon EMR. Untuk informasi selengkapnya, lihat [Penandaan sumber daya untuk menggunakan kebijakan terkelola](emr-managed-iam-policies.md#manually-tagged-resources).
[https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2)Kebijakan mengamankan sumber daya dengan melakukan hal berikut:
+ Memerlukan sumber daya yang akan ditandai dengan tanda kebijakan terkelola Amazon EMR yang telah ditetapkan `for-use-with-amazon-emr-managed-policies` untuk pembuatan klaster dan akses Amazon EMR.
+ Membatasi tindakan `iam:PassRole` untuk peran default tertentu dan akses `iam:PassedToService` ke layanan tertentu.
+ Tidak lagi menyediakan akses ke Amazon EC2, Amazon S3, dan layanan lainnya secara default.
Berikut ini adalah isi dari kebijakan ini.
**catatan**
Anda juga dapat menggunakan tautan konsol [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2) untuk melihat kebijakan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RunJobFlowExplicitlyWithEMRManagedTag",
"Effect": "Allow",
"Action": [
"elasticmapreduce:RunJobFlow"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "ElasticMapReduceActions",
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddInstanceFleet",
"elasticmapreduce:AddInstanceGroups",
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:AddTags",
"elasticmapreduce:CancelSteps",
"elasticmapreduce:CreateEditor",
"elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:CreateSecurityConfiguration",
"elasticmapreduce:DeleteEditor",
"elasticmapreduce:DeleteSecurityConfiguration",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:DescribeJobFlows",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:DescribeSecurityConfiguration",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:DescribeReleaseLabel",
"elasticmapreduce:GetBlockPublicAccessConfiguration",
"elasticmapreduce:GetManagedScalingPolicy",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"elasticmapreduce:GetAutoTerminationPolicy",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListEditors",
"elasticmapreduce:ListInstanceFleets",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListInstances",
"elasticmapreduce:ListSecurityConfigurations",
"elasticmapreduce:ListSteps",
"elasticmapreduce:ListSupportedInstanceTypes",
"elasticmapreduce:ModifyCluster",
"elasticmapreduce:ModifyInstanceFleet",
"elasticmapreduce:ModifyInstanceGroups",
"elasticmapreduce:OpenEditorInConsole",
"elasticmapreduce:PutAutoScalingPolicy",
"elasticmapreduce:PutBlockPublicAccessConfiguration",
"elasticmapreduce:PutManagedScalingPolicy",
"elasticmapreduce:RemoveAutoScalingPolicy",
"elasticmapreduce:RemoveManagedScalingPolicy",
"elasticmapreduce:RemoveTags",
"elasticmapreduce:SetTerminationProtection",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:TerminateJobFlows",
"elasticmapreduce:ViewEventsFromAllClustersInConsole"
],
"Resource": [
"*"
]
},
{
"Sid": "ViewMetricsInEMRConsole",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
]
},
{
"Sid": "PassRoleForElasticMapReduce",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_DefaultRole",
"arn:aws:iam::*:role/EMR_DefaultRole_V2"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "elasticmapreduce.amazonaws.com*"
}
}
},
{
"Sid": "PassRoleForEC2",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_EC2_DefaultRole"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "ec2.amazonaws.com*"
}
}
},
{
"Sid": "PassRoleForAutoScaling",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_AutoScaling_DefaultRole"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "application-autoscaling.amazonaws.com*"
}
}
},
{
"Sid": "ElasticMapReduceServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/elasticmapreduce.amazonaws.com*/AWSServiceRoleForEMRCleanup*"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"elasticmapreduce.amazonaws.com",
"elasticmapreduce.amazonaws.com.rproxy.govskope.us.cn"
]
}
}
},
{
"Sid": "ConsoleUIActions",
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeKeyPairs",
"ec2:DescribeNatGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"s3:ListAllMyBuckets",
"iam:ListRoles"
],
"Resource": [
"*"
]
}
]
}
```
------
# Kebijakan terkelola IAM untuk akses penuh (pada jalur yang tidak lagi digunakan)
Kebijakan terkelola `AmazonElasticMapReduceFullAccess` dan `AmazonEMRFullAccessPolicy_v2` AWS Identity and Access Management (IAM) memberikan semua tindakan yang diperlukan untuk Amazon EMR dan layanan lainnya.
**penting**
Kebijakan `AmazonElasticMapReduceFullAccess` terkelola berada di jalur menuju penghentian, dan tidak lagi direkomendasikan untuk digunakan dengan Amazon EMR. Sebaliknya, gunakan [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md). Ketika layanan IAM akhirnya menghentikan kebijakan v1, Anda tidak akan dapat melampirkannya ke peran. Namun, Anda dapat melampirkan peran yang ada ke klaster meskipun peran tersebut menggunakan kebijakan yang tidak digunakan lagi.
Kebijakan terkelola default izin penuh Amazon EMR menggabungkan konfigurasi `iam:PassRole` keamanan, termasuk yang berikut ini:
+ Izin `iam:PassRole` hanya untuk peran Amazon EMR default tertentu.
+ `iam:PassedToService`kondisi yang memungkinkan Anda untuk menggunakan kebijakan hanya dengan AWS layanan tertentu, seperti `elasticmapreduce.amazonaws.com` dan`ec2.amazonaws.com`.
Anda dapat melihat versi JSON dari kebijakan [Amazon EMRFull AccessPolicy \$1v2 dan [Amazon EMRService Policy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2)](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRFullAccessPolicy_v2) di konsol IAM. Kami menyarankan Anda membuat cluster baru dengan kebijakan terkelola v2.
Anda dapat melihat konten kebijakan v1 yang tidak digunakan lagi di at. Konsol Manajemen AWS [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonElasticMapReduceFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonElasticMapReduceFullAccess) `ec2:TerminateInstances`Tindakan dalam kebijakan memberikan izin kepada pengguna atau peran untuk menghentikan instans Amazon EC2 yang terkait dengan akun IAM. Ini termasuk contoh yang bukan bagian dari cluster EMR.
# Kebijakan terkelola IAM untuk akses hanya-baca (kebijakan default terkelola v2) untuk Amazon EMR
**Untuk memberikan hak istimewa hanya-baca ke Amazon EMR, lampirkan kebijakan terkelola Amazon \$1v2. EMRRead OnlyAccessPolicy** Kebijakan terkelola default ini menggantikan kebijakan terkelola [`AmazonElasticMapReduceReadOnlyAccess`](emr-managed-policy-readonly.md). Isi dari pernyataan kebijakan ini ditampilkan di potongan berikut. Dibandingkan dengan kebijakan `AmazonElasticMapReduceReadOnlyAccess`, kebijakan `AmazonEMRReadOnlyAccessPolicy_v2` tidak menggunakan karakter wildcard untuk elemen `elasticmapreduce`. Sebagai gantinya, kebijakan v2 default mencakup tindakan yang diizinkan`elasticmapreduce`.
**catatan**
Anda juga dapat menggunakan Konsol Manajemen AWS tautan [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRReadOnlyAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRReadOnlyAccessPolicy_v2)untuk melihat kebijakan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ElasticMapReduceActions",
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:DescribeJobFlows",
"elasticmapreduce:DescribeSecurityConfiguration",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:DescribeReleaseLabel",
"elasticmapreduce:GetBlockPublicAccessConfiguration",
"elasticmapreduce:GetManagedScalingPolicy",
"elasticmapreduce:GetAutoTerminationPolicy",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListEditors",
"elasticmapreduce:ListInstanceFleets",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListInstances",
"elasticmapreduce:ListSecurityConfigurations",
"elasticmapreduce:ListSteps",
"elasticmapreduce:ListSupportedInstanceTypes",
"elasticmapreduce:ViewEventsFromAllClustersInConsole"
],
"Resource": [
"*"
]
},
{
"Sid": "ViewMetricsInEMRConsole",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
]
}
]
}
```
------
# Kebijakan terkelola IAM untuk akses hanya-baca (di jalur yang tidak lagi digunakan)
Kebijakan terkelola `AmazonElasticMapReduceReadOnlyAccess` berada di jalur yang tidak lagi digunakan. Anda tidak dapat melampirkan kebijakan ini ketika meluncurkan klaster baru. `AmazonElasticMapReduceReadOnlyAccess` telah diganti dengan [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) sebagai kebijakan terkelola default Amazon EMR. Isi dari pernyataan kebijakan ini ditampilkan di potongan berikut. Karakter wildcard untuk elemen `elasticmapreduce` menentukan bahwa hanya tindakan yang dimulai dengan string tertentu diizinkan. Perlu diingat bahwa karena kebijakan ini tidak secara eksplisit menolak tindakan, pernyataan kebijakan yang berbeda masih dapat digunakan untuk memberikan akses ke tindakan tertentu.
**catatan**
Anda juga dapat menggunakan Konsol Manajemen AWS untuk melihat kebijakan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:Describe*",
"elasticmapreduce:List*",
"elasticmapreduce:ViewEventsFromAllClustersInConsole",
"s3:GetObject",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"sdb:Select",
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
],
"Sid": "AllowELASTICMAPREDUCEDescribe"
}
]
}
```
------
# AWS kebijakan terkelola: EMRDescribe ClusterPolicyFor EMRWAL
Anda tidak dapat melampirkan `EMRDescribeClusterPolicyForEMRWAL` ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan Amazon EMR melakukan tindakan atas nama Anda. Untuk informasi selengkapnya tentang peran terkait layanan ini, lihat. [Menggunakan peran terkait layanan dengan Amazon EMR untuk pencatatan tertulis](using-service-linked-roles-wal.md)
Kebijakan ini memberikan izin hanya-baca yang memungkinkan layanan WAL untuk Amazon EMR menemukan dan mengembalikan status klaster. Untuk informasi selengkapnya tentang Amazon EMR WAL, lihat [Write-ahead logs (WAL) untuk Amazon](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-hbase-wal.html) EMR.
**Detail izin**
Kebijakan ini mencakup izin berikut:
+ `emr`— Memungkinkan kepala sekolah untuk menggambarkan status cluster dari Amazon EMR. Ini diperlukan agar Amazon EMR dapat mengonfirmasi kapan cluster telah dihentikan dan kemudian, setelah tiga puluh hari, membersihkan log WAL yang ditinggalkan oleh cluster.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster"
],
"Resource": [
"*"
],
"Sid": "AllowELASTICMAPREDUCEDescribecluster"
}
]
}
```
------
## AWS kebijakan terkelola untuk Amazon EMR
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
# Amazon EMR memperbarui kebijakan terkelola AWS
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon EMR sejak layanan ini mulai melacak perubahan ini.
| Ubah | Deskripsi | Tanggal |
| --- | --- | --- |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) — Permbaruan ke kebijakan yang sudah ada | Ditambahkanec2:CreateVpcEndpoint,ec2:ModifyVpcEndpoint, dan ec2:CreateTags diperlukan untuk pengalaman optimal, dimulai dengan Amazon EMR rilis 7.5.0. | Maret 4, 2025 |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) – Pembaruan ke kebijakan yang ada | Ditambahkanelasticmapreduce:CreatePersistentAppUI,elasticmapreduce:DescribePersistentAppUI, danelasticmapreduce:GetPersistentAppUIPresignedURL. | Februari 28, 2025 |
| [`EMRDescribeClusterPolicyForEMRWAL`](EMRDescribeClusterPolicyForEMRWAL.md) – Kebijakan baru | Menambahkan kebijakan baru sehingga Amazon EMR dapat menentukan status klaster untuk pembersihan WAL tiga puluh hari setelah penghentian klaster. | 10 Agustus 2023 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md)dan [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md)— Perbarui ke kebijakan yang ada | Ditambahkan elasticmapreduce:DescribeReleaseLabel danelasticmapreduce:GetAutoTerminationPolicy. | 21 April 2022 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) – Pembaruan ke kebijakan yang ada | Ditambahkan ec2:DescribeImages untuk[Menggunakan AMI khusus untuk memberikan lebih banyak fleksibilitas untuk konfigurasi kluster Amazon EMR](emr-custom-ami.md). | Februari 15, 2022 |
| [**Kebijakan terkelola Amazon EMR**](emr-managed-iam-policies.md) | Diperbarui untuk memperjelas penggunaan tag pengguna yang telah ditentukan. Menambahkan bagian tentang penggunaan AWS konsol untuk meluncurkan clsuter dengan kebijakan terkelola v2. | 29 September 2021 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) – Pembaruan ke kebijakan yang ada | Mengubah PassRoleForAutoScaling dan PassRoleForEC2 tindakan untuk menggunakan operator StringLike kondisi untuk mencocokkan "iam:PassedToService":"application-autoscaling.amazonaws.com\$1" dan"iam:PassedToService":"ec2.amazonaws.com\$1", masing-masing. | 20 Mei 2021 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) – Pembaruan ke kebijakan yang ada | Menghapus tindakan tidak valid `s3:ListBuckets` dan diganti dengan `s3:ListAllMyBuckets` tindakan. Pembuatan peran tertaut layanan (SLR) yang diperbarui akan dicakup secara eksplisit ke satu-satunya SLR yang Amazon EMR miliki dengan utama Layanan eksplisit. SLRs Yang dapat dibuat persis sama seperti sebelum perubahan ini. | 23 Maret 2021 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) – Kebijakan baru | Amazon EMR menambahkan izin baru untuk mencakup akses ke sumber daya dan untuk menambahkan prasyarat bahwa pengguna harus menambahkan tanda pengguna yang telah ditetapkan untuk sumber daya sebelum mereka dapat menggunakan kebijakan terkelola Amazon EMR. `iam:PassRole`tindakan memerlukan `iam:PassedToService` kondisi yang disetel ke layanan tertentu. Akses ke Amazon EC2, Amazon S3, dan layanan lainnya tidak diizinkan secara default. | 11 Maret 2021 |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) – Kebijakan baru | Menambahkan prasyarat bahwa pengguna harus menambahkan tanda pengguna ke sumber daya sebelum mereka dapat menggunakan kebijakan ini. | 11 Maret 2021 |
| [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) – Kebijakan baru | Izin hanya mengizinkan tindakan hanya-baca ElasticMapReduce yang ditentukan. Akses ke Amazon S3 adalah akses yang tidak diizinkan secara default. | 11 Maret 2021 |
| Amazon EMR mulai melacak perubahan | Amazon EMR mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 11 Maret 2021 |