Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Peran layanan untuk EMR Notebooks
<a name="emr-managed-notebooks-service-role"></a>

Setiap notebook EMR memerlukan izin untuk mengakses AWS sumber daya lain dan melakukan tindakan. Kebijakan IAM yang dilampirkan pada peran layanan ini memberikan izin bagi notebook untuk berinteraksi dengan layanan lain. AWS Saat Anda membuat buku catatan menggunakan Konsol Manajemen AWS, Anda menentukan *peran AWS layanan*. Anda dapat menggunakan peran default, `EMR_Notebooks_DefaultRole`, atau tentukan peran yang Anda buat. Jika notebook belum dibuat sebelumnya, Anda dapat memilih untuk membuat peran default.
+ Nama peran default adalah `EMR_Notebooks_DefaultRole`.
+ Kebijakan terkelola default yang dilampirkan `EMR_Notebooks_DefaultRole` adalah `AmazonElasticMapReduceEditorsRole` dan`S3FullAccessPolicy`.

Peran layanan Anda harus menggunakan kebijakan kepercayaan berikut.

**penting**  
Kebijakan kepercayaan berikut mencakup [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)dan kunci kondisi [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global, yang membatasi izin yang Anda berikan EMR Amazon ke sumber daya tertentu di akun Anda. Menggunakannya dapat melindungi Anda [dari masalah wakil yang membingungkan](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sts:AssumeRole"
      ],
      "Resource": "arn:aws:iam::123456789012:role/EMRServiceRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:elasticmapreduce:*:123456789012:*"
        }
      },
      "Sid": "AllowSTSAssumerole"
    }
  ]
}
```

------

Isi dari versi 1 `AmazonElasticMapReduceEditorsRole` adalah sebagai berikut.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:CreateNetworkInterface",
        "ec2:CreateNetworkInterfacePermission",
        "ec2:DeleteNetworkInterface",
        "ec2:DeleteNetworkInterfacePermission",
        "ec2:DescribeNetworkInterfaces",
        "ec2:ModifyNetworkInterfaceAttribute",
        "ec2:DescribeTags",
        "ec2:DescribeInstances",
        "ec2:DescribeSubnets",
        "ec2:DescribeVpcs",
        "elasticmapreduce:ListInstances",
        "elasticmapreduce:DescribeCluster",
        "elasticmapreduce:ListSteps"
      ],
      "Resource": [
        "*"
      ],
      "Sid": "AllowEC2Authorizesecuritygroupegress"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateTags"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:network-interface/*"
      ],
      "Condition": {
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "aws:elasticmapreduce:editor-id",
            "aws:elasticmapreduce:job-flow-id"
          ]
        }
      },
      "Sid": "AllowEC2Createtags"
    }
  ]
}
```

------

Berikut ini adalah isi dari`S3FullAccessPolicy`. `S3FullAccessPolicy`Ini memungkinkan peran layanan Anda untuk EMR Notebooks untuk melakukan semua tindakan Amazon S3 pada objek di Anda. Akun AWS Saat Anda membuat peran layanan kustom untuk EMR Notebooks, Anda harus memberikan izin Amazon S3 peran layanan Anda.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "*"
      ],
      "Sid": "AllowS3"
    }
  ]
}
```

------

Anda dapat mencatat akses baca dan tulis untuk peran layanan Anda ke lokasi Amazon S3 tempat Anda ingin menyimpan file notebook. Gunakan set minimum izin Amazon S3 berikut.

```
"s3:PutObject",
"s3:GetObject",
"s3:GetEncryptionConfiguration",
"s3:ListBucket",
"s3:DeleteObject"
```

Jika bucket Amazon S3 Anda dienkripsi, Anda harus menyertakan izin berikut untuk. AWS Key Management Service

```
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
```

Saat Anda menautkan repositori Git ke buku catatan Anda dan perlu membuat rahasia untuk repositori, Anda harus menambahkan `secretsmanager:GetSecretValue` izin dalam kebijakan IAM yang dilampirkan ke peran layanan untuk notebook Amazon EMR. Kebijakan contoh ditunjukkan di bawah ini: 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
```

------

## Izin peran layanan EMR Notebooks
<a name="emr-managed-notebooks-service-role-permissions"></a>

Tabel ini mencantumkan tindakan yang dilakukan EMR Notebooks menggunakan peran layanan, bersama dengan izin yang diperlukan untuk setiap tindakan.


****  

| Tindakan | Izin | 
| --- | --- | 
| Buat saluran jaringan aman antara notebook dan kluster EMR Amazon, dan lakukan tindakan pembersihan yang diperlukan. |  <pre>"ec2:CreateNetworkInterface", <br />"ec2:CreateNetworkInterfacePermission", <br />"ec2:DeleteNetworkInterface", <br />"ec2:DeleteNetworkInterfacePermission", <br />"ec2:DescribeNetworkInterfaces", <br />"ec2:ModifyNetworkInterfaceAttribute", <br />"ec2:AuthorizeSecurityGroupEgress", <br />"ec2:AuthorizeSecurityGroupIngress", <br />"ec2:CreateSecurityGroup",<br />"ec2:DescribeSecurityGroups", <br />"ec2:RevokeSecurityGroupEgress",<br />"ec2:DescribeTags",<br />"ec2:DescribeInstances",<br />"ec2:DescribeSubnets",<br />"ec2:DescribeVpcs",<br />"elasticmapreduce:ListInstances", <br />"elasticmapreduce:DescribeCluster", <br />"elasticmapreduce:ListSteps"</pre>  | 
| Gunakan kredensyal Git yang disimpan AWS Secrets Manager untuk menautkan repositori Git ke buku catatan. |  <pre>"secretsmanager:GetSecretValue"</pre>  | 
| Terapkan AWS tag ke antarmuka jaringan dan grup keamanan default yang dibuat EMR Notebooks saat menyiapkan saluran jaringan aman. Untuk informasi lebih lanjut, lihat [Menandai sumber daya AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html). |  <pre>"ec2:CreateTags"</pre>  | 
| Mengakses atau mengunggah file notebook dan metadata ke Amazon S3. |  <pre>"s3:PutObject",<br />"s3:GetObject",<br />"s3:GetEncryptionConfiguration",<br />"s3:ListBucket",<br />"s3:DeleteObject" </pre> Izin berikut hanya diperlukan jika Anda menggunakan bucket Amazon S3 terenkripsi. <pre>"kms:Decrypt",<br />"kms:GenerateDataKey",<br />"kms:ReEncryptFrom",<br />"kms:ReEncryptTo",<br />"kms:DescribeKey"</pre>  | 

## EMR Notebooks memperbarui kebijakan terkelola AWS
<a name="notebooks-slr-updates"></a>

Lihat detail tentang pembaruan kebijakan AWS terkelola untuk EMR Notebooks sejak 1 Maret 2021.


| Ubah | Deskripsi | Date | 
| --- | --- | --- | 
| AmazonElasticMapReduceEditorsRole - Added permissions | EMR Notebooks `ec2:describeVPCs` ditambahkan `elastmicmapreduce:ListSteps` dan izin untuk. `AmazonElasticMapReduceEditorsRole`  | Februari 8, 2023  | 
| EMR Notebooks mulai melacak perubahan  |  EMR Notebooks mulai melacak perubahan untuk AWS kebijakan terkelolanya.  | Februari 8, 2023  |