Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Profil instans EC2 untuk Amazon EMR
Amazon EMR menggunakan peran layanan IAM untuk melakukan tindakan atas nama Anda untuk menyediakan dan mengelola klaster. Peran layanan untuk instans EC2 klaster, juga disebut profil instans EC2 untuk Amazon EMR, adalah tipe khusus dari peran layanan yang ditugaskan untuk setiap instans EC2 di sebuah klaster pada peluncuran.
Untuk menentukan izin interaksi klaster EMR dengan data Amazon S3 dan metastore Hive yang dilindungi oleh Apache Ranger dan layanan AWS lainnya, tentukan profil instans EC2 kustom yang akan digunakan, bukan saat Anda meluncurkan klaster. EMR_EC2_DefaultRole
Untuk informasi selengkapnya, lihat Peran layanan untuk instans EC2 klaster (profil instans EC2) dan Sesuaikan peran IAM dengan Amazon EMR.
Anda perlu menambahkan pernyataan berikut ke Profil Instans EC2 default untuk Amazon EMR agar dapat menandai sesi dan mengakses yang menyimpan sertifikat AWS Secrets Manager TLS.
{ "Sid": "AllowAssumeOfRolesAndTagging", "Effect": "Allow", "Action": ["sts:TagSession", "sts:AssumeRole"], "Resource": [ "arn:aws:iam::<AWS_ACCOUNT_ID>:role/<RANGER_ENGINE-PLUGIN_DATA_ACCESS_ROLE_NAME>", "arn:aws:iam::<AWS_ACCOUNT_ID>:role/<RANGER_USER_ACCESS_ROLE_NAME>" ] }, { "Sid": "AllowSecretsRetrieval", "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": [ "arn:aws:secretsmanager:<REGION>:<AWS_ACCOUNT_ID>:secret:<PLUGIN_TLS_SECRET_NAME>*", "arn:aws:secretsmanager:<REGION>:<AWS_ACCOUNT_ID>:secret:<ADMIN_RANGER_SERVER_TLS_SECRET_NAME>*" ] }
catatan
Untuk izin Secrets Manager, jangan lupa wildcard ("*") di akhir nama rahasia atau permintaan Anda akan gagal. Wildcard adalah untuk versi rahasia.
catatan
Batasi ruang lingkup AWS Secrets Manager kebijakan hanya untuk sertifikat yang diperlukan untuk penyediaan.
