Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Policy gestite da Amazon EMR
Il modo più semplice di concedere accesso completo o in sola lettura alle operazioni di Amazon EMR necessarie è utilizzare le policy gestite da IAM per Amazon EMR. Le policy gestite offrono il vantaggio di essere aggiornate automaticamente nel momento in cui i requisiti di autorizzazione cambiano. Se utilizzi policy inline, è possibile che si verifichino degli errori di autorizzazione in caso di modifiche al servizio.
Amazon EMR renderà obsolete le policy gestite esistenti (policy v1), a favore di nuove policy gestite (policy v2). Le nuove politiche gestite sono state ridotte per allinearle alle migliori pratiche. AWS Dopo che le policy gestite v1 renderà obsolete, non sarà possibile allegare queste policy a nuovi ruoli o utenti IAM. I ruoli e gli utenti esistenti che utilizzano policy obsolete possono continuare a utilizzarli. Le policy gestite v2 limitano l'accesso utilizzando i tag. Consentono solo operazioni Amazon EMR specifiche e richiedono risorse cluster contrassegnate con una chiave specifica per EMR. Si consiglia di esaminare attentamente la documentazione prima di utilizzare le nuove policy v2.
Le policy v1 verranno contrassegnate come obsolete con un'icona di avviso accanto a esse nell'elenco **Policies (Policy)** della console IAM. Le policy obsolete avranno le seguenti caratteristiche:
+ Continuano a funzionare per tutti gli utenti, gruppi e ruoli attualmente collegati. Nessuna interruzione.
+ Non possono essere collegate a nuovi utenti, gruppi o ruoli. Se una delle policy viene scollegata da un'entità corrente, non è possibile collegarla nuovamente.
+ Dopo aver scollegato una policy v1 da tutte le entità correnti, la policy non sarà più visibile e non potrà essere utilizzata.
Nella tabella seguente sono riepilogate le modifiche tra le policy correnti (v1) e le policy v2.
**Modifiche alle policy gestite da Amazon EMR**
| Tipo di policy | Nomi delle policy | Scopo della policy | Modifiche alla policy v2 |
| --- | --- | --- | --- |
| Ruolo di servizio EMR predefinito e policy gestita collegata | Nome del ruolo: **EMR\$1 DefaultRole** Criterio V1 (da rendere obsoleto): (ruolo del servizio **AmazonElasticMapReduceRole**EMR) Nome della policy v2 (con ambito): [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) | Consente ad Amazon EMR di chiamare altri AWS servizi per tuo conto durante il provisioning di risorse e l'esecuzione di azioni a livello di servizio. Questo ruolo è obbligatorio per tutti i cluster. | La policy aggiunge la nuova autorizzazione. `"ec2:DescribeInstanceTypeOfferings"` Questa operazione API restituisce un elenco di tipi di istanze supportati da un elenco di determinate zone di disponibilità. |
| Policy gestita da IAM per l'accesso completo ad Amazon EMR per utente, ruolo o gruppo collegato | Nome della policy V2 (con ambito): [`AmazonEMRServicePolicy_v2`](emr-managed-policy-fullaccess-v2.md) | Consente agli utenti autorizzazioni complete per le operazioni EMR. Include iam: PassRole autorizzazioni per le risorse. | La policy aggiunge il prerequisito secondo cui gli utenti devono aggiungere tag utente alle risorse prima di poter utilizzare questa policy. Per informazioni, consulta [Assegnazione di tag alle risorse per l'utilizzo delle policy gestite](#manually-tagged-resources). iam: PassRole l'azione richiede iam: PassedToService condizione impostata sul servizio specificato. L'accesso ad Amazon EC2, Amazon S3 e ad altri servizi non è consentito per impostazione predefinita. Consulta [Policy IAM gestita per l'accesso completo (policy predefinita gestita v2)](emr-managed-policy-fullaccess-v2.md). |
| Policy IAM gestita per un accesso di sola lettura parte di utente, ruolo o gruppo collegato | Policy V1 (da essere resa obsoleta): [`AmazonElasticMapReduceReadOnlyAccess`](emr-managed-policy-readonly.md) Nome della policy V2 (con ambito): [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) | Consente agli utenti autorizzazioni di sola lettura per le operazioni di Amazon EMR. | Le autorizzazioni si riferiscono esclusivamente alle operazioni elasticmapreduce di sola lettura specificate. Per impostazione predefinita, l'accesso ad Amazon S3 non è consentito. Consulta [Policy IAM gestita per l'accesso di sola lettura (policy predefinita gestita v2)](emr-managed-policy-readonly-v2.md). |
| Ruolo di servizio EMR predefinito e policy gestita collegata | Nome del ruolo: **EMR\$1 DefaultRole** Criterio V1 (da rendere obsoleto): (ruolo del servizio **AmazonElasticMapReduceRole**EMR) Nome della policy v2 (con ambito): [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) | Consente ad Amazon EMR di chiamare altri AWS servizi per tuo conto durante il provisioning di risorse e l'esecuzione di azioni a livello di servizio. Questo ruolo è obbligatorio per tutti i cluster. | Il ruolo di servizio v2 e la policy predefinita v2 sostituiscono il ruolo e la policy obsoleti. La policy aggiunge il prerequisito secondo cui gli utenti devono aggiungere tag utente alle risorse prima di poter utilizzare questa policy. Per informazioni, consulta [Assegnazione di tag alle risorse per l'utilizzo delle policy gestite](#manually-tagged-resources). Per informazioni, consulta [Ruolo di servizio per Amazon EMR (ruolo EMR)](emr-iam-role.md). |
| Ruolo di servizio per istanze EC2 del cluster (profilo istanza EC2) | **Nome del ruolo: EMR\$1 \$1 EC2 DefaultRole** **Nome della politica obsoleto: Role AmazonElasticMapReducefor EC2** | Consente alle applicazioni in esecuzione su un cluster EMR di accedere ad altre risorse AWS , ad esempio Amazon S3. Ad esempio, se esegui i processi Apache Spark che elaborano i dati da Amazon S3, la policy deve consentire l'accesso a tali risorse. | Sia il ruolo predefinito che la policy predefinita diventeranno presto obsoleti. Non esiste un ruolo o una politica gestiti AWS predefiniti sostitutivi. È necessario fornire una policy basata su risorse o su identità. Ciò significa che, per impostazione predefinita, le applicazioni in esecuzione su un cluster EMR non hanno accesso ad Amazon S3 o ad altre risorse a meno che non vengano aggiunte manualmente alla policy. Per informazioni, consulta [Ruolo predefinito e policy gestita](emr-iam-role-for-ec2.md#emr-ec2-role-default). |
| Altre policy del ruolo di servizio EC2 | Nomi delle politiche attuali: **AmazonElasticMapReduceforAutoScalingRole, AmazonElasticMapReduceEditorsRole, Amazon EMRCleanup Policy** | Fornisce le autorizzazioni necessarie ad Amazon EMR per accedere ad AWS altre risorse ed eseguire azioni se si utilizza la scalabilità automatica, i notebook o per ripulire le risorse EC2. | Nessuna modifica per v2. |
## Proteggere lo scopo: PassRole
Le policy gestite predefinite con autorizzazioni complete di Amazon EMR incorporano configurazioni di sicurezza `iam:PassRole`, tra cui:
+ Autorizzazioni `iam:PassRole` solo per specifici ruoli Amazon EMR predefiniti.
+ `iam:PassedToService`condizioni che consentono di utilizzare la politica solo con AWS servizi specifici, come `elasticmapreduce.amazonaws.com` e`ec2.amazonaws.com`.
Puoi visualizzare la versione JSON delle policy Amazon \$1v2 [EMRFullAccessPolicye [Amazon EMRService Policy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2)](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRFullAccessPolicy_v2) nella console IAM. Ti consigliamo di creare i nuovi cluster con le policy gestite v2.
Per creare policy personalizzate, ti consigliamo di iniziare con le policy gestite e di modificarle in base alle tue esigenze.
Per informazioni su come collegare policy a utenti (entità principali), consulta [Utilizzo di policy gestite mediante la Console di gestione AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html#policies_using-managed-console) nella *Guida per l'utente IAM*.
## Assegnazione di tag alle risorse per l'utilizzo delle policy gestite
**Amazon EMRService Policy\$1v2** e **EMRFullAccessPolicyAmazon** \$1v2 dipendono dall'accesso limitato alle risorse fornite o utilizzate da Amazon EMR. L'ambito inferiore si ottiene limitando l'accesso solo a quelle risorse a cui è associato un tag utente predefinito. Quando si utilizza una di queste due policy, è necessario passare il tag utente predefinito `for-use-with-amazon-emr-managed-policies = true` durante il provisioning del cluster. Amazon EMR propaga automaticamente tale tag. Inoltre, è necessario aggiungere un tag utente alle risorse elencate nella sezione seguente. Se utilizzi la console Amazon EMR per avviare il cluster, consulta la sezione [Considerazioni sull'utilizzo della console Amazon EMR per avviare cluster con policy gestite v2](#emr-cluster-v2policy-awsconsole-launch).
Per utilizzare le policy gestite, passa il tag utente `for-use-with-amazon-emr-managed-policies = true` durante il provisioning di un cluster con la CLI, l'SDK o un altro metodo.
Quando si passa il tag, Amazon EMR propaga il tag all'ENI della sottorete privata, all'istanza EC2 e ai volumi EBS creati. Amazon EMR assegna automaticamente tag anche ai gruppi di sicurezza creati. Tuttavia, se desideri che Amazon EMR venga avviato con un determinato gruppo di sicurezza, devi taggarlo. Per le risorse che non sono state create da Amazon EMR, è necessario aggiungere i tag a tali risorse. Ad esempio, devi etichettare le sottoreti Amazon EC2, i gruppi di sicurezza EC2 (se non creati da Amazon EMR) e (se VPCs desideri che Amazon EMR crei gruppi di sicurezza). Per avviare cluster con policy gestite v2 VPCs, devi etichettarli con il tag utente predefinito. VPCs Per informazioni, consultare [Considerazioni sull'utilizzo della console Amazon EMR per avviare cluster con policy gestite v2](#emr-cluster-v2policy-awsconsole-launch).
**Assegnazione di tag propagata specificata dall'utente**
Amazon EMR contrassegna le risorse create utilizzando i tag Amazon EMR specificati durante la creazione di un cluster. Amazon EMR applica tag alle risorse create durante il ciclo di vita del cluster.
Amazon EMR propaga i tag utente per le seguenti risorse:
+ ENI della sottorete privata (interfacce di rete elastiche di accesso ai servizi)
+ Istanze EC2
+ Volumi EBS
+ Modello di avvio di EC2
**Gruppi di sicurezza con tag automatici**
Amazon EMR tagga i gruppi di sicurezza EC2 creati con il tag richiesto per le policy gestite v2 per Amazon EMR, `for-use-with-amazon-emr-managed-policies`, indipendentemente dai tag specificati nel comando di creazione del cluster. Per un gruppo di sicurezza creato prima dell'introduzione delle policy gestite v2, Amazon EMR non tagga automaticamente il gruppo di sicurezza. Se si desidera utilizzare policy gestite v2 con i gruppi di sicurezza predefiniti già esistenti nell'account, è necessario taggare manualmente i gruppi di sicurezza con `for-use-with-amazon-emr-managed-policies = true`.
**Risorse cluster con tag manuali**
Occorre taggare manualmente alcune risorse del cluster in modo che possano essere accessibili dai ruoli predefiniti di Amazon EMR.
+ Occorre taggare manualmente i gruppi di sicurezza EC2 e le sottoreti EC2 con il tag `for-use-with-amazon-emr-managed-policies` della policy gestita da Amazon EMR.
+ Occorre taggare manualmente un VPC se vuoi che Amazon EMR crei gruppi di sicurezza predefiniti. EMR tenterà di creare un gruppo di sicurezza con il tag specifico se il gruppo di sicurezza predefinito non esiste già.
Amazon EMR tagga automaticamente le seguenti risorse:
+ Gruppi di sicurezza EC2 creati da EMR
È necessario aggiungere i tag manualmente alle risorse seguenti:
+ Sottorete EC2
+ Gruppo di sicurezza EC2
È necessario taggare manualmente le risorse seguenti:
+ VPC: solo quando si desidera che Amazon EMR crei gruppi di sicurezza
## Considerazioni sull'utilizzo della console Amazon EMR per avviare cluster con policy gestite v2
Puoi eseguire il provisioning di cluster con policy gestite v2 utilizzando la console Amazon EMR. Di seguito sono riportate alcune considerazioni quando utilizzi la console per avviare cluster Amazon EMR.
+ Non è necessario passare il tag predefinito. Amazon EMR aggiunge automaticamente il tag e lo propaga ai componenti appropriati.
+ Per i componenti che devono essere taggati manualmente, la vecchia console Amazon EMR tenta di applicare automaticamente i tag se disponi delle autorizzazioni necessarie per taggare le risorse. Se non disponi delle autorizzazioni per etichettare le risorse o se desideri utilizzare la console, chiedi all'amministratore di taggare tali risorse.
+ Non è possibile avviare cluster con policy gestite v2 a meno che non siano soddisfatti tutti i prerequisiti.
+ La vecchia console Amazon EMR mostra quali risorse (VPC/sottorete) devono essere taggate.
# Policy gestita da IAM per l'accesso completo (policy predefinita gestita v2) per Amazon EMR
Le policy predefinite gestite da EMR con ambito v2 concedono privilegi di accesso specifici agli utenti. Richiedono un tag di risorsa Amazon EMR predefinito e chiavi di condizione `iam:PassRole` per le risorse utilizzate da Amazon EMR, quali `Subnet` e `SecurityGroup` utilizzate per avviare il cluster.
Per concedere le operazioni necessarie per Amazon EMR, collega la policy `AmazonEMRFullAccessPolicy_v2` gestita. Questa policy gestita predefinita aggiornata sostituisce la policy gestita [`AmazonElasticMapReduceFullAccess`](emr-managed-policy-fullaccess.md).
`AmazonEMRFullAccessPolicy_v2` dipende dall'accesso ridotto alle risorse che Amazon EMR fornisce o utilizza. Quando si utilizza questa policy, è necessario passare il tag utente `for-use-with-amazon-emr-managed-policies = true` durante il provisioning del cluster. Amazon EMR propaga automaticamente tale tag. Inoltre, potrebbe essere necessario aggiungere manualmente un tag utente a tipi specifici di risorse, ad esempio gruppi di sicurezza EC2 che non sono stati creati da Amazon EMR. Per ulteriori informazioni, consulta [Assegnazione di tag alle risorse per l'utilizzo delle policy gestite](emr-managed-iam-policies.md#manually-tagged-resources).
La policy [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2) protegge le risorse eseguendo le operazioni elencate di seguito:
+ Richiede il tag delle risorse con il tag `for-use-with-amazon-emr-managed-policies` predefinito delle policy gestite da Amazon EMR per la creazione del cluster e l'accesso ad Amazon EMR.
+ Limita l'operazione `iam:PassRole` a ruoli predefiniti specifici e l'accesso `iam:PassedToService` a servizi specifici.
+ Non fornisce più l'accesso ad Amazon EC2, Amazon S3 e ad altri servizi per impostazione predefinita.
Il contenuto di questa policy è mostrato di seguito.
**Nota**
Puoi anche utilizzare il link alla console [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2) per visualizzare la policy.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RunJobFlowExplicitlyWithEMRManagedTag",
"Effect": "Allow",
"Action": [
"elasticmapreduce:RunJobFlow"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "ElasticMapReduceActions",
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddInstanceFleet",
"elasticmapreduce:AddInstanceGroups",
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:AddTags",
"elasticmapreduce:CancelSteps",
"elasticmapreduce:CreateEditor",
"elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:CreateSecurityConfiguration",
"elasticmapreduce:DeleteEditor",
"elasticmapreduce:DeleteSecurityConfiguration",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:DescribeJobFlows",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:DescribeSecurityConfiguration",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:DescribeReleaseLabel",
"elasticmapreduce:GetBlockPublicAccessConfiguration",
"elasticmapreduce:GetManagedScalingPolicy",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"elasticmapreduce:GetAutoTerminationPolicy",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListEditors",
"elasticmapreduce:ListInstanceFleets",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListInstances",
"elasticmapreduce:ListSecurityConfigurations",
"elasticmapreduce:ListSteps",
"elasticmapreduce:ListSupportedInstanceTypes",
"elasticmapreduce:ModifyCluster",
"elasticmapreduce:ModifyInstanceFleet",
"elasticmapreduce:ModifyInstanceGroups",
"elasticmapreduce:OpenEditorInConsole",
"elasticmapreduce:PutAutoScalingPolicy",
"elasticmapreduce:PutBlockPublicAccessConfiguration",
"elasticmapreduce:PutManagedScalingPolicy",
"elasticmapreduce:RemoveAutoScalingPolicy",
"elasticmapreduce:RemoveManagedScalingPolicy",
"elasticmapreduce:RemoveTags",
"elasticmapreduce:SetTerminationProtection",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:TerminateJobFlows",
"elasticmapreduce:ViewEventsFromAllClustersInConsole"
],
"Resource": [
"*"
]
},
{
"Sid": "ViewMetricsInEMRConsole",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
]
},
{
"Sid": "PassRoleForElasticMapReduce",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_DefaultRole",
"arn:aws:iam::*:role/EMR_DefaultRole_V2"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "elasticmapreduce.amazonaws.com*"
}
}
},
{
"Sid": "PassRoleForEC2",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_EC2_DefaultRole"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "ec2.amazonaws.com*"
}
}
},
{
"Sid": "PassRoleForAutoScaling",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_AutoScaling_DefaultRole"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "application-autoscaling.amazonaws.com*"
}
}
},
{
"Sid": "ElasticMapReduceServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/elasticmapreduce.amazonaws.com*/AWSServiceRoleForEMRCleanup*"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"elasticmapreduce.amazonaws.com",
"elasticmapreduce.amazonaws.com.rproxy.govskope.us.cn"
]
}
}
},
{
"Sid": "ConsoleUIActions",
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeKeyPairs",
"ec2:DescribeNatGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"s3:ListAllMyBuckets",
"iam:ListRoles"
],
"Resource": [
"*"
]
}
]
}
```
------
# Policy IAM gestite per l'accesso completo (presto obsolete)
Le policy gestite `AmazonElasticMapReduceFullAccess` e `AmazonEMRFullAccessPolicy_v2` AWS Identity and Access Management (IAM) garantiscono tutte le azioni richieste per Amazon EMR e altri servizi.
**Importante**
La policy gestita `AmazonElasticMapReduceFullAccess` diventerà presto obsoleta, pertanto ti consigliamo di non utilizzarla con Amazon EMR. Utilizza invece [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md). Quando il servizio IAM imposterà come obsoleta la policy v1, non sarà possibile collegarla a un ruolo. Tuttavia, puoi collegare un ruolo esistente a un cluster anche se tale ruolo utilizza la policy obsoleta.
Le policy gestite predefinite con autorizzazioni complete di Amazon EMR incorporano configurazioni di sicurezza `iam:PassRole`, tra cui:
+ Autorizzazioni `iam:PassRole` solo per specifici ruoli Amazon EMR predefiniti.
+ `iam:PassedToService`condizioni che consentono di utilizzare la politica solo con AWS servizi specifici, come `elasticmapreduce.amazonaws.com` e`ec2.amazonaws.com`.
Puoi visualizzare la versione JSON delle policy Amazon \$1v2 [EMRFullAccessPolicye [Amazon EMRService Policy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2)](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRFullAccessPolicy_v2) nella console IAM. Ti consigliamo di creare i nuovi cluster con le policy gestite v2.
Puoi visualizzare il contenuto della policy v1 obsoleta all'indirizzo. Console di gestione AWS [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonElasticMapReduceFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonElasticMapReduceFullAccess) L'operazione `ec2:TerminateInstances` nella policy concede all'utente o al ruolo l'autorizzazione a terminare qualsiasi istanza Amazon EC2 associata all'account IAM. Sono incluse le istanze che non fanno parte di un cluster EMR.
# Policy gestita IAM per l'accesso in sola lettura (policy predefinita gestita v2) per Amazon EMR
**Per concedere privilegi di sola lettura ad Amazon EMR, collega la policy gestita Amazon \$1v2. EMRRead OnlyAccessPolicy** Questa policy gestita predefinita sostituisce la policy gestita [`AmazonElasticMapReduceReadOnlyAccess`](emr-managed-policy-readonly.md). Il contenuto di questa dichiarazione di policy è riportato nel frammento seguente. Rispetto alla policy `AmazonElasticMapReduceReadOnlyAccess`, la policy `AmazonEMRReadOnlyAccessPolicy_v2` non utilizza caratteri jolly per l'elemento `elasticmapreduce`. Al contrario, gli ambiti delle policy v2 predefiniti specificano le operazioni `elasticmapreduce` consentite.
**Nota**
Puoi anche utilizzare il link per visualizzare la policy. Console di gestione AWS [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRReadOnlyAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRReadOnlyAccessPolicy_v2)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ElasticMapReduceActions",
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:DescribeJobFlows",
"elasticmapreduce:DescribeSecurityConfiguration",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:DescribeReleaseLabel",
"elasticmapreduce:GetBlockPublicAccessConfiguration",
"elasticmapreduce:GetManagedScalingPolicy",
"elasticmapreduce:GetAutoTerminationPolicy",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListEditors",
"elasticmapreduce:ListInstanceFleets",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListInstances",
"elasticmapreduce:ListSecurityConfigurations",
"elasticmapreduce:ListSteps",
"elasticmapreduce:ListSupportedInstanceTypes",
"elasticmapreduce:ViewEventsFromAllClustersInConsole"
],
"Resource": [
"*"
]
},
{
"Sid": "ViewMetricsInEMRConsole",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
]
}
]
}
```
------
# Policy IAM gestite per l'accesso di sola lettura (presto obsolete)
La policy gestita `AmazonElasticMapReduceReadOnlyAccess` diventerà presto obsoleta. Non è possibile allegare questa policy durante l'avvio di nuovi cluster. `AmazonElasticMapReduceReadOnlyAccess` è stato sostituito con [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) come policy gestita predefinita di Amazon EMR. Il contenuto di questa dichiarazione di policy è riportato nel frammento seguente. I caratteri jolly per l'elemento `elasticmapreduce` specificano che solo le operazioni che iniziano con le stringhe specificate sono consentite. Tieni presente che poiché questa policy non nega esplicitamente le operazioni, un'altra dichiarazione di policy può essere utilizzata per concedere l'accesso alle operazioni specificate.
**Nota**
Puoi anche utilizzare il Console di gestione AWS per visualizzare la politica.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:Describe*",
"elasticmapreduce:List*",
"elasticmapreduce:ViewEventsFromAllClustersInConsole",
"s3:GetObject",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"sdb:Select",
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
],
"Sid": "AllowELASTICMAPREDUCEDescribe"
}
]
}
```
------
# AWS politica gestita: EMRDescribe ClusterPolicyFor EMRWAL
Non è possibile collegare `EMRDescribeClusterPolicyForEMRWAL`alle entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente ad Amazon EMR di eseguire azioni per tuo conto. Per ulteriori informazioni su questo ruolo collegato al servizio, consulta. [Utilizzo di ruoli collegati ai servizi con Amazon EMR per la registrazione write-ahead](using-service-linked-roles-wal.md)
Questa politica concede autorizzazioni di sola lettura che consentono al servizio WAL per Amazon EMR di trovare e restituire lo stato di un cluster. Per ulteriori informazioni su Amazon EMR WAL, consulta [Write-ahead logs (](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-hbase-wal.html)WAL) per Amazon EMR.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `emr`— Consente ai responsabili di descrivere lo stato del cluster da Amazon EMR. Ciò è necessario affinché Amazon EMR possa confermare la chiusura di un cluster e quindi, dopo trenta giorni, ripulire tutti i log WAL lasciati dal cluster.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster"
],
"Resource": [
"*"
],
"Sid": "AllowELASTICMAPREDUCEDescribecluster"
}
]
}
```
------
## AWS politiche gestite per Amazon EMR
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
# Aggiornamenti di Amazon EMR alle AWS politiche gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon EMR da quando questo servizio ha iniziato a tracciare queste modifiche.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md): aggiornamento a una policy esistente | Aggiunto ec2:CreateVpcEndpoint e ec2:CreateTags richiesto per un'esperienza ottimale, a partire dalla release 7.5.0 di Amazon EMR. ec2:ModifyVpcEndpoint | 4 marzo 2025 |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md): aggiornamento di una policy esistente | Aggiunto elasticmapreduce:CreatePersistentAppUIelasticmapreduce:DescribePersistentAppUI, e. elasticmapreduce:GetPersistentAppUIPresignedURL | 28 febbraio 2025 |
| [`EMRDescribeClusterPolicyForEMRWAL`](EMRDescribeClusterPolicyForEMRWAL.md): nuova policy | È stata aggiunta una nuova policy in modo che Amazon EMR possa determinare lo stato del cluster per la pulizia WAL trenta giorni dopo la chiusura del cluster. | 10 agosto 2023 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) e [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md): aggiornamento a una policy esistente | Aggiunto elasticmapreduce:DescribeReleaseLabel e elasticmapreduce:GetAutoTerminationPolicy. | 21 aprile 2022 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md): aggiornamento di una policy esistente | Aggiunta di ec2:DescribeImages per [Utilizzo di un'AMI personalizzata per fornire maggiore flessibilità per la configurazione del cluster Amazon EMR](emr-custom-ami.md). | 15 febbraio 2022 |
| [**Policy gestite da Amazon EMR**](emr-managed-iam-policies.md) | Aggiornato per chiarire l'uso di tag utente predefiniti. È stata aggiunta una sezione sull'utilizzo della AWS console per avviare cluster con politiche gestite v2. | 29 settembre 2021 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md): aggiornamento di una policy esistente | Modifica delle operazioni PassRoleForAutoScaling e PassRoleForEC2 per utilizzare l'operatore di condizione StringLike in modo che corrispondano a "iam:PassedToService":"application-autoscaling.amazonaws.com\$1" e "iam:PassedToService":"ec2.amazonaws.com\$1" rispettivamente. | 20 maggio 2021 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md): aggiornamento di una policy esistente | Rimozione dell'operazione `s3:ListBuckets` non valida e sostituzione con l'operazione `s3:ListAllMyBuckets`. Aggiornamento della creazione del ruolo collegato al servizio (SLR) in modo esplicito fino all'unico SLR di Amazon EMR con principi di servizio espliciti. I file SLRs che possono essere creati sono esattamente gli stessi di prima di questa modifica. | 23 marzo 2021 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md): nuova policy | Amazon EMR ha aggiunto nuove autorizzazioni per l'ambito dell'accesso alle risorse e per aggiungere il prerequisito secondo cui gli utenti devono aggiungere un tag utente predefinito alle risorse prima di poter utilizzare le policy gestite da Amazon EMR. L'operazione `iam:PassRole` richiede che la condizione `iam:PassedToService` sia impostata sul servizio specificato. L'accesso ad Amazon EC2, Amazon S3 e ad altri servizi non è consentito per impostazione predefinita. | 11 marzo 2021 |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md): nuova policy | Aggiunge il prerequisito secondo cui gli utenti devono aggiungere tag utente alle risorse prima di poter utilizzare questa policy. | 11 marzo 2021 |
| [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md): nuova policy | Le autorizzazioni si riferiscono esclusivamente alle operazioni elasticmapreduce di sola lettura specificate. Per impostazione predefinita, l'accesso ad Amazon S3 non è consentito. | 11 marzo 2021 |
| Amazon EMR ha iniziato a monitorare le modifiche | Amazon EMR ha iniziato a tracciare le modifiche per le sue politiche AWS gestite. | 11 marzo 2021 |