Aggiungi Gestione dei segreti AWS autorizzazioni al ruolo dell'istanza Amazon EMR

Amazon EMR utilizza un ruolo di servizio IAM per eseguire operazioni per tuo conto per il provisioning e la gestione dei cluster. Il ruolo di servizio per le istanze EC2 del cluster, detto anche profilo dell'istanza EC2 per Amazon EMR, è un tipo speciale di ruolo di servizio che Amazon EMR assegna a ogni istanza EC2 in un cluster all'avvio.

Per definire le autorizzazioni per fare in modo che un cluster EMR interagisca con i dati Amazon S3 e altri servizi AWS , definisci un profilo di istanza Amazon EC2 personalizzato da utilizzare al posto di EMR_EC2_DefaultRole quando avvii il cluster. Per ulteriori informazioni, consultare Ruolo di servizio per istanze EC2 del cluster (profilo istanza EC2) e Personalizza i ruoli IAM con Amazon EMR.

Aggiungi le seguenti istruzioni al profilo di istanza EC2 predefinito per consentire ad Amazon EMR di etichettare le sessioni e accedere ai Gestione dei segreti AWS certificati LDAP che archivia.

    {
      "Sid": "AllowAssumeOfRolesAndTagging",
      "Effect": "Allow",
      "Action": ["sts:TagSession", "sts:AssumeRole"],
      "Resource": [
        "arn:aws:iam::111122223333:role/LDAP_DATA_ACCESS_ROLE_NAME",
        "arn:aws:iam::111122223333:role/LDAP_USER_ACCESS_ROLE_NAME"
      ]
    },
    {
        "Sid": "AllowSecretsRetrieval",
        "Effect": "Allow",
        "Action": "secretsmanager:GetSecretValue",
        "Resource": [
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:LDAP_SECRET_NAME*",
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:ADMIN_LDAP_SECRET_NAME*"
        ]
    }