翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon EMR 管理ポリシー
必要な Amazon EMR アクションにフルアクセスまたは読み取り専用アクセスを付与する最も簡単な方法は、Amazon EMR の IAM 管理ポリシーを使用することです。管理ポリシーは、アクセス権限の条件が変更された場合に、自動的に更新されるというメリットを提供します。インラインポリシーを使用する場合は、サービスの変更によってアクセス許可エラーが発生する場合があります。
Amazon EMR は、新しい管理ポリシー (v2 ポリシー) を優先して、既存の管理ポリシー (v1 ポリシー) を廃止します。新しい マネージドポリシーは、 AWS ベストプラクティスに合わせてスコープダウンされています。既存の v1 管理ポリシーが廃止されると、これらのポリシーを新しい IAM ロールまたはユーザーにアタッチできなくなります。廃止されたポリシーを使用している既存のロールおよびユーザーは、それらを引き続き使用できます。v2 管理ポリシーは、タグを使用してアクセスを制限します。指定された Amazon EMR アクションのみが許可され、EMR 固有のキーでタグ付けされたクラスターリソースが必要です。新しい v2 ポリシーを使用する前に、ドキュメントを慎重に確認することをお勧めします。
v1 ポリシーには非推奨のマークが付けられ、IAM コンソールの **[Policies]** (ポリシー) リストの横に警告アイコンとともに表示されます。非推奨ポリシーには、次の特徴があります。
+ 現在アタッチされているすべてのユーザー、グループ、およびロールで引き続き機能します。中断される処理はありません。
+ 新しいユーザー、グループ、またはロールにアタッチすることはできません。現在のエンティティからポリシーのいずれかをデタッチした場合、再アタッチすることはできません。
+ 現在のすべてのエンティティから v1 ポリシーをデタッチすると、ポリシーは表示されなくなり、使用できなくなります。
次の表は、現在のポリシー (v1) ポリシーと v2 ポリシーの変更点をまとめたものです。
**Amazon EMR 管理ポリシーの変更**
| ポリシータイプ | ポリシー名 | ポリシーの目的 | v2 ポリシーへの変更 |
| --- | --- | --- | --- |
| デフォルトの EMR サービスロールとアタッチされた管理ポリシー | ロール名: **EMR\$1DefaultRole** V1 ポリシー (非推奨化予定): **AmazonElasticMapReduceRole** (EMR サービスロール) V2 (範囲制限) ポリシー名: [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) | リソースをプロビジョニングし AWS 、サービスレベルのアクションを実行するときに、Amazon EMR がユーザーに代わって他の サービスを呼び出すことを許可します。このロールは、すべてのクラスターに必須です。 | ポリシーは新しいアクセス許可 `"ec2:DescribeInstanceTypeOfferings"` を追加します。この API オペレーションは、特定のアベイラビリティーゾーンのリストでサポートされているインスタンスタイプのリストを返します。 |
| アタッチされたユーザー、ロール、またはグループによる完全な Amazon EMR アクセスのための IAM 管理ポリシー | V2 (範囲制限) ポリシー名: [`AmazonEMRServicePolicy_v2`](emr-managed-policy-fullaccess-v2.md) | EMR アクションに対する完全なアクセス許可をユーザーに許可します。リソースに対する iam:PassRole アクセス許可が含まれます。 | ポリシーは、ユーザーがこのポリシーを使用する前にリソースにユーザータグを追加する必要があるという前提条件を追加します。「[管理ポリシーを使用するためにリソースにタグを付ける](#manually-tagged-resources)」を参照してください。 iam:PassRole アクションでは、指定されたサービスに iam:PassedToService 条件を設定する必要があります。デフォルトでは、Amazon EC2、Amazon S3、およびその他のサービスへのアクセスは許可されていません。「[フルアクセス用の IAM 管理ポリシー (v2 管理デフォルトポリシー)](emr-managed-policy-fullaccess-v2.md)」を参照してください。 |
| アタッチされたユーザー、ロール、またはグループによる読み取り専用アクセスのための IAM 管理ポリシー | V1 ポリシー (非推奨化予定): [`AmazonElasticMapReduceReadOnlyAccess`](emr-managed-policy-readonly.md) V2 (範囲制限) ポリシー名: [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) | Amazon EMR アクションに対する読み取り専用アクセス許可をユーザーに許可します。 | アクセス許可によって、指定された elasticmapreduce の読み取り専用アクションのみが許可されます。Amazon S3 へのアクセスは、デフォルトではアクセスが許可されていません。「[読み取り専用アクセス用の IAM 管理ポリシー (v2 管理デフォルトポリシー)](emr-managed-policy-readonly-v2.md)」を参照してください。 |
| デフォルトの EMR サービスロールとアタッチされた管理ポリシー | ロール名: **EMR\$1DefaultRole** V1 ポリシー (非推奨化予定): **AmazonElasticMapReduceRole** (EMR サービスロール) V2 (範囲制限) ポリシー名: [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) | リソースをプロビジョニングし AWS 、サービスレベルのアクションを実行するときに、Amazon EMR がユーザーに代わって他の サービスを呼び出すことを許可します。このロールは、すべてのクラスターに必須です。 | v2 サービスロールと v2 デフォルトポリシーは、非推奨のロールとポリシーを置き換えます。このポリシーは、ユーザーがこのポリシーを使用する前にリソースにユーザータグを追加する必要があるという前提条件を追加します。「[管理ポリシーを使用するためにリソースにタグを付ける](#manually-tagged-resources)」を参照してください 「[Amazon EMR のサービスロール (EMR ロール)](emr-iam-role.md)」を参照してください |
| クラスター EC2 インスタンスのサービスロール (EC2 インスタンスプロファイル) | ロール名: **EMR\$1EC2\$1DefaultRole** 非推奨のポリシー名:**AmazonElasticMapReduceforEC2Role** | EMR クラスターで実行されているアプリケーションが、Amazon S3 などの他の AWS リソースにアクセスできるようにします。例えば、Amazon S3 からのデータを処理する Apache Spark ジョブを実行する場合、ポリシーでそのようなリソースへのアクセスを許可する必要があります。 | デフォルトロールとデフォルトポリシーの両方が非推奨予定です。代替の AWS デフォルトのマネージドロールまたはポリシーはありません。リソースベースまたは ID ベースのポリシーを提供する必要があります。つまり、デフォルトでは、EMR クラスターで実行されているアプリケーションは、ポリシーに手動で追加しない限り、Amazon S3 やその他のリソースにアクセスできません。「[デフォルトのロールとデフォルトの管理ポリシー](emr-iam-role-for-ec2.md#emr-ec2-role-default)」を参照してください。 |
| その他の EC2 サービスロールポリシー | 現在のポリシー名: **AmazonElasticMapReduceforAutoScalingRole、AmazonElasticMapReduceEditorsRole, AmazonEMRCleanupPolicy** | Amazon EMR が他の AWS リソースにアクセスし、アクションを実行するため (自動スケーリング、ノートブックを使用する場合)、または EC2 リソースをクリーンアップするために必要なアクセス許可を提供します。 | v2 で変更はありません。 |
## iam:PassRole の保護
Amazon EMR のフルアクセス許可のデフォルトの管理ポリシーには、次を含む `iam:PassRole` セキュリティ設定が組み込まれています。
+ 特定のデフォルトの Amazon EMR ロール専用の `iam:PassRole` アクセス許可。
+ `iam:PassedToService` `elasticmapreduce.amazonaws.com`や などの指定された AWS サービスでのみポリシーを使用できるようにする 条件`ec2.amazonaws.com`。
IAM コンソールで [AmazonEMRFullAccessPolicy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRFullAccessPolicy_v2) および [AmazonEMRServicePolicy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2) ポリシーの JSON バージョンを表示できます。v2 管理ポリシーを使用して新しいクラスターを作成することが推奨されます。
カスタムポリシーを作成するには、管理ポリシーから始め、条件にしたがって編集することをお勧めします。
ユーザー (プリンシパル) にポリシーをアタッチする方法については、「*IAM ユーザーガイド*」の「[Working with managed policies using the AWS マネジメントコンソール](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html#policies_using-managed-console)」を参照してください。
## 管理ポリシーを使用するためにリソースにタグを付ける
**AmazonEMRServicePolicy\$1v2** および **AmazonEMRFullAccessPolicy\$1v2** は、Amazon EMR がプロビジョニングまたは使用するリソースへの範囲が制限されたアクセス権限に依存します。事前に定義されたユーザータグが関連付けられているリソースのみにアクセスを制限することで、範囲制限を行います。これらの 2 つのポリシーのいずれかを使用する場合は、クラスターをプロビジョニングする際に、事前定義のユーザータグ `for-use-with-amazon-emr-managed-policies = true` を渡す必要があります。Amazon EMR はそのタグを自動的に伝播します。さらに、次のセクションにリストされているリソースにユーザータグを追加する必要があります。Amazon EMR コンソールを使用してクラスターを起動する場合は、「[Amazon EMR コンソールで v2 管理ポリシーを使用してクラスターを起動する際の考慮事項](#emr-cluster-v2policy-awsconsole-launch)」を参照してください。
管理ポリシーを使用するには、CLI、SDK、またはその他の方法を使用してクラスターをプロビジョニングする際に、ユーザータグ `for-use-with-amazon-emr-managed-policies = true` を渡します。
タグを渡すと、Amazon EMR は、作成したプライベートサブネット ENI、EC2 インスタンス、および EBS ボリュームにタグを伝播します。Amazon EMR は、作成するセキュリティグループにも自動的にタグ付けします。ただし、特定のセキュリティグループで Amazon EMR を起動するには、タグを付ける必要があります。Amazon EMR によって作成されていないリソースの場合は、それらのリソースにタグを追加する必要があります。例えば、Amazon EC2 サブネット、EC2 セキュリティグループ (Amazon EMR によって作成されていない場合)、VPC (Amazon EMR でセキュリティグループを作成する場合) にタグを付ける必要があります。VPC で v2 管理ポリシーを使用してクラスターを起動するには、事前定義のユーザータグでそれらの VPC にタグを付ける必要があります。「[Amazon EMR コンソールで v2 管理ポリシーを使用してクラスターを起動する際の考慮事項](#emr-cluster-v2policy-awsconsole-launch)」を参照してください。
**伝播されたユーザー指定のタグ付け**
Amazon EMR は、クラスターの作成時に指定した Amazon EMR タグを使用して、作成したリソースにタグを付けます。Amazon EMR は、クラスターの存続期間中に作成したリソースにタグを適用します。
Amazon EMR は、次のリソースのユーザータグを伝播します。
+ プライベートサブネット ENI (サービスアクセス Elastic Network Interface)
+ EC2 インスタンス
+ EBS ボリューム
+ EC2 起動テンプレート
**自動的にタグ付けされたセキュリティグループ**
Amazon EMR は、create cluster コマンドで指定したタグに関係なく、Amazon EMR の v2 管理ポリシーに必要なタグ `for-use-with-amazon-emr-managed-policies` を使用して、作成した EC2 セキュリティグループにタグ付けします。v2 管理ポリシーの導入前に作成されたセキュリティグループの場合、Amazon EMR はセキュリティグループに自動的にタグを付けません。アカウントにすでに存在するデフォルトのセキュリティグループで v2 管理ポリシーを使用する場合は、`for-use-with-amazon-emr-managed-policies = true` を使用して、セキュリティグループに手動でタグを付ける必要があります。
**手動でタグ付けされたクラスターリソース**
Amazon EMR のデフォルトロールからアクセスできるように、一部のクラスターリソースに手動でタグ付けする必要があります。
+ Amazon EMR 管理ポリシータグ `for-use-with-amazon-emr-managed-policies` を使用して、EC2 セキュリティグループと EC2 サブネットに手動でタグ付けする必要があります。
+ Amazon EMR でデフォルトのセキュリティグループを作成する場合は、VPC に手動でタグ付けする必要があります。EMR は、デフォルトのセキュリティグループがまだ存在しない場合、特定のタグを使用してセキュリティグループを作成しようとします。
Amazon EMR は、次のリソースに自動的にタグ付けします。
+ EMR が作成した EC2 セキュリティグループ
次のリソースに手動でタグ付けを行う必要があります。
+ EC2 サブネット
+ EC2 セキュリティグループ
必要に応じて、次のリソースに手動でタグ付けできます。
+ VPC - Amazon EMR でセキュリティグループを作成する場合のみ
## Amazon EMR コンソールで v2 管理ポリシーを使用してクラスターを起動する際の考慮事項
Amazon EMR コンソールで v2 管理ポリシーを使用してクラスターをプロビジョニングできます。コンソールを使用して Amazon EMR クラスターを起動する場合の考慮事項を以下にいくつか示します。
+ 事前定義のタグを渡す必要はありません。Amazon EMR はタグを自動的に追加し、適切なコンポーネントに伝播します。
+ 手動でタグ付けする必要があるコンポーネントの場合、リソースにタグ付けするのに必要なアクセス許可を持っていれば、古い Amazon EMR コンソールがそれらのコンポーネントに自動的にタグ付けしようとします。リソースにタグ付けするためのアクセス許可を持っていない場合、またはコンソールを使用する場合は、管理者にリソースのタグ付けを依頼してください。
+ すべての前提条件が満たされない限り、v2 管理ポリシーを使用してクラスターを起動することはできません。
+ 古い Amazon EMR コンソールには、タグ付けする必要があるリソース (VPC/サブネット) が表示されます。
# Amazon EMR のフルアクセス用の IAM 管理ポリシー (v2 管理デフォルトポリシー)
v2 範囲制限 EMR デフォルト管理ポリシーは、特定のアクセス権限をユーザーに付与します。事前定義された Amazon EMR リソースタグおよび Amazon EMR で使用されるリソース (クラスターの起動に使用する `Subnet` や `SecurityGroup` など) への `iam:PassRole` 条件キーが必要です。
Amazon EMR を対象とした必要なアクションを許可するには、`AmazonEMRFullAccessPolicy_v2` 管理ポリシーをアタッチします。この更新されたデフォルト管理ポリシーは、[`AmazonElasticMapReduceFullAccess`](emr-managed-policy-fullaccess.md) 管理ポリシーを置き換えます。
`AmazonEMRFullAccessPolicy_v2` は、Amazon EMR がプロビジョニングまたは使用するリソースへの、範囲が制限されたアクセス権限に依存します。このポリシーを使用する場合は、クラスターのプロビジョニング時にユーザータグ `for-use-with-amazon-emr-managed-policies = true` を渡す必要があります。Amazon EMR はタグを自動的に伝播します。さらに、Amazon EMR によって作成されていない EC2 セキュリティグループなど、特定のタイプのリソースにユーザータグを手動で追加する必要がある場合があります。詳細については、「[管理ポリシーを使用するためにリソースにタグを付ける](emr-managed-iam-policies.md#manually-tagged-resources)」を参照してください。
[https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2) ポリシーは、以下のようにしてリソースを保護します。
+ クラスターの作成と Amazon EMR アクセス用に、事前定義された Amazon EMR 管理ポリシータグ `for-use-with-amazon-emr-managed-policies` を使用してリソースにタグを付ける必要があります。
+ `iam:PassRole` アクションを特定のデフォルトロールに制限し、`iam:PassedToService` アクセスを特定のサービスに制限します。
+ デフォルトでは、Amazon EC2、Amazon S3、およびその他のサービスへのアクセス権限は提供されなくなっています。
このポリシーの内容は次のとおりです。
**注記**
コンソールリンク [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2) を使用してポリシーを表示することもできます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RunJobFlowExplicitlyWithEMRManagedTag",
"Effect": "Allow",
"Action": [
"elasticmapreduce:RunJobFlow"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "ElasticMapReduceActions",
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddInstanceFleet",
"elasticmapreduce:AddInstanceGroups",
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:AddTags",
"elasticmapreduce:CancelSteps",
"elasticmapreduce:CreateEditor",
"elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:CreateSecurityConfiguration",
"elasticmapreduce:DeleteEditor",
"elasticmapreduce:DeleteSecurityConfiguration",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:DescribeJobFlows",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:DescribeSecurityConfiguration",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:DescribeReleaseLabel",
"elasticmapreduce:GetBlockPublicAccessConfiguration",
"elasticmapreduce:GetManagedScalingPolicy",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"elasticmapreduce:GetAutoTerminationPolicy",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListEditors",
"elasticmapreduce:ListInstanceFleets",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListInstances",
"elasticmapreduce:ListSecurityConfigurations",
"elasticmapreduce:ListSteps",
"elasticmapreduce:ListSupportedInstanceTypes",
"elasticmapreduce:ModifyCluster",
"elasticmapreduce:ModifyInstanceFleet",
"elasticmapreduce:ModifyInstanceGroups",
"elasticmapreduce:OpenEditorInConsole",
"elasticmapreduce:PutAutoScalingPolicy",
"elasticmapreduce:PutBlockPublicAccessConfiguration",
"elasticmapreduce:PutManagedScalingPolicy",
"elasticmapreduce:RemoveAutoScalingPolicy",
"elasticmapreduce:RemoveManagedScalingPolicy",
"elasticmapreduce:RemoveTags",
"elasticmapreduce:SetTerminationProtection",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:TerminateJobFlows",
"elasticmapreduce:ViewEventsFromAllClustersInConsole"
],
"Resource": [
"*"
]
},
{
"Sid": "ViewMetricsInEMRConsole",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
]
},
{
"Sid": "PassRoleForElasticMapReduce",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_DefaultRole",
"arn:aws:iam::*:role/EMR_DefaultRole_V2"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "elasticmapreduce.amazonaws.com*"
}
}
},
{
"Sid": "PassRoleForEC2",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_EC2_DefaultRole"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "ec2.amazonaws.com*"
}
}
},
{
"Sid": "PassRoleForAutoScaling",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_AutoScaling_DefaultRole"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "application-autoscaling.amazonaws.com*"
}
}
},
{
"Sid": "ElasticMapReduceServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/elasticmapreduce.amazonaws.com*/AWSServiceRoleForEMRCleanup*"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"elasticmapreduce.amazonaws.com",
"elasticmapreduce.amazonaws.com.rproxy.govskope.us.cn"
]
}
}
},
{
"Sid": "ConsoleUIActions",
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeKeyPairs",
"ec2:DescribeNatGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"s3:ListAllMyBuckets",
"iam:ListRoles"
],
"Resource": [
"*"
]
}
]
}
```
------
# フルアクセス用の IAM 管理ポリシー (非推奨化予定)
`AmazonElasticMapReduceFullAccess` および `AmazonEMRFullAccessPolicy_v2` AWS Identity and Access Management (IAM) 管理ポリシーは、Amazon EMR およびその他のサービスに必要なすべてのアクションを付与します。
**重要**
`AmazonElasticMapReduceFullAccess` 管理ポリシーは廃止予定であり、Amazon EMR での使用は推奨されなくなりました。代わりに [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) を使用してください。最終的に IAM サービスで v1 ポリシーが廃止されると、このポリシーはロールにアタッチできなくなります。ただし、既存のロールが廃止されたポリシーを使用している場合でも、そのロールをクラスターにアタッチすることはできます。
Amazon EMR のフルアクセス許可のデフォルトの管理ポリシーには、次を含む `iam:PassRole` セキュリティ設定が組み込まれています。
+ 特定のデフォルトの Amazon EMR ロール専用の `iam:PassRole` アクセス許可。
+ `iam:PassedToService` `elasticmapreduce.amazonaws.com`や などの指定された AWS サービスでのみポリシーを使用できるようにする 条件`ec2.amazonaws.com`。
IAM コンソールで [AmazonEMRFullAccessPolicy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRFullAccessPolicy_v2) および [AmazonEMRServicePolicy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2) ポリシーの JSON バージョンを表示できます。v2 管理ポリシーを使用して新しいクラスターを作成することが推奨されます。
廃止された v1 ポリシーの内容は、 の AWS マネジメントコンソール で確認できます[https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonElasticMapReduceFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonElasticMapReduceFullAccess)。ポリシー内の `ec2:TerminateInstances` アクションは、IAM アカウントに関連付けられている Amazon EC2 インスタンスを終了するためのアクセス許可をユーザーまたはロールに付与します。これには、EMR クラスターの一部ではないインスタンスも含まれます。
# Amazon EMR の読み取り専用アクセス用の IAM 管理ポリシー (v2 管理デフォルトポリシー)
Amazon EMR に読み取り専用権限を付与するには、**AmazonEMRReadOnlyAccessPolicy\$1v2** 管理ポリシーをアタッチします。このデフォルト管理ポリシーは、[`AmazonElasticMapReduceReadOnlyAccess`](emr-managed-policy-readonly.md) 管理ポリシーを置き換えます。次のスニペットは、このポリシーステートメントの内容を示しています。`AmazonElasticMapReduceReadOnlyAccess` ポリシーと比較すると、`AmazonEMRReadOnlyAccessPolicy_v2` ポリシーでは、`elasticmapreduce` 要素にワイルドカード文字を使用しません。代わりに、デフォルトの v2 ポリシーでは、許容される `elasticmapreduce` アクションの範囲を設定します。
**注記**
AWS マネジメントコンソール リンクを使用してポリシー[https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRReadOnlyAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRReadOnlyAccessPolicy_v2)を表示することもできます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ElasticMapReduceActions",
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:DescribeJobFlows",
"elasticmapreduce:DescribeSecurityConfiguration",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:DescribeReleaseLabel",
"elasticmapreduce:GetBlockPublicAccessConfiguration",
"elasticmapreduce:GetManagedScalingPolicy",
"elasticmapreduce:GetAutoTerminationPolicy",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListEditors",
"elasticmapreduce:ListInstanceFleets",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListInstances",
"elasticmapreduce:ListSecurityConfigurations",
"elasticmapreduce:ListSteps",
"elasticmapreduce:ListSupportedInstanceTypes",
"elasticmapreduce:ViewEventsFromAllClustersInConsole"
],
"Resource": [
"*"
]
},
{
"Sid": "ViewMetricsInEMRConsole",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
]
}
]
}
```
------
# 読み取り専用アクセス用の IAM 管理ポリシー (非推奨化予定)
`AmazonElasticMapReduceReadOnlyAccess` 管理ポリシーは、非推奨になる予定です。新しいクラスターの起動時に、このポリシーをアタッチすることはできません。`AmazonElasticMapReduceReadOnlyAccess` は、Amazon EMR デフォルト管理ポリシーとして [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) に置き換えられました。次のスニペットは、このポリシーステートメントの内容を示しています。`elasticmapreduce` 要素のワイルドカード文字は、指定文字列で始まるアクションのみが許可されるように指定します。このポリシーは明示的にアクションを拒否しないため、別のポリシーステートメントが指定したアクションへのアクセス許可に使用される場合があることに注意してください。
**注記**
を使用してポリシー AWS マネジメントコンソール を表示することもできます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:Describe*",
"elasticmapreduce:List*",
"elasticmapreduce:ViewEventsFromAllClustersInConsole",
"s3:GetObject",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"sdb:Select",
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
],
"Sid": "AllowELASTICMAPREDUCEDescribe"
}
]
}
```
------
# AWS マネージドポリシー: EMRDescribeClusterPolicyForEMRWAL
IAM エンティティに `EMRDescribeClusterPolicyForEMRWAL` をアタッチすることはできません。このポリシーは、Amazon EMR がユーザーに代わってアクションを実行することを許可するサービスリンクロールにアタッチされます。このサービスリンクロールの詳細については、「[Amazon EMR でサービスリンクロールを使用して先書きログを作成する](using-service-linked-roles-wal.md)」を参照してください。
このポリシーは、Amazon EMR の WAL サービスがクラスターのステータスを検索して返せるようにする読み取り専用許可を付与します。Amazon EMR WAL の詳細については、「[Write-ahead logs (WAL) for Amazon EMR](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-hbase-wal.html)」を参照してください。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `emr` – プリンシパルが Amazon EMR からクラスターステータスを記述できるようにします。これは、Amazon EMR がクラスターがいつ終了したかを確認し、30 日後にクラスターによって残された WAL ログをクリーンアップするために必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster"
],
"Resource": [
"*"
],
"Sid": "AllowELASTICMAPREDUCEDescribecluster"
}
]
}
```
------
## AWS Amazon EMR の マネージドポリシー
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
# AWS マネージドポリシーに対する Amazon EMR の更新
このサービスがこれらの変更の追跡を開始してからの Amazon EMR の AWS マネージドポリシーの更新に関する詳細を表示します。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) - 既存ポリシーへの更新 | Amazon EMR リリース 7.5.0 以降、最適なエクスペリエンスを実現するために ec2:CreateVpcEndpoint、ec2:ModifyVpcEndpoint、ec2:CreateTags を追加しました。 | 2025 年 3 月 4 日 |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) – 既存ポリシーへの更新 | elasticmapreduce:CreatePersistentAppUI、elasticmapreduce:DescribePersistentAppUI、および elasticmapreduce:GetPersistentAppUIPresignedURL が追加されました。 | 2025 年 2 月 28 日 |
| [`EMRDescribeClusterPolicyForEMRWAL`](EMRDescribeClusterPolicyForEMRWAL.md) - 新しいポリシー | Amazon EMR がクラスターの終了から 30 日後に WAL クリーンアップのクラスターステータスを判断できるように、新しいポリシーを追加しました。 | 2023 年 8 月 10 日 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) と [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) – 既存のポリシーに対する更新 | elasticmapreduce:DescribeReleaseLabel と elasticmapreduce:GetAutoTerminationPolicy が追加されました。 | 2022 年 4 月 21 日 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) – 既存ポリシーへの更新 | 「[カスタム AMI を使用して Amazon EMR クラスター設定の柔軟性を高める](emr-custom-ami.md)」に ec2:DescribeImages が追加されました。 | 2022 年 2 月 15 日 |
| [**Amazon EMR 管理ポリシー**](emr-managed-iam-policies.md) | 定義済みのユーザータグの使用を明確にするために更新されました。 AWS コンソールを使用して v2 管理ポリシーで clsuter を起動するセクションを追加しました。 | 2021 年 9 月 29 日 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) – 既存ポリシーへの更新 | PassRoleForAutoScaling および PassRoleForEC2 のアクションが変更され、それぞれ "iam:PassedToService":"application-autoscaling.amazonaws.com\$1" および "iam:PassedToService":"ec2.amazonaws.com\$1" に一致するように StringLike 条件演算子が使用されるようになりました。 | 2021 年 5 月 20 日 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) – 既存ポリシーへの更新 | 無効なアクション `s3:ListBuckets` が削除され、`s3:ListAllMyBuckets` アクションに置き換えられました。 サービスにリンクされたロール (SLR) の作成を、明示的なサービス原則で Amazon EMR が備える唯一の SLR に明示的に範囲制限するように更新しました。作成できる SLR は、この変更前とまったく同じです。 | 2021 年 3 月 23 日 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) - 新しいポリシー | Amazon EMR で新しいアクセス許可が追加され、リソースへのアクセスの範囲が制限され、ユーザーが Amazon EMR 管理ポリシーを使用する前に事前定義されたユーザータグをリソースに追加する必要があるという前提条件が追加されました。 `iam:PassRole` アクションを実行するには、指定されたサービスに対して `iam:PassedToService` 条件が設定されている必要があります。デフォルトでは、Amazon EC2、Amazon S3、およびその他のサービスへのアクセスは許可されていません。 | 2021 年 3 月 11 日 |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) - 新しいポリシー | このポリシーを使用するには、ユーザーがリソースにユーザータグを追加する必要があるという前提条件を追加します。 | 2021 年 3 月 11 日 |
| [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) - 新しいポリシー | アクセス許可によって、指定された elasticmapreduce の読み取り専用アクションのみが許可されます。Amazon S3 へのアクセスは、デフォルトではアクセスが許可されていません。 | 2021 年 3 月 11 日 |
| Amazon EMR が変更の追跡を開始しました。 | Amazon EMR は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2021 年 3 月 11 日 |