기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon EMR에서 사용하는 IAM 서비스 역할
클러스터 리소스를 프로비저닝하고, 애플리케이션을 실행하며, 리소스를 동적으로 조정하고, EMR Notebooks를 생성 및 실행하는 경우 Amazon EMR은 IAM 서비스 역할을 사용하여 사용자 대신 작업을 수행합니다. Amazon EMR은 다른 AWS 서비스와 상호 작용할 때 다음 역할을 사용합니다. 각 역할에는 Amazon EMR에서 고유한 기능이 있습니다. 이 섹션의 주제는 역할 기능을 설명하고 기본 역할과 각 역할의 권한 정책을 제공합니다.
클러스터에 AWS 서비스를 직접 호출하는 애플리케이션 코드가 있는 경우 SDK를 사용하여 역할을 지정해야 할 수 있습니다. 자세한 내용은 [AWS 서비스를 직접 호출하는 애플리케이션에서 IAM 역할 사용](emr-iam-roles-calling.md) 단원을 참조하십시오.
**Topics**
+ [Amazon EMR의 서비스 역할(EMR 역할)](emr-iam-role.md)
+ [클러스터 EC2 인스턴스에 대한 서비스 역할(EC2 인스턴스 프로파일)](emr-iam-role-for-ec2.md)
+ [Amazon EMR에서 자동 조정을 위한 서비스 역할(Auto Scaling 역할)](emr-iam-role-automatic-scaling.md)
+ [EMR Notebooks의 서비스 역할](emr-managed-notebooks-service-role.md)
+ [Amazon EMR에 대한 서비스 연결 역할 사용](using-service-linked-roles.md)
# Amazon EMR의 서비스 역할(EMR 역할)
Amazon EMR 역할은 리소스를 프로비저닝하고 클러스터 내에서 실행 중인 Amazon EC2 인스턴스 컨텍스트에서 수행되지 않는 서비스 수준 작업을 수행하는 경우 허용되는 작업을 정의합니다. 예를 들어, 서비스 역할은 클러스터를 시작할 때 EC2 인스턴스를 프로비저닝하는 데 사용됩니다.
+ 기본 역할 이름은 `EMR_DefaultRole_V2`입니다.
+ `EMR_DefaultRole_V2`에 연결된 Amazon EMR의 범위 지정된 기본 관리형 정책은 `AmazonEMRServicePolicy_v2`입니다. 이 v2 정책은 더 이상 사용되지 않는 기본 관리형 정책(`AmazonElasticMapReduceRole`)을 대체합니다.
`AmazonEMRServicePolicy_v2`는 Amazon EMR에서 프로비저닝하거나 사용하는 리소스에 대한 축소된 액세스에 의존합니다. 이 정책을 사용하는 경우 클러스터를 프로비저닝할 때 사용자 태그(`for-use-with-amazon-emr-managed-policies = true`)를 전달해야 합니다. Amazon EMR은 이러한 태그를 자동으로 전파합니다. 또한 Amazon EMR에서 생성하지 않은 EC2 보안 그룹과 같은 특정 유형의 리소스에 사용자 태그를 수동으로 추가해야 할 수도 있습니다. [관리형 정책을 사용하기 위해 리소스에 태그 지정](emr-managed-iam-policies.md#manually-tagged-resources)을(를) 참조하세요.
**중요**
Amazon EMR은 이 Amazon EMR 서비스 역할 및 `AWSServiceRoleForEMRCleanup` 역할을 사용하여 계정에서 Amazon EC2 인스턴스와 같이 더 이상 사용하지 않는 클러스터 리소스를 정리합니다. 리소스를 삭제하거나 종료하려면 역할 정책에 대한 작업을 포함해야 합니다. 그렇지 않으면 Amazon EMR에서 이러한 정리 작업을 수행할 수 없으며 클러스터에 남은 미사용 리소스에 대한 비용이 발생할 수 있습니다.
다음은 현재 `AmazonEMRServicePolicy_v2` 정책의 콘텐츠를 보여줍니다. IAM 콘솔에서 [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2) 관리형 정책의 현재 콘텐츠를 볼 수도 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateInTaggedNetwork",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:RunInstances",
"ec2:CreateFleet",
"ec2:CreateLaunchTemplate",
"ec2:CreateLaunchTemplateVersion"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "CreateWithEMRTaggedLaunchTemplate",
"Effect": "Allow",
"Action": [
"ec2:CreateFleet",
"ec2:RunInstances",
"ec2:CreateLaunchTemplateVersion"
],
"Resource": [
"arn:aws:ec2:*:*:launch-template/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "CreateEMRTaggedLaunchTemplate",
"Effect": "Allow",
"Action": [
"ec2:CreateLaunchTemplate"
],
"Resource": [
"arn:aws:ec2:*:*:launch-template/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "CreateEMRTaggedInstancesAndVolumes",
"Effect": "Allow",
"Action": [
"ec2:RunInstances",
"ec2:CreateFleet"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "ResourcesToLaunchEC2",
"Effect": "Allow",
"Action": [
"ec2:RunInstances",
"ec2:CreateFleet",
"ec2:CreateLaunchTemplate",
"ec2:CreateLaunchTemplateVersion"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*::image/ami-*",
"arn:aws:ec2:*:*:key-pair/*",
"arn:aws:ec2:*:*:capacity-reservation/*",
"arn:aws:ec2:*:*:placement-group/pg-*",
"arn:aws:ec2:*:*:fleet/*",
"arn:aws:ec2:*:*:dedicated-host/*",
"arn:aws:resource-groups:*:*:group/*"
]
},
{
"Sid": "ManageEMRTaggedResources",
"Effect": "Allow",
"Action": [
"ec2:CreateLaunchTemplateVersion",
"ec2:DeleteLaunchTemplate",
"ec2:DeleteNetworkInterface",
"ec2:ModifyInstanceAttribute",
"ec2:TerminateInstances"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "ManageTagsOnEMRTaggedResources",
"Effect": "Allow",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:launch-template/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "CreateNetworkInterfaceNeededForPrivateSubnet",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "TagOnCreateTaggedEMRResources",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:launch-template/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": [
"RunInstances",
"CreateFleet",
"CreateLaunchTemplate",
"CreateNetworkInterface"
]
}
}
},
{
"Sid": "TagPlacementGroups",
"Effect": "Allow",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"arn:aws:ec2:*:*:placement-group/pg-*"
]
},
{
"Sid": "ListActionsForEC2Resources",
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeCapacityReservations",
"ec2:DescribeDhcpOptions",
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePlacementGroups",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVolumes",
"ec2:DescribeVolumeStatus",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs"
],
"Resource": [
"*"
]
},
{
"Sid": "CreateDefaultSecurityGroupWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "CreateDefaultSecurityGroupInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "TagOnCreateDefaultSecurityGroupWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "ManageSecurityGroups",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "CreateEMRPlacementGroups",
"Effect": "Allow",
"Action": [
"ec2:CreatePlacementGroup"
],
"Resource": [
"arn:aws:ec2:*:*:placement-group/pg-*"
]
},
{
"Sid": "DeletePlacementGroups",
"Effect": "Allow",
"Action": [
"ec2:DeletePlacementGroup"
],
"Resource": [
"*"
]
},
{
"Sid": "AutoScaling",
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:RegisterScalableTarget"
],
"Resource": [
"*"
]
},
{
"Sid": "ResourceGroupsForCapacityReservations",
"Effect": "Allow",
"Action": [
"resource-groups:ListGroupResources"
],
"Resource": [
"*"
]
},
{
"Sid": "AutoScalingCloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms"
],
"Resource": [
"arn:aws:cloudwatch:*:*:alarm:*_EMR_Auto_Scaling"
]
},
{
"Sid": "PassRoleForAutoScaling",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_AutoScaling_DefaultRole"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "application-autoscaling.amazonaws.com*"
}
}
},
{
"Sid": "PassRoleForEC2",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_EC2_DefaultRole"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "ec2.amazonaws.com*"
}
}
},
{
"Sid": "CreateAndModifyEmrServiceVPCEndpoint",
"Effect": "Allow",
"Action": [
"ec2:ModifyVpcEndpoint",
"ec2:CreateVpcEndpoint"
],
"Resource": [
"arn:aws:ec2:*:*:vpc-endpoint/*",
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "CreateEmrServiceVPCEndpoint",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint"
],
"Resource": [
"arn:aws:ec2:*:*:vpc-endpoint/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"aws:RequestTag/Name": "emr-service-vpce"
}
}
},
{
"Sid": "TagEmrServiceVPCEndpoint",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:vpc-endpoint/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateVpcEndpoint",
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"aws:RequestTag/Name": "emr-service-vpce"
}
}
}
]
}
```
------
서비스 역할은 다음 신뢰 정책을 사용해야 합니다.
**중요**
다음 신뢰 정책에는 Amazon EMR에 부여하는 권한을 계정의 특정 리소스로 제한하는 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 및 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 글로벌 조건 키가 포함되어 있습니다. 이를 사용하면 [혼동된 대리자 문제](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)를 방지할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSTSAssumerole",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:aws:iam::123456789012:role/EMRServiceRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:elasticmapreduce:*:123456789012:*"
}
}
}
]
}
```
------
# 클러스터 EC2 인스턴스에 대한 서비스 역할(EC2 인스턴스 프로파일)
클러스터 EC2 인스턴스의 서비스 역할(Amazon EMR에 대한 EC2 인스턴스 프로파일이라고도 함)은 인스턴스를 시작할 때 Amazon EMR 클러스터의 모든 EC2 인스턴스에 할당되는 특별한 유형의 서비스 역할입니다. Hadoop 에코시스템의 상단에서 실행되는 애플리케이션 프로세스는 다른 AWS 제품과 상호 작용하기 위한 권한에 대해 이 역할을 수임합니다.
EC2 인스턴스의 서비스 역할에 대한 자세한 내용은 *IAM 사용 설명서*에서 [IAM 역할을 사용하여 Amazon EC2 인스턴스에서 실행되는 애플리케이션에 권한 부여](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)를 참조하세요.
**중요**
클러스터 EC2 인스턴스의 기본 서비스 역할 및 연결된 AWS 기본 관리`AmazonElasticMapReduceforEC2Role`형 정책은 대체 AWS 관리형 정책이 제공되지 않는 사용 중단 경로에 있습니다. 더 이상 사용되지 않는 역할과 기본 정책을 대체할 인스턴스 프로파일을 생성하고 지정해야 합니다.
## 기본 역할 및 관리형 정책
+ 기본 역할 이름은 `EMR_EC2_DefaultRole`입니다.
+ `EMR_EC2_DefaultRole` 기본 관리형 정책(`AmazonElasticMapReduceforEC2Role`)은 곧 지원이 종료될 예정입니다. EC2 인스턴스 프로파일의 기본 관리형 정책을 사용하는 대신, Amazon EMR에 필요한 S3 버킷 및 기타 리소스에 리소스 기반 정책을 적용하거나 IAM 역할을 인스턴스 프로파일로 사용하는 고객 관리형 정책을 사용합니다. 자세한 내용은 [최소 권한으로 클러스터 EC2 인스턴스에 대한 서비스 역할 생성](#emr-ec2-role-least-privilege) 단원을 참조하십시오.
다음은 `AmazonElasticMapReduceforEC2Role`의 버전 3 콘텐츠를 보여줍니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"cloudwatch:*",
"dynamodb:*",
"ec2:Describe*",
"elasticmapreduce:Describe*",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListInstances",
"elasticmapreduce:ListSteps",
"kinesis:CreateStream",
"kinesis:DeleteStream",
"kinesis:DescribeStream",
"kinesis:GetRecords",
"kinesis:GetShardIterator",
"kinesis:MergeShards",
"kinesis:PutRecord",
"kinesis:SplitShard",
"rds:Describe*",
"s3:*",
"sdb:*",
"sns:*",
"sqs:*",
"glue:CreateDatabase",
"glue:UpdateDatabase",
"glue:DeleteDatabase",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:CreateTable",
"glue:UpdateTable",
"glue:DeleteTable",
"glue:GetTable",
"glue:GetTables",
"glue:GetTableVersions",
"glue:CreatePartition",
"glue:BatchCreatePartition",
"glue:UpdatePartition",
"glue:DeletePartition",
"glue:BatchDeletePartition",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition",
"glue:CreateUserDefinedFunction",
"glue:UpdateUserDefinedFunction",
"glue:DeleteUserDefinedFunction",
"glue:GetUserDefinedFunction",
"glue:GetUserDefinedFunctions"
],
"Sid": "AllowCLOUDWATCH"
}
]
}
```
------
서비스 역할은 다음 신뢰 정책을 사용해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSTSAssumerole",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:aws:iam::123456789012:role/EMR_EC2_DefaultRole"
}
]
}
```
------
## 최소 권한으로 클러스터 EC2 인스턴스에 대한 서비스 역할 생성
가장 좋은 방법은 애플리케이션에 필요한 다른 서비스에 대한 최소 권한이 있는 클러스터 EC2 인스턴스 및 권한 정책에 대한 AWS 서비스 역할을 생성하는 것입니다.
기본 관리형 정책인 `AmazonElasticMapReduceforEC2Role`은 초기 클러스터를 쉽게 시작할 수 있는 권한을 제공합니다. 그러나 `AmazonElasticMapReduceforEC2Role`는 사용 중단 경로에 있으며 Amazon EMR은 사용 중단된 역할에 대한 대체 AWS 관리형 기본 정책을 제공하지 않습니다. 초기 클러스터를 시작하려면 고객 관리형 리소스 기반 또는 ID 기반 정책을 제공해야 합니다.
아래 정책 명령문은 Amazon EMR의 여러 기능에 필요한 권한의 예제를 제공합니다. 이러한 권한을 사용하여 클러스터에 필요한 기능과 리소스에 대한 액세스만 제한하는 권한 정책을 생성하는 것이 좋습니다. 모든 예제 정책 문은 *us-west-2* 리전 및 가상 AWS 계정 ID를 사용합니다*123456789012*. 이를 클러스터에 해당하는 사항으로 바꾸세요.
사용자 지정 역할 생성 및 지정에 대한 자세한 내용은 [Amazon EMR을 사용하여 IAM 역할 사용자 지정](emr-iam-roles-custom.md) 섹션을 참조하세요.
**참고**
EC2에 대한 사용자 지정 EMR 역할을 생성하는 경우 동일한 이름의 인스턴스 프로파일이 자동으로 생성되는 기본 워크플로를 따릅니다. Amazon EC2에서는 서로 다른 이름으로 인스턴스 프로파일과 역할을 생성할 수 있지만 Amazon EMR에서는 이 구성을 지원하지 않으므로 클러스터를 생성할 때 '잘못된 인스턴스 프로파일' 오류가 발생합니다.
### EMRFS를 사용하여 Amazon S3에서 데이터 읽기 및 쓰기
Amazon EMR 클러스터에서 실행되는 애플리케이션이 `s3://mydata` 형식을 사용하여 데이터를 참조할 경우 Amazon EMR에서는 EC2 인스턴스 프로파일을 사용하여 요청합니다. 클러스터는 일반적으로 이 방식으로 Amazon S3에서 데이터를 읽고 쓰며, Amazon EMR은 기본적으로 클러스터 EC2 인스턴스의 서비스 역할에 연결된 권한을 사용합니다. 자세한 내용은 [Amazon S3에 대한 EMRFS 요청의 IAM 역할 구성](emr-emrfs-iam-roles.md) 단원을 참조하십시오.
EMRFS의 IAM 역할은 클러스터 EC2 인스턴스의 서비스 역할에 연결된 권한으로 돌아가므로 EMRFS의 IAM 역할을 사용하고 클러스터 EC2 인스턴스의 서비스 역할에 연결된 EMRFS 및 Amazon S3 권한으로 제한하는 것이 모범 사례입니다.
아래의 샘플 명령문은 Amazon S3에 대한 요청을 수행하기 위해 EMRFS에 필요한 권한을 보여줍니다.
+ *my-data-bucket-in-s3-for-emrfs-reads-and-writes*에서는 클러스터가 */\$1*를 사용하여 데이터와 모든 하위 폴더를 읽고 쓰는 Amazon S3의 버킷을 지정합니다. 이러한 버킷과 애플리케이션에 필요한 폴더만 추가하세요.
+ EMRFS 일관된 보기가 활성화된 경우에만 `dynamodb` 작업을 허용하는 정책 명령문이 필요합니다. *EmrFSMetadata*에서는 EMRFS 일관된 보기의 기본 폴더를 지정합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:GetBucketVersioning",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListBucketVersions",
"s3:ListMultipartUploadParts",
"s3:PutBucketVersioning",
"s3:PutObject",
"s3:PutObjectTagging"
],
"Resource": [
"arn:aws:s3:::my-data-bucket-in-s3-for-emrfs-reads-and-writes",
"arn:aws:s3:::my-data-bucket-in-s3-for-emrfs-reads-and-writes/*"
],
"Sid": "AllowS3Abortmultipartupload"
},
{
"Effect": "Allow",
"Action": [
"dynamodb:CreateTable",
"dynamodb:BatchGetItem",
"dynamodb:BatchWriteItem",
"dynamodb:PutItem",
"dynamodb:DescribeTable",
"dynamodb:DeleteItem",
"dynamodb:GetItem",
"dynamodb:Scan",
"dynamodb:Query",
"dynamodb:UpdateItem",
"dynamodb:DeleteTable",
"dynamodb:UpdateTable"
],
"Resource": [
"arn:aws:dynamodb:*:123456789012:table/EmrFSMetadata"
],
"Sid": "AllowDYNAMODBCreatetable"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"dynamodb:ListTables",
"s3:ListBucket"
],
"Resource": [
"*"
],
"Sid": "AllowCLOUDWATCHPutmetricdata"
},
{
"Effect": "Allow",
"Action": [
"sqs:GetQueueUrl",
"sqs:ReceiveMessage",
"sqs:DeleteQueue",
"sqs:SendMessage",
"sqs:CreateQueue"
],
"Resource": [
"arn:aws:sqs:*:123456789012:EMRFS-Inconsistency-*"
],
"Sid": "AllowSQSGetqueueurl"
}
]
}
```
------
### Amazon S3에 로그 파일 아카이브
다음 정책 명령문은 Amazon EMR 클러스터가 지정된 Amazon S3 위치에 로그 파일을 아카이브하는 것을 허용합니다. 아래 예제에서 클러스터가 생성될 때 *s3://MyLoggingBucket/MyEMRClusterLogs*는 콘솔의 **로그 폴더 S3 위치를** 사용하거나,의 `--log-uri` 옵션을 사용하거나 AWS CLI, `RunJobFlow` 명령의 `LogUri` 파라미터를 사용하여 지정되었습니다. 자세한 내용은 [Amazon S3에 로그 파일 아카이브](emr-plan-debugging.md#emr-plan-debugging-logs-archive) 단원을 참조하십시오.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::MyLoggingBucket/MyEMRClusterLogs/*"
],
"Sid": "AllowS3Putobject"
}
]
}
```
------
### AWS Glue 데이터 카탈로그 사용
다음 정책 설명은 Glue 데이터 카탈로그를 애플리케이션의 AWS 메타스토어로 사용하는 경우 필요한 작업을 허용합니다. 자세한 내용은 *Amazon EMR 릴리스 안내서*[의 Spark SQL AWS 용 메타스토어로 Glue 데이터 카탈로그](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-spark-glue.html) [사용, Hive용 AWS 메타스토어로 Glue](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-hive-metastore-glue.html) 데이터 카탈로그 사용, [AWS Glue 데이터 카탈로그와 함께 Presto 사용을](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-presto-glue.html) 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:UpdateDatabase",
"glue:DeleteDatabase",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:CreateTable",
"glue:UpdateTable",
"glue:DeleteTable",
"glue:GetTable",
"glue:GetTables",
"glue:GetTableVersions",
"glue:CreatePartition",
"glue:BatchCreatePartition",
"glue:UpdatePartition",
"glue:DeletePartition",
"glue:BatchDeletePartition",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition",
"glue:CreateUserDefinedFunction",
"glue:UpdateUserDefinedFunction",
"glue:DeleteUserDefinedFunction",
"glue:GetUserDefinedFunction",
"glue:GetUserDefinedFunctions"
],
"Resource": [
"*"
],
"Sid": "AllowGLUECreatedatabase"
}
]
}
```
------
# Amazon EMR에서 자동 조정을 위한 서비스 역할(Auto Scaling 역할)
Amazon EMR의 Auto Scaling 역할은 서비스 역할과 비슷한 기능을 수행하지만, 환경을 동적으로 조정하기 위한 추가 작업을 허용합니다.
+ 기본 역할 이름은 `EMR_AutoScaling_DefaultRole`입니다.
+ `EMR_AutoScaling_DefaultRole`에 연결된 기본 관리형 정책은 `AmazonElasticMapReduceforAutoScalingRole`입니다.
`AmazonElasticMapReduceforAutoScalingRole`의 버전 1 내용은 아래와 같습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"cloudwatch:DescribeAlarms",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ModifyInstanceGroups"
],
"Effect": "Allow",
"Resource": [
"*"
],
"Sid": "AllowCLOUDWATCHDescribealarms"
}
]
}
```
------
서비스 역할은 다음 신뢰 정책을 사용해야 합니다.
**중요**
다음 신뢰 정책에는 Amazon EMR에 부여하는 권한을 계정의 특정 리소스로 제한하는 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 및 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 글로벌 조건 키가 포함되어 있습니다. 이를 사용하면 [혼동된 대리자 문제](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)를 방지할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:aws:iam::123456789012:role/ApplicationAutoScalingEMRRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:application-autoscaling:*:123456789012:scalable-target/*"
}
},
"Sid": "AllowSTSAssumerole"
}
]
}
```
------
# EMR Notebooks의 서비스 역할
각 EMR 노트북에는 다른 AWS 리소스에 액세스하고 작업을 수행할 수 있는 권한이 필요합니다. 이 서비스 역할에 연결된 IAM 정책은 노트북이 다른 AWS 서비스와 상호 작용할 수 있는 권한을 제공합니다. 를 사용하여 노트북을 생성할 때 *AWS 서비스 역할을* AWS Management Console지정합니다. 기본 역할인 `EMR_Notebooks_DefaultRole`을 사용하거나 생성하는 역할을 지정할 수 있습니다. 이전에 노트북을 생성하지 않은 경우 기본 역할을 생성하도록 선택할 수 있습니다.
+ 기본 역할 이름은 `EMR_Notebooks_DefaultRole`입니다.
+ `EMR_Notebooks_DefaultRole`에 연결된 기본 관리형 정책은 `AmazonElasticMapReduceEditorsRole` 및 `S3FullAccessPolicy`입니다.
서비스 역할은 다음 신뢰 정책을 사용해야 합니다.
**중요**
다음 신뢰 정책에는 Amazon EMR에 부여하는 권한을 계정의 특정 리소스로 제한하는 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 및 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 글로벌 조건 키가 포함되어 있습니다. 이를 사용하면 [혼동된 대리자 문제](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)를 방지할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:aws:iam::123456789012:role/EMRServiceRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:elasticmapreduce:*:123456789012:*"
}
},
"Sid": "AllowSTSAssumerole"
}
]
}
```
------
`AmazonElasticMapReduceEditorsRole` 버전 1의 콘텐츠는 다음과 같습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"elasticmapreduce:ListInstances",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListSteps"
],
"Resource": [
"*"
],
"Sid": "AllowEC2Authorizesecuritygroupegress"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"aws:elasticmapreduce:editor-id",
"aws:elasticmapreduce:job-flow-id"
]
}
},
"Sid": "AllowEC2Createtags"
}
]
}
```
------
다음은 `S3FullAccessPolicy`의 콘텐츠입니다. `S3FullAccessPolicy`를 통해 EMR Notebooks의 서비스 역할이 AWS 계정내 객체에서 모든 Amazon S3 작업을 수행할 수 있습니다. EMR Notebooks에 대한 사용자 지정 서비스 역할을 생성하는 경우 서비스 역할에 Amazon S3 권한을 부여해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": [
"*"
],
"Sid": "AllowS3"
}
]
}
```
------
노트북 파일을 저장하려는 Amazon S3 위치로 서비스 역할에 대한 읽기 및 쓰기 액세스 범위를 좁힐 수 있습니다. 다음과 같은 Amazon S3의 최소 권한 세트를 사용합니다.
```
"s3:PutObject",
"s3:GetObject",
"s3:GetEncryptionConfiguration",
"s3:ListBucket",
"s3:DeleteObject"
```
Amazon S3 버킷이 암호화된 경우에는 AWS Key Management Service에 대한 다음 권한을 포함해야 합니다.
```
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
```
Git 리포지토리를 노트북에 연결하면서 리포지토리에 보안 암호를 생성해야 하는 경우에는 Amazon EMR Notebooks의 서비스 역할에 연결되는 IAM 정책에서 `secretsmanager:GetSecretValue` 권한을 추가해야 합니다. 정책 예제는 다음과 같습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"*"
]
}
]
}
```
------
## EMR Notebooks 서비스 역할 권한
이 테이블에는 EMR Notebooks가 서비스 역할을 사용하여 수행하는 작업과 각 작업에 필요한 권한이 나열되어 있습니다.
****
| 작업 | 권한 |
| --- | --- |
| 노트북과 Amazon EMR 클러스터 사이에 보안 네트워크 채널을 설정하고 필요한 정리 작업을 수행합니다. | "ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"elasticmapreduce:ListInstances",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListSteps"
|
| AWS Secrets Manager 에 저장된 Git 보안 인증을 사용하여 Git 리포지토리를 노트북에 연결합니다. | "secretsmanager:GetSecretValue"
|
| 보안 네트워크 채널을 설정하는 동안 EMR Notebooks가 생성하는 네트워크 인터페이스 및 기본 보안 그룹에 AWS 태그를 적용합니다. 자세한 내용을 알아보려면 [AWS 리소스에 태깅](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)을 참조하세요. | "ec2:CreateTags"
|
| 노트북 파일 및 메타데이터에 액세스하거나 Amazon S3에 업로드합니다. | "s3:PutObject",
"s3:GetObject",
"s3:GetEncryptionConfiguration",
"s3:ListBucket",
"s3:DeleteObject"
다음 권한은 암호화된 Amazon S3 버킷을 사용하는 경우에만 필요합니다. "kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
|
## AWS 관리형 정책에 대한 EMR Notebooks 업데이트
2021년 3월 1일 이후 EMR Notebooks의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다.
| 변경 | 설명 | Date |
| --- | --- | --- |
| AmazonElasticMapReduceEditorsRole - Added permissions | EMR Notebooks에서 `AmazonElasticMapReduceEditorsRole`에 `ec2:describeVPCs` 및 `elastmicmapreduce:ListSteps` 권한을 추가했습니다. | 2023년 2월 8일 |
| EMR Notebooks에서 변경 추적 시작 | EMR Notebooks가 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. | 2023년 2월 8일 |
# Amazon EMR에 대한 서비스 연결 역할 사용
Amazon EMR은 AWS Identity and Access Management (IAM) [서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할은 Amazon EMR에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 Amazon EMR에서 사전 정의하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
**Topics**
+ [Amazon EMR에서 정리를 위해 서비스 연결 역할 사용](using-service-linked-roles-cleanup.md)
+ [Amazon EMR에서 미리 쓰기 로깅을 위해 서비스 연결 역할 사용](using-service-linked-roles-wal.md)
서비스 연결 역할을 지원하는 다른 서비스에 대한 자세한 내용은 [AWS IAM으로 작업하는 서비스를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 참조하고 **서비스 연결 역할** 열에서 **예**인 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예** 링크를 선택합니다.
# Amazon EMR에서 정리를 위해 서비스 연결 역할 사용
Amazon EMR은 AWS Identity and Access Management (IAM) [서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할은 Amazon EMR에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 Amazon EMR에서 사전 정의하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
서비스 연결 역할은 Amazon EMR 서비스 역할 및 Amazon EMR에 대한 Amazon EC2 인스턴스 프로파일과 함께 작동합니다. 서비스 역할 및 인스턴스 프로파일에 대한 자세한 내용은 [서비스 및 리소스에 대한 Amazon EMR 권한에 대한 IAM AWS 서비스 역할 구성](emr-iam-roles.md) 섹션을 참조하세요.
필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할로 Amazon EMR을 더 쉽게 설정할 수 있습니다. Amazon EMR에서 서비스 연결 역할의 권한을 정의하므로 다르게 정의하지 않은 한, Amazon EMR에서만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
관련 리소스를 삭제하고 계정의 모든 EMR 클러스터를 종료한 후에만 Amazon EMR에 대한 이 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 액세스 권한을 실수로 삭제할 수 없도록 Amazon EMR 리소스를 보호합니다.
## 정리를 위해 서비스 연결 역할 사용
Amazon EMR은 **AWSServiceRoleForEMRCleanup** 서비스 연결 역할을 사용하여 Amazon EMR 서비스 역할이 해당 기능을 상실한 경우 사용자를 대신하여 Amazon EC2 리소스를 종료하고 삭제할 권한을 Amazon EMR에 부여합니다. Amazon EMR은 아직 없는 경우에 클러스터를 생성하는 동안 서비스 연결 역할을 자동으로 생성합니다.
AWSServiceRoleForEMRCleanup 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `elasticmapreduce.amazonaws.com`
AWSServiceRoleForEMRCleanup 서비스 연결 역할 권한 정책을 통해 Amazon EMR은 지정된 리소스에서 다음 작업을 수행할 수 있습니다.
+ 작업: `ec2`에 대한 `DescribeInstances`
+ 작업: `ec2`에 대한 `DescribeLaunchTemplates`
+ 작업: `ec2`에 대한 `DeleteLaunchTemplate`
+ 작업: `ec2`에 대한 `DescribeSpotInstanceRequests`
+ 작업: `ec2`에 대한 `ModifyInstanceAttribute`
+ 작업: `ec2`에 대한 `TerminateInstances`
+ 작업: `ec2`에 대한 `CancelSpotInstanceRequests`
+ 작업: `ec2`에 대한 `DeleteNetworkInterface`
+ 작업: `ec2`에 대한 `DescribeInstanceAttribute`
+ 작업: `ec2`에 대한 `DescribeVolumeStatus`
+ 작업: `ec2`에 대한 `DescribeVolumes`
+ 작업: `ec2`에 대한 `DetachVolume`
+ 작업: `ec2`에 대한 `DeleteVolume`
+ 작업: `ec2`에 대한 `DescribePlacementGroups`
+ 작업: `ec2`에 대한 `DeletePlacementGroup`
IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 링크 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다.
## Amazon EMR에 대한 서비스 연결 역할 생성
AWSServiceRoleForEMRCleanup 역할을 수동으로 생성할 필요가 없습니다. 클러스터를 처음 시작하거나 AWSServiceRoleForEMRCleanup 서비스 연결 역할이 없는 경우 Amazon EMR은 AWSServiceRoleForEMRCleanup 서비스 연결 역할을 자동으로 생성합니다. 서비스 연결 역할을 생성할 권한이 있어야 합니다. IAM 엔터티(예: 사용자, 그룹 또는 역할)의 권한 정책에 이 기능을 추가하는 예시 문장은 다음과 같습니다.
서비스 연결 역할을 생성해야 하는 IAM 개체의 권한 정책에 다음 명령문을 추가합니다.
```
{
"Sid": "ElasticMapReduceServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/elasticmapreduce.amazonaws.com*/AWSServiceRoleForEMRCleanup*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"elasticmapreduce.amazonaws.com",
"elasticmapreduce.amazonaws.com.rproxy.govskope.us.cn"
]
}
}
}
```
**중요**
서비스 연결 역할이 지원되지 않던 2017년 10월 24일 이전에 Amazon EMR을 사용한 경우 Amazon EMR에서 사용자 계정에 AWSServiceRoleForEMRCleanup 역할을 생성했습니다. 자세한 내용은 [내 IAM 계정에 표시되는 새 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)을 참조하세요.
## Amazon EMR에 대한 서비스 연결 역할 편집
Amazon EMR에서는 AWSServiceRoleForEMRCleanup 서비스 연결 역할을 편집할 수 없습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 서비스 연결 역할을 참조할 수 있기 때문에 서비스 연결 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 서비스 연결 역할의 설명을 편집할 수 있습니다.
### 서비스 연결 역할 설명 편집(IAM 콘솔)
IAM 콘솔을 사용하여 서비스 연결 역할의 설명을 편집할 수 있습니다.
**서비스 연결 역할의 설명을 편집하는 방법(콘솔)**
1. IAM 콘솔의 탐색 창에서 **역할**을 선택합니다.
1. 변경할 역할 이름을 선택합니다.
1. **Role description(역할 설명)**의 오른쪽에서 **편집**을 선택합니다.
1. 상자에 새 설명을 입력하고 **변경 사항 저장**을 선택합니다.
### 서비스 연결 역할 설명 편집(IAM CLI)
의 IAM 명령을 사용하여 서비스 연결 역할에 대한 설명을 AWS Command Line Interface 편집할 수 있습니다.
**서비스 연결 역할의 설명을 변경하는 방법(CLI)**
1. (옵션) 역할의 현재 설명을 보려면 다음 명령 중 하나를 사용합니다.
```
$ aws iam get-role --role-name role-name
```
CLI 명령에서 역할을 참조하려면 ARN이 아니라 역할 이름을 사용해야 합니다. 예를 들어, 어떤 역할의 ARN이 `arn:aws:iam::123456789012:role/myrole`인 경우 참조할 역할은 **myrole**입니다.
1. 서비스 연결 역할의 설명을 업데이트하려면 다음 명령 중 하나를 사용합니다.
```
$ aws iam update-role-description --role-name role-name --description description
```
### 서비스 연결 역할 설명 편집(IAM API)
IAM API를 사용하여 서비스 연결 역할의 설명을 편집할 수 있습니다.
**서비스 연결 역할의 설명을 변경하는 방법(API)**
1. (선택 사항) 역할의 현재 설명을 보려면 다음 명령을 사용합니다.
IAM API: [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
1. 역할 설명을 업데이트하려면 다음 명령을 사용합니다.
IAM API: [UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
## Amazon EMR에 대한 서비스 연결 역할 삭제
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 서비스 연결 역할을 삭제하는 것이 좋습니다. 이렇게 하면 능동적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 존재하지 않습니다. 단, 삭제 전에 서비스 연결 역할을 정리해야 합니다.
### 서비스 연결 역할을 정리
IAM을 사용하여 서비스 연결 역할을 삭제하기 전에 먼저 서비스 연결 역할에 활성 세션이 없는지 확인하고 서비스 연결 역할에서 사용하는 리소스를 모두 제거해야 합니다.
**IAM 콘솔에서 서비스 연결 역할에 활성 세션이 있는지 확인하려면**
1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.
1. 탐색 창에서 **역할**을 선택합니다. AWSServiceRoleForEMRCleanup 서비스 연결 역할의 이름(확인란 아님)을 선택합니다.
1. 선택한 역할의 **요약** 페이지에서 **액세스 관리자**를 선택합니다.
1. **Access Advisor** 탭에서 서비스 연결 역할의 최근 활동을 검토합니다.
**참고**
Amazon EMR에서 AWSServiceRoleForEMRCleanup 역할을 사용하는지 확실하지 않은 경우 해당 서비스 연결 역할을 삭제할 수 있습니다. 서비스에서 서비스 연결 역할을 사용하는 경우에는 삭제가 안 되어 서비스 연결 역할이 사용 중인 리전을 볼 수 있습니다. 서비스 연결 역할이 사용 중인 경우에는 세션이 종료될 때까지 기다렸다가 서비스 연결 역할을 삭제해야 합니다. 서비스 연결 역할에 대한 세션은 취소할 수 없습니다.
**AWSServiceRoleForEMRCleanup 서비스 연결 역할에서 사용하는 Amazon EMR 리소스를 제거하는 방법**
+ 계정에 속한 모든 클러스터를 종료합니다. 자세한 내용은 [시작 중, 실행 중 또는 대기 중 상태인 Amazon EMR 클러스터 종료](UsingEMR_TerminateJobFlow.md) 단원을 참조하십시오.
### 서비스 연결 역할 삭제(IAM 콘솔)
IAM 콘솔을 사용하여 서비스 연결 역할을 삭제할 수 있습니다.
**서비스 연결 역할을 삭제하는 방법(콘솔)**
1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.
1. 탐색 창에서 **역할**을 선택합니다. 이름이나 행 자체가 아닌 AWSServiceRoleForEMRCleanup 옆의 확인란을 선택합니다.
1. 페이지 상단의 **역할** 작업에서 **역할 삭제**를 선택합니다.
1. 확인 대화 상자에서 서비스에서 마지막으로 액세스한 데이터를 검토합니다. 그러면 선택한 각 역할이 AWS 서비스에 마지막으로 액세스한 시기가 표시됩니다. 이를 통해 역할이 현재 활동 중인지를 확인할 수 있습니다. 계속하려면 **예, 삭제**를 선택합니다.
1. IAM 콘솔 알림을 보고 서비스 연결 역할 삭제 진행 상황을 모니터링합니다. IAM 서비스 연결 역할 삭제는 비동기 작업이므로 삭제할 서비스 연결 역할을 제출한 후에 삭제 태스크가 성공하거나 실패할 수 있습니다. 태스크에 실패할 경우 알림의 **세부 정보 보기** 또는 **리소스 보기**를 선택하면 삭제 실패 이유를 확인할 수 있습니다. 역할에서 사용 중인 리소스가 서비스에 있기 때문에 삭제에 실패하는 경우, 실패 원인에 리소스 목록이 포함됩니다.
### 서비스 연결 역할 삭제(IAM CLI)
에서 IAM 명령을 사용하여 서비스 연결 역할을 AWS Command Line Interface 삭제할 수 있습니다. 서비스 연결 역할이 사용되지 않거나 연결된 리소스가 없는 경우에는 서비스 연결 역할을 삭제할 수 없으므로 삭제 요청을 제출해야 합니다. 이러한 조건이 충족되지 않으면 요청이 거부될 수 있습니다.
**서비스 연결 역할을 삭제하는 방법(CLI)**
1. 삭제 작업 상태를 확인하려면 응답에서 `deletion-task-id`를 캡처해야 합니다. 다음 명령을 입력하여 서비스 연결 역할 삭제 요청을 제출합니다.
```
$ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-linked-role.html) --role-name AWSServiceRoleForEMRCleanup
```
1. 다음 명령을 입력하여 삭제 작업의 상태를 확인합니다.
```
$ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-linked-role-deletion-status.html) --deletion-task-id deletion-task-id
```
삭제 태스크는 `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` 또는 `FAILED` 상태일 수 있습니다. 삭제에 실패할 경우 문제를 해결할 수 있도록 실패 이유가 호출에 반환됩니다.
### 서비스 연결 역할 삭제(IAM API)
IAM API를 사용하여 서비스 연결 역할을 삭제할 수 있습니다. 서비스 연결 역할이 사용되지 않거나 연결된 리소스가 없는 경우에는 서비스 연결 역할을 삭제할 수 없으므로 삭제 요청을 제출해야 합니다. 이러한 조건이 충족되지 않으면 요청이 거부될 수 있습니다.
**서비스 연결 역할(API)을 삭제하는 방법**
1. 서비스 연결 역할 삭제 요청을 제출하려면 [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html)을 호출합니다. 요청에서 AWSServiceRoleForEMRCleanup 역할 이름을 지정합니다.
삭제 작업 상태를 확인하려면 응답에서 `DeletionTaskId`를 캡처해야 합니다.
1. 삭제 상태를 확인하려면 [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html)를 호출합니다. 요청에 `DeletionTaskId`(을)를 지정합니다.
삭제 태스크는 `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` 또는 `FAILED` 상태일 수 있습니다. 삭제에 실패할 경우 문제를 해결할 수 있도록 실패 이유가 호출에 반환됩니다.
## AWSServiceRoleForEMRCleanup에 대해 지원되는 리전
Amazon EMR은 다음 리전에서 AWSServiceRoleForEMRCleanup 서비스 연결 역할 사용을 지원합니다.
****
| 리전 이름 | 리전 자격 증명 | Amazon EMR에서 지원 |
| --- | --- | --- |
| 미국 동부(버지니아 북부) | us-east-1 | 예 |
| 미국 동부(오하이오) | us-east-2 | 예 |
| 미국 서부(캘리포니아 북부) | us-west-1 | 예 |
| 미국 서부(오리건) | us-west-2 | 예 |
| 아시아 태평양(뭄바이) | ap-south-1 | 예 |
| 아시아 태평양(오사카) | ap-northeast-3 | 예 |
| 아시아 태평양(서울) | ap-northeast-2 | 예 |
| 아시아 태평양(싱가포르) | ap-southeast-1 | 예 |
| 아시아 태평양(시드니) | ap-southeast-2 | 예 |
| 아시아 태평양(도쿄) | ap-northeast-1 | 예 |
| 캐나다(중부) | ca-central-1 | 예 |
| 유럽(프랑크푸르트) | eu-central-1 | 예 |
| 유럽(아일랜드) | eu-west-1 | 예 |
| 유럽(런던) | eu-west-2 | 예 |
| 유럽(파리) | eu-west-3 | 예 |
| 남아메리카(상파울루) | sa-east-1 | 예 |
# Amazon EMR에서 미리 쓰기 로깅을 위해 서비스 연결 역할 사용
Amazon EMR은 AWS Identity and Access Management (IAM) [서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할은 Amazon EMR에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 Amazon EMR에서 사전 정의하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
서비스 연결 역할은 Amazon EMR 서비스 역할 및 Amazon EMR에 대한 Amazon EC2 인스턴스 프로파일과 함께 작동합니다. 서비스 역할 및 인스턴스 프로파일에 대한 자세한 내용은 [서비스 및 리소스에 대한 Amazon EMR 권한에 대한 IAM AWS 서비스 역할 구성](emr-iam-roles.md) 섹션을 참조하세요.
필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할로 Amazon EMR을 더 쉽게 설정할 수 있습니다. Amazon EMR에서 서비스 연결 역할의 권한을 정의하므로 다르게 정의하지 않은 한, Amazon EMR에서만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
관련 리소스를 삭제하고 계정의 모든 EMR 클러스터를 종료한 후에만 Amazon EMR에 대한 이 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 액세스 권한을 실수로 삭제할 수 없도록 Amazon EMR 리소스를 보호합니다.
## 미리 쓰기 로깅(WAL)에 대한 서비스 연결 역할 권한
Amazon EMR은 서비스 연결 역할 **AWSServiceRoleForEMRWAL**을 사용하여 클러스터 상태를 검색합니다.
AWSServiceRoleForEMRWAL 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `emrwal.amazonaws.com`
서비스 연결 역할에 대한 [`EMRDescribeClusterPolicyForEMRWAL`](EMRDescribeClusterPolicyForEMRWAL.md) 권한 정책을 통해 Amazon EMR은 지정된 리소스에서 다음 작업을 완료할 수 있습니다.
+ 작업: `*`에 대한 `DescribeCluster`
IAM 엔터티(이 경우 Amazon EMR WAL)가 서비스 연결 역할을 생성, 편집 또는 삭제할 수 있도록 권한을 구성해야 합니다. 필요한 경우 인스턴스 프로파일의 권한 정책에 다음 명령문을 추가합니다.
## CreateServiceLinkedRole
**IAM 엔터티가 AWSServiceRoleForEMRWAL 서비스 연결 역할을 생성하도록 허용하는 방법**
서비스 연결 역할을 생성해야 하는 IAM 개체의 권한 정책에 다음 명령문을 추가합니다.
```
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/emrwal.amazonaws.com*/AWSServiceRoleForEMRWAL*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"emrwal.amazonaws.com",
"elasticmapreduce.amazonaws.com.rproxy.govskope.us.cn"
]
}
}
}
```
## UpdateRoleDescription
**IAM 엔터티에서 AWSServiceRoleForEMRWAL 서비스 연결 역할의 설명을 편집할 수 있도록 허용하는 방법**
서비스 연결 역할의 설명을 편집해야 하는 IAM 개체의 권한 정책에 다음 명령문을 추가합니다.
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/emrwal.amazonaws.com*/AWSServiceRoleForEMRWAL*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"emrwal.amazonaws.com",
"elasticmapreduce.amazonaws.com.rproxy.govskope.us.cn"
]
}
}
}
```
## DeleteServiceLinkedRole
**IAM 엔터티가 AWSServiceRoleForEMRWAL 서비스 연결 역할을 삭제하도록 허용하는 방법**
서비스 연결 역할을 삭제해야 하는 IAM 개체의 권한 정책에 다음 문장을 추가합니다.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/elasticmapreduce.amazonaws.com*/AWSServiceRoleForEMRCleanup*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"emrwal.amazonaws.com",
"elasticmapreduce.amazonaws.com.rproxy.govskope.us.cn"
]
}
}
}
```
## Amazon EMR에 대한 서비스 연결 역할 생성
AWSServiceRoleForEMRWAL 역할을 수동으로 생성하지 않아도 됩니다. Amazon EMR은 EMRWAL CLI 또는에서 WAL 워크스페이스를 생성할 때이 서비스 연결 역할을 자동으로 생성하거나 AWS CloudFormation, Amazon EMR WAL용 워크스페이스를 구성하고 서비스 연결 역할이 아직 존재하지 않을 때 HBase가 서비스 연결 역할을 생성합니다. 서비스 연결 역할을 생성할 권한이 있어야 합니다. 이 기능을 IAM 엔터티(예: 사용자, 그룹 또는 역할)의 권한 정책에 추가하는 예제 명령문은 이전 [미리 쓰기 로깅(WAL)에 대한 서비스 연결 역할 권한](#using-service-linked-roles-permissions-wal) 섹션을 참조하세요.
## Amazon EMR에 대한 서비스 연결 역할 편집
Amazon EMR는 AWSServiceRoleForEMRWAL 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 서비스 연결 역할을 참조할 수 있기 때문에 서비스 연결 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 서비스 연결 역할의 설명을 편집할 수 있습니다.
### 서비스 연결 역할 설명 편집(IAM 콘솔)
IAM 콘솔을 사용하여 서비스 연결 역할의 설명을 편집할 수 있습니다.
**서비스 연결 역할의 설명을 편집하는 방법(콘솔)**
1. IAM 콘솔의 탐색 창에서 **역할**을 선택합니다.
1. 변경할 역할 이름을 선택합니다.
1. **Role description(역할 설명)**의 오른쪽에서 **편집**을 선택합니다.
1. 상자에 새 설명을 입력하고 **변경 사항 저장**을 선택합니다.
### 서비스 연결 역할 설명 편집(IAM CLI)
의 IAM 명령을 사용하여 서비스 연결 역할에 대한 설명을 AWS Command Line Interface 편집할 수 있습니다.
**서비스 연결 역할의 설명을 변경하는 방법(CLI)**
1. (옵션) 역할의 현재 설명을 보려면 다음 명령 중 하나를 사용합니다.
```
$ aws iam get-role --role-name role-name
```
CLI 명령에서 역할을 참조하려면 ARN이 아니라 역할 이름을 사용해야 합니다. 예를 들어, 어떤 역할의 ARN이 `arn:aws:iam::123456789012:role/myrole`인 경우 참조할 역할은 **myrole**입니다.
1. 서비스 연결 역할의 설명을 업데이트하려면 다음 명령 중 하나를 사용합니다.
```
$ aws iam update-role-description --role-name role-name --description description
```
### 서비스 연결 역할 설명 편집(IAM API)
IAM API를 사용하여 서비스 연결 역할의 설명을 편집할 수 있습니다.
**서비스 연결 역할의 설명을 변경하는 방법(API)**
1. (선택 사항) 역할의 현재 설명을 보려면 다음 명령을 사용합니다.
IAM API: [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
1. 역할 설명을 업데이트하려면 다음 명령을 사용합니다.
IAM API: [UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
## Amazon EMR에 대한 서비스 연결 역할 삭제
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 서비스 연결 역할을 삭제하는 것이 좋습니다. 이렇게 하면 능동적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 존재하지 않습니다. 단, 삭제 전에 서비스 연결 역할을 정리해야 합니다.
**참고**
AWSServiceRoleForEMRWAL 역할을 삭제해도 미리 쓰기 로깅 작업은 영향을 받지 않지만, Amazon EMR은 EMR 클러스터가 종료되면 생성한 로그를 자동으로 삭제하지 않습니다. 따라서 서비스 연결 역할을 삭제하는 경우 Amazon EMR WAL 로그를 수동으로 삭제해야 합니다.
### 서비스 연결 역할 정리
IAM을 사용하여 서비스 연결 역할을 삭제하기 전에 먼저 역할에 활성 세션이 없는지 확인하고 역할에서 사용되는 리소스를 모두 제거해야 합니다.
**IAM 콘솔에서 서비스 연결 역할에 활성 세션이 있는지 확인하려면**
1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.
1. 탐색 창에서 **역할**을 선택합니다. AWSServiceRoleForEMRWAL 역할의 이름(확인란 아님)을 선택합니다.
1. 선택한 역할의 **요약** 페이지에서 **액세스 관리자**를 선택합니다.
1. **Access Advisor** 탭에서 서비스 연결 역할의 최근 활동을 검토합니다.
**참고**
Amazon EMR에서 AWSServiceRoleForEMRWAL 역할을 사용하는지 확실하지 않은 경우 해당 서비스 연결 역할을 삭제할 수 있습니다. 서비스에서 역할을 사용하는 경우에는 삭제가 안 되어 서비스 연결 역할이 사용 중인 리전을 볼 수 있습니다. 서비스 연결 역할이 사용 중인 경우에는 세션이 종료될 때까지 기다렸다가 서비스 연결 역할을 삭제해야 합니다. 서비스 연결 역할에 대한 세션은 취소할 수 없습니다.
**AWSServiceRoleForEMRWAL 서비스 연결 역할에서 사용하는 Amazon EMR 리소스를 제거하는 방법**
+ 계정에 속한 모든 클러스터를 종료합니다. 자세한 내용은 [시작 중, 실행 중 또는 대기 중 상태인 Amazon EMR 클러스터 종료](UsingEMR_TerminateJobFlow.md) 단원을 참조하십시오.
### 서비스 연결 역할 삭제(IAM 콘솔)
IAM 콘솔을 사용하여 서비스 연결 역할을 삭제할 수 있습니다.
**서비스 연결 역할을 삭제하는 방법(콘솔)**
1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.
1. 탐색 창에서 **역할**을 선택합니다. 이름이나 행 자체가 아닌 AWSServiceRoleForEMRWAL 옆의 확인란을 선택합니다.
1. 페이지 상단의 **역할** 작업에서 **역할 삭제**를 선택합니다.
1. 확인 대화 상자에서 서비스에서 마지막으로 액세스한 데이터를 검토합니다. 그러면 선택한 각 역할이 AWS 서비스에 마지막으로 액세스한 시기가 표시됩니다. 이를 통해 역할이 현재 활동 중인지를 확인할 수 있습니다. 계속하려면 **예, 삭제**를 선택합니다.
1. IAM 콘솔 알림을 보고 서비스 연결 역할 삭제 진행 상황을 모니터링합니다. IAM 서비스 연결 역할 삭제는 비동기이므로 삭제할 역할을 제출한 후에 삭제 태스크가 성공하거나 실패할 수 있습니다. 태스크에 실패할 경우 알림의 **세부 정보 보기** 또는 **리소스 보기**를 선택하면 삭제 실패 이유를 확인할 수 있습니다. 역할에서 사용 중인 리소스가 서비스에 있기 때문에 삭제에 실패하는 경우, 실패 원인에 리소스 목록이 포함됩니다.
### 서비스 연결 역할 삭제(IAM CLI)
에서 IAM 명령을 사용하여 서비스 연결 역할을 AWS Command Line Interface 삭제할 수 있습니다. 서비스 연결 역할이 사용되지 않거나 연결된 리소스가 없는 경우에는 서비스 연결 역할을 삭제할 수 없으므로 삭제 요청을 제출해야 합니다. 이러한 조건이 충족되지 않으면 요청이 거부될 수 있습니다.
**서비스 연결 역할을 삭제하는 방법(CLI)**
1. 삭제 작업 상태를 확인하려면 응답에서 `deletion-task-id`를 캡처해야 합니다. 다음 명령을 입력하여 서비스 연결 역할 삭제 요청을 제출합니다.
```
$ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-linked-role.html) --role-name AWSServiceRoleForEMRWAL
```
1. 다음 명령을 입력하여 삭제 작업의 상태를 확인합니다.
```
$ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-linked-role-deletion-status.html) --deletion-task-id deletion-task-id
```
삭제 태스크는 `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` 또는 `FAILED` 상태일 수 있습니다. 삭제에 실패할 경우 문제를 해결할 수 있도록 실패 이유가 호출에 반환됩니다.
### 서비스 연결 역할 삭제(IAM API)
IAM API를 사용하여 서비스 연결 역할을 삭제할 수 있습니다. 서비스 연결 역할이 사용되지 않거나 연결된 리소스가 없는 경우에는 서비스 연결 역할을 삭제할 수 없으므로 삭제 요청을 제출해야 합니다. 이러한 조건이 충족되지 않으면 요청이 거부될 수 있습니다.
**서비스 연결 역할(API)을 삭제하는 방법**
1. 서비스 연결 역할 삭제 요청을 제출하려면 [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html)을 호출합니다. 요청에서 AWSServiceRoleForEMRWAL 역할 이름을 지정합니다.
삭제 작업 상태를 확인하려면 응답에서 `DeletionTaskId`를 캡처해야 합니다.
1. 삭제 상태를 확인하려면 [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html)를 호출합니다. 요청에 `DeletionTaskId`(을)를 지정합니다.
삭제 태스크는 `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` 또는 `FAILED` 상태일 수 있습니다. 삭제에 실패할 경우 문제를 해결할 수 있도록 실패 이유가 호출에 반환됩니다.
## AWSServiceRoleForEMRWAL에 대해 지원되는 리전
Amazon EMR은 다음 리전에서 AWSServiceRoleForEMRWAL 서비스 연결 역할 사용을 지원합니다.
****
| 리전 이름 | 리전 자격 증명 | Amazon EMR에서 지원 |
| --- | --- | --- |
| 미국 동부(버지니아 북부) | us-east-1 | 예 |
| 미국 동부(오하이오) | us-east-2 | 예 |
| 미국 서부(캘리포니아 북부) | us-west-1 | 예 |
| 미국 서부(오리건) | us-west-2 | 예 |
| 아시아 태평양(뭄바이) | ap-south-1 | 예 |
| 아시아 태평양(싱가포르) | ap-southeast-1 | 예 |
| 아시아 태평양(시드니) | ap-southeast-2 | 예 |
| 아시아 태평양(도쿄) | ap-northeast-1 | 예 |
| 유럽(프랑크푸르트) | eu-central-1 | 예 |
| 유럽(아일랜드) | eu-west-1 | 예 |