```
추가적으로, 스크립트 러너를 사용해 명령을 실행하는 경우 Bash 명령 인수를 이스케이프 처리해야 합니다. 다음은 이스케이프 문자가 포함된 Spark 속성 설정을 보여주는 샘플입니다.
```
"\"--conf spark.sql.autoBroadcastJoinThreshold=-1\n--conf spark.cradle.RSv2Mode.enabled=true\""
```
+ 런타임 역할은 HDFS 및 HMS와 같은 클러스터 내 리소스에 대한 액세스 제어를 지원하지 않습니다.
+ 런타임 역할은 도커/컨테이너에 대한 지원을 제공하지 않습니다.
# 서비스 및 리소스에 대한 Amazon EMR 권한에 대한 IAM AWS 서비스 역할 구성
Amazon EMR과 애플리케이션(예: Hadoop 및 Spark)은 실행 시 다른 AWS 리소스에 액세스하여 작업을 수행할 수 있는 권한이 필요합니다. Amazon EMR의 각 클러스터는 *서비스 역할*과 Amazon EC2 *인스턴스 프로파일*에 대한 역할을 가지고 있어야 합니다. 자세한 내용은* IAM 사용 설명서*에서 [IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) 및 [인스턴스 프로파일 사용](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html)을 참조하세요. 이러한 역할에 연결된 IAM 정책은 클러스터가 사용자를 대신하여 다른 AWS 서비스와 상호 작용할 수 있는 권한을 부여합니다.
Amazon EMR에서 클러스터가 자동 조정을 사용하는 경우 추가 역할인 Auto Scaling 역할이 필요합니다. EMR Notebooks를 사용하는 경우 EMR Notebooks의 AWS 서비스 역할이 필요합니다.
Amazon EMR은 기본 역할 및 각 역할에 대한 권한을 결정하는 기본 관리형 정책을 제공합니다. 관리형 정책은에서 생성 및 유지 관리 AWS하므로 서비스 요구 사항이 변경되면 자동으로 업데이트됩니다. 자세한 내용은 *IAM 사용 설명서*에서 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies.html)을 참조하세요.
계정에서 처음으로 클러스터 또는 노트북을 생성하려는 경우에는 Amazon EMR에 대한 역할이 아직 존재하지 않습니다. 이를 생성한 후에는 역할, 역할에 연결된 정책, IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))에서 정책에 의해 허용 또는 거부되는 권한을 볼 수 있습니다. 생성 및 사용할 Amazon EMR에 대한 기본 역할을 지정할 수 있고, 자체 역할을 생성하여 권한을 사용자 지정하기 위해 클러스터를 생성할 때 해당 역할을 개별적으로 지정할 수 있으며, AWS CLI를 사용하여 클러스터를 생성할 때 사용할 기본 역할을 지정할 수 있습니다. 자세한 내용은 [Amazon EMR을 사용하여 IAM 역할 사용자 지정](emr-iam-roles-custom.md) 단원을 참조하십시오.
## Amazon EMR에 대한 서비스 역할을 전달하도록 권한에 대한 자격 증명 기반 정책 수정
Amazon EMR 전체 권한 기본 관리형 정책에는 다음을 비롯한 `iam:PassRole` 보안 구성이 통합되어 있습니다.
+ 특정 기본 Amazon EMR 역할 전용 `iam:PassRole` 권한.
+ `iam:PassedToService` `elasticmapreduce.amazonaws.com` 및와 같이 지정된 AWS 서비스에서만 정책을 사용할 수 있는 조건입니다`ec2.amazonaws.com`.
IAM 콘솔에서 [AmazonEMRFullAccessPolicy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRFullAccessPolicy_v2) 및 [AmazonEMRServicePolicy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2) 정책의 JSON 버전을 확인할 수 있습니다. v2 관리형 정책을 사용하여 새 클러스터를 생성하는 것이 좋습니다.
## 서비스 역할 요약
다음 테이블에는 빠른 참조를 위해 Amazon EMR과 연결된 IAM 서비스 역할이 나열되어 있습니다.
| 함수 | 기본 역할 | 설명 | 기본 관리형 정책 |
| --- | --- | --- | --- |
| [Amazon EMR의 서비스 역할(EMR 역할)](emr-iam-role.md) | `EMR_DefaultRole_V2` | 리소스를 프로비저닝하고 AWS 서비스 수준 작업을 수행할 때 Amazon EMR이 사용자를 대신하여 다른 서비스를 호출하도록 허용합니다. 이 역할은 모든 클러스터에 필요합니다. | `AmazonEMRServicePolicy_v2` 스팟 인스턴스를 요청하려면 서비스 연결 역할이 필요합니다. 이 역할이 존재하지 않는 경우에는 Amazon EMR 서비스 역할이 이를 생성할 권한을 가지고 있어야 합니다. 그렇지 않으면 권한 오류가 발생합니다. 스팟 인스턴스를 요청하려는 경우 이 서비스 연결 역할 생성을 허용하는 명령문을 포함하도록 이 정책을 업데이트해야 합니다. 자세한 내용은 **Amazon EC2 사용 설명서에서 [Amazon EMR의 서비스 역할(EMR 역할)](emr-iam-role.md) 및 [스팟 인스턴스 요청을 위한 서비스 연결 역할](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/spot-requests.html#service-linked-roles-spot-instance-requests)을 참조하세요. |
| [클러스터 EC2 인스턴스에 대한 서비스 역할(EC2 인스턴스 프로파일)](emr-iam-role-for-ec2.md) | `EMR_EC2_DefaultRole` | 클러스터 인스턴스의 하둡 에코시스템에서 실행되는 애플리케이션 프로세스는 다른 AWS 서비스를 호출할 때이 역할을 사용합니다. EMRFS를 사용하여 Amazon S3의 데이터에 액세스하려는 경우 Amazon S3의 데이터 위치에 따라 수임할 여러 역할을 지정할 수 있습니다. 예를 들어, 여러 팀이 단일 Amazon S3 데이터 '스토리지 계정'에 액세스할 수 있습니다. 자세한 내용은 [Amazon S3에 대한 EMRFS 요청의 IAM 역할 구성](emr-emrfs-iam-roles.md) 단원을 참조하십시오. 이 역할은 모든 클러스터에 필요합니다. | `AmazonElasticMapReduceforEC2Role`. 자세한 내용은 [클러스터 EC2 인스턴스에 대한 서비스 역할(EC2 인스턴스 프로파일)](emr-iam-role-for-ec2.md) 섹션을 참조하세요. |
| [Amazon EMR에서 자동 조정을 위한 서비스 역할(Auto Scaling 역할)](emr-iam-role-automatic-scaling.md) | `EMR_AutoScaling_DefaultRole` | 환경을 동적으로 조정하기 위한 추가 작업을 허용합니다. Amazon EMR에서 자동 조정을 사용하는 클러스터에서만 필요합니다. 자세한 내용은 [Amazon EMR의 인스턴스 그룹에서 사용자 지정 정책과 함께 자동 조정 사용](emr-automatic-scaling.md) 단원을 참조하십시오. | `AmazonElasticMapReduceforAutoScalingRole`. 자세한 내용은 [Amazon EMR에서 자동 조정을 위한 서비스 역할(Auto Scaling 역할)](emr-iam-role-automatic-scaling.md) 섹션을 참조하세요. |
| [EMR Notebooks의 서비스 역할](emr-managed-notebooks-service-role.md) | `EMR_Notebooks_DefaultRole` | EMR 노트북이 다른 AWS 리소스에 액세스하고 작업을 수행하는 데 필요한 권한을 제공합니다. EMR Notebooks를 사용하는 경우에만 필요합니다. | `AmazonElasticMapReduceEditorsRole`. 자세한 내용은 [EMR Notebooks의 서비스 역할](emr-managed-notebooks-service-role.md) 섹션을 참조하세요. `S3FullAccessPolicy`도 기본적으로 연결되어 있습니다. 이 정책의 콘텐츠는 다음과 같습니다. JSON
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": [
"*"
],
"Sid": "AllowS3"
}
]
}
``` |
| [서비스 연결 역할](using-service-linked-roles.md) | `AWSServiceRoleForEMRCleanup` | Amazon EMR은 서비스 연결 역할을 자동으로 생성합니다. Amazon EMR에 대한 서비스가 Amazon EC2 리소스 정리 기능을 상실한 경우, Amazon EMR이 이 역할을 사용하여 정리할 수 있습니다. 클러스터에서 스팟 인스턴스를 사용하는 경우 [Amazon EMR의 서비스 역할(EMR 역할)](emr-iam-role.md)에 연결된 권한 정책은 서비스 연결 역할의 생성을 허용해야 합니다. 자세한 내용은 [Amazon EMR에 대한 서비스 연결 역할 사용](using-service-linked-roles.md) 단원을 참조하십시오. | `AmazonEMRCleanupPolicy` |
**Topics**
+ [Amazon EMR에 대한 서비스 역할을 전달하도록 권한에 대한 자격 증명 기반 정책 수정](#emr-iam-roles-passrole)
+ [서비스 역할 요약](#emr-iam-roles-summary)
+ [Amazon EMR에서 사용하는 IAM 서비스 역할](emr-iam-service-roles.md)
+ [Amazon EMR을 사용하여 IAM 역할 사용자 지정](emr-iam-roles-custom.md)
+ [Amazon S3에 대한 EMRFS 요청의 IAM 역할 구성](emr-emrfs-iam-roles.md)
+ [AWS Glue 데이터 카탈로그에 대한 Amazon EMR 액세스에 리소스 기반 정책 사용](emr-iam-roles-glue.md)
+ [AWS 서비스를 직접 호출하는 애플리케이션에서 IAM 역할 사용](emr-iam-roles-calling.md)
+ [사용자와 그룹이 역할을 생성 및 수정할 수 있도록 허용](emr-iam-roles-create-permissions.md)
# Amazon EMR에서 사용하는 IAM 서비스 역할
클러스터 리소스를 프로비저닝하고, 애플리케이션을 실행하며, 리소스를 동적으로 조정하고, EMR Notebooks를 생성 및 실행하는 경우 Amazon EMR은 IAM 서비스 역할을 사용하여 사용자 대신 작업을 수행합니다. Amazon EMR은 다른 AWS 서비스와 상호 작용할 때 다음 역할을 사용합니다. 각 역할에는 Amazon EMR에서 고유한 기능이 있습니다. 이 섹션의 주제는 역할 기능을 설명하고 기본 역할과 각 역할의 권한 정책을 제공합니다.
클러스터에 AWS 서비스를 직접 호출하는 애플리케이션 코드가 있는 경우 SDK를 사용하여 역할을 지정해야 할 수 있습니다. 자세한 내용은 [AWS 서비스를 직접 호출하는 애플리케이션에서 IAM 역할 사용](emr-iam-roles-calling.md) 단원을 참조하십시오.
**Topics**
+ [Amazon EMR의 서비스 역할(EMR 역할)](emr-iam-role.md)
+ [클러스터 EC2 인스턴스에 대한 서비스 역할(EC2 인스턴스 프로파일)](emr-iam-role-for-ec2.md)
+ [Amazon EMR에서 자동 조정을 위한 서비스 역할(Auto Scaling 역할)](emr-iam-role-automatic-scaling.md)
+ [EMR Notebooks의 서비스 역할](emr-managed-notebooks-service-role.md)
+ [Amazon EMR에 대한 서비스 연결 역할 사용](using-service-linked-roles.md)
# Amazon EMR의 서비스 역할(EMR 역할)
Amazon EMR 역할은 리소스를 프로비저닝하고 클러스터 내에서 실행 중인 Amazon EC2 인스턴스 컨텍스트에서 수행되지 않는 서비스 수준 작업을 수행하는 경우 허용되는 작업을 정의합니다. 예를 들어, 서비스 역할은 클러스터를 시작할 때 EC2 인스턴스를 프로비저닝하는 데 사용됩니다.
+ 기본 역할 이름은 `EMR_DefaultRole_V2`입니다.
+ `EMR_DefaultRole_V2`에 연결된 Amazon EMR의 범위 지정된 기본 관리형 정책은 `AmazonEMRServicePolicy_v2`입니다. 이 v2 정책은 더 이상 사용되지 않는 기본 관리형 정책(`AmazonElasticMapReduceRole`)을 대체합니다.
`AmazonEMRServicePolicy_v2`는 Amazon EMR에서 프로비저닝하거나 사용하는 리소스에 대한 축소된 액세스에 의존합니다. 이 정책을 사용하는 경우 클러스터를 프로비저닝할 때 사용자 태그(`for-use-with-amazon-emr-managed-policies = true`)를 전달해야 합니다. Amazon EMR은 이러한 태그를 자동으로 전파합니다. 또한 Amazon EMR에서 생성하지 않은 EC2 보안 그룹과 같은 특정 유형의 리소스에 사용자 태그를 수동으로 추가해야 할 수도 있습니다. [관리형 정책을 사용하기 위해 리소스에 태그 지정](emr-managed-iam-policies.md#manually-tagged-resources)을(를) 참조하세요.
**중요**
Amazon EMR은 이 Amazon EMR 서비스 역할 및 `AWSServiceRoleForEMRCleanup` 역할을 사용하여 계정에서 Amazon EC2 인스턴스와 같이 더 이상 사용하지 않는 클러스터 리소스를 정리합니다. 리소스를 삭제하거나 종료하려면 역할 정책에 대한 작업을 포함해야 합니다. 그렇지 않으면 Amazon EMR에서 이러한 정리 작업을 수행할 수 없으며 클러스터에 남은 미사용 리소스에 대한 비용이 발생할 수 있습니다.
다음은 현재 `AmazonEMRServicePolicy_v2` 정책의 콘텐츠를 보여줍니다. IAM 콘솔에서 [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2) 관리형 정책의 현재 콘텐츠를 볼 수도 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateInTaggedNetwork",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:RunInstances",
"ec2:CreateFleet",
"ec2:CreateLaunchTemplate",
"ec2:CreateLaunchTemplateVersion"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "CreateWithEMRTaggedLaunchTemplate",
"Effect": "Allow",
"Action": [
"ec2:CreateFleet",
"ec2:RunInstances",
"ec2:CreateLaunchTemplateVersion"
],
"Resource": [
"arn:aws:ec2:*:*:launch-template/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "CreateEMRTaggedLaunchTemplate",
"Effect": "Allow",
"Action": [
"ec2:CreateLaunchTemplate"
],
"Resource": [
"arn:aws:ec2:*:*:launch-template/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "CreateEMRTaggedInstancesAndVolumes",
"Effect": "Allow",
"Action": [
"ec2:RunInstances",
"ec2:CreateFleet"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "ResourcesToLaunchEC2",
"Effect": "Allow",
"Action": [
"ec2:RunInstances",
"ec2:CreateFleet",
"ec2:CreateLaunchTemplate",
"ec2:CreateLaunchTemplateVersion"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*::image/ami-*",
"arn:aws:ec2:*:*:key-pair/*",
"arn:aws:ec2:*:*:capacity-reservation/*",
"arn:aws:ec2:*:*:placement-group/pg-*",
"arn:aws:ec2:*:*:fleet/*",
"arn:aws:ec2:*:*:dedicated-host/*",
"arn:aws:resource-groups:*:*:group/*"
]
},
{
"Sid": "ManageEMRTaggedResources",
"Effect": "Allow",
"Action": [
"ec2:CreateLaunchTemplateVersion",
"ec2:DeleteLaunchTemplate",
"ec2:DeleteNetworkInterface",
"ec2:ModifyInstanceAttribute",
"ec2:TerminateInstances"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "ManageTagsOnEMRTaggedResources",
"Effect": "Allow",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:launch-template/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "CreateNetworkInterfaceNeededForPrivateSubnet",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "TagOnCreateTaggedEMRResources",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:launch-template/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": [
"RunInstances",
"CreateFleet",
"CreateLaunchTemplate",
"CreateNetworkInterface"
]
}
}
},
{
"Sid": "TagPlacementGroups",
"Effect": "Allow",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"arn:aws:ec2:*:*:placement-group/pg-*"
]
},
{
"Sid": "ListActionsForEC2Resources",
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeCapacityReservations",
"ec2:DescribeDhcpOptions",
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePlacementGroups",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVolumes",
"ec2:DescribeVolumeStatus",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs"
],
"Resource": [
"*"
]
},
{
"Sid": "CreateDefaultSecurityGroupWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "CreateDefaultSecurityGroupInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "TagOnCreateDefaultSecurityGroupWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:security-group/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "ManageSecurityGroups",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "CreateEMRPlacementGroups",
"Effect": "Allow",
"Action": [
"ec2:CreatePlacementGroup"
],
"Resource": [
"arn:aws:ec2:*:*:placement-group/pg-*"
]
},
{
"Sid": "DeletePlacementGroups",
"Effect": "Allow",
"Action": [
"ec2:DeletePlacementGroup"
],
"Resource": [
"*"
]
},
{
"Sid": "AutoScaling",
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:RegisterScalableTarget"
],
"Resource": [
"*"
]
},
{
"Sid": "ResourceGroupsForCapacityReservations",
"Effect": "Allow",
"Action": [
"resource-groups:ListGroupResources"
],
"Resource": [
"*"
]
},
{
"Sid": "AutoScalingCloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms"
],
"Resource": [
"arn:aws:cloudwatch:*:*:alarm:*_EMR_Auto_Scaling"
]
},
{
"Sid": "PassRoleForAutoScaling",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_AutoScaling_DefaultRole"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "application-autoscaling.amazonaws.com*"
}
}
},
{
"Sid": "PassRoleForEC2",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_EC2_DefaultRole"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "ec2.amazonaws.com*"
}
}
},
{
"Sid": "CreateAndModifyEmrServiceVPCEndpoint",
"Effect": "Allow",
"Action": [
"ec2:ModifyVpcEndpoint",
"ec2:CreateVpcEndpoint"
],
"Resource": [
"arn:aws:ec2:*:*:vpc-endpoint/*",
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "CreateEmrServiceVPCEndpoint",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint"
],
"Resource": [
"arn:aws:ec2:*:*:vpc-endpoint/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"aws:RequestTag/Name": "emr-service-vpce"
}
}
},
{
"Sid": "TagEmrServiceVPCEndpoint",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:vpc-endpoint/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateVpcEndpoint",
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"aws:RequestTag/Name": "emr-service-vpce"
}
}
}
]
}
```
------
서비스 역할은 다음 신뢰 정책을 사용해야 합니다.
**중요**
다음 신뢰 정책에는 Amazon EMR에 부여하는 권한을 계정의 특정 리소스로 제한하는 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 및 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 글로벌 조건 키가 포함되어 있습니다. 이를 사용하면 [혼동된 대리자 문제](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)를 방지할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSTSAssumerole",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:aws:iam::123456789012:role/EMRServiceRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:elasticmapreduce:*:123456789012:*"
}
}
}
]
}
```
------
# 클러스터 EC2 인스턴스에 대한 서비스 역할(EC2 인스턴스 프로파일)
클러스터 EC2 인스턴스의 서비스 역할(Amazon EMR에 대한 EC2 인스턴스 프로파일이라고도 함)은 인스턴스를 시작할 때 Amazon EMR 클러스터의 모든 EC2 인스턴스에 할당되는 특별한 유형의 서비스 역할입니다. Hadoop 에코시스템의 상단에서 실행되는 애플리케이션 프로세스는 다른 AWS 제품과 상호 작용하기 위한 권한에 대해 이 역할을 수임합니다.
EC2 인스턴스의 서비스 역할에 대한 자세한 내용은 *IAM 사용 설명서*에서 [IAM 역할을 사용하여 Amazon EC2 인스턴스에서 실행되는 애플리케이션에 권한 부여](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)를 참조하세요.
**중요**
클러스터 EC2 인스턴스의 기본 서비스 역할 및 연결된 AWS 기본 관리`AmazonElasticMapReduceforEC2Role`형 정책은 대체 AWS 관리형 정책이 제공되지 않는 사용 중단 경로에 있습니다. 더 이상 사용되지 않는 역할과 기본 정책을 대체할 인스턴스 프로파일을 생성하고 지정해야 합니다.
## 기본 역할 및 관리형 정책
+ 기본 역할 이름은 `EMR_EC2_DefaultRole`입니다.
+ `EMR_EC2_DefaultRole` 기본 관리형 정책(`AmazonElasticMapReduceforEC2Role`)은 곧 지원이 종료될 예정입니다. EC2 인스턴스 프로파일의 기본 관리형 정책을 사용하는 대신, Amazon EMR에 필요한 S3 버킷 및 기타 리소스에 리소스 기반 정책을 적용하거나 IAM 역할을 인스턴스 프로파일로 사용하는 고객 관리형 정책을 사용합니다. 자세한 내용은 [최소 권한으로 클러스터 EC2 인스턴스에 대한 서비스 역할 생성](#emr-ec2-role-least-privilege) 단원을 참조하십시오.
다음은 `AmazonElasticMapReduceforEC2Role`의 버전 3 콘텐츠를 보여줍니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"cloudwatch:*",
"dynamodb:*",
"ec2:Describe*",
"elasticmapreduce:Describe*",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListInstances",
"elasticmapreduce:ListSteps",
"kinesis:CreateStream",
"kinesis:DeleteStream",
"kinesis:DescribeStream",
"kinesis:GetRecords",
"kinesis:GetShardIterator",
"kinesis:MergeShards",
"kinesis:PutRecord",
"kinesis:SplitShard",
"rds:Describe*",
"s3:*",
"sdb:*",
"sns:*",
"sqs:*",
"glue:CreateDatabase",
"glue:UpdateDatabase",
"glue:DeleteDatabase",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:CreateTable",
"glue:UpdateTable",
"glue:DeleteTable",
"glue:GetTable",
"glue:GetTables",
"glue:GetTableVersions",
"glue:CreatePartition",
"glue:BatchCreatePartition",
"glue:UpdatePartition",
"glue:DeletePartition",
"glue:BatchDeletePartition",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition",
"glue:CreateUserDefinedFunction",
"glue:UpdateUserDefinedFunction",
"glue:DeleteUserDefinedFunction",
"glue:GetUserDefinedFunction",
"glue:GetUserDefinedFunctions"
],
"Sid": "AllowCLOUDWATCH"
}
]
}
```
------
서비스 역할은 다음 신뢰 정책을 사용해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSTSAssumerole",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:aws:iam::123456789012:role/EMR_EC2_DefaultRole"
}
]
}
```
------
## 최소 권한으로 클러스터 EC2 인스턴스에 대한 서비스 역할 생성
가장 좋은 방법은 애플리케이션에 필요한 다른 서비스에 대한 최소 권한이 있는 클러스터 EC2 인스턴스 및 권한 정책에 대한 AWS 서비스 역할을 생성하는 것입니다.
기본 관리형 정책인 `AmazonElasticMapReduceforEC2Role`은 초기 클러스터를 쉽게 시작할 수 있는 권한을 제공합니다. 그러나 `AmazonElasticMapReduceforEC2Role`는 사용 중단 경로에 있으며 Amazon EMR은 사용 중단된 역할에 대한 대체 AWS 관리형 기본 정책을 제공하지 않습니다. 초기 클러스터를 시작하려면 고객 관리형 리소스 기반 또는 ID 기반 정책을 제공해야 합니다.
아래 정책 명령문은 Amazon EMR의 여러 기능에 필요한 권한의 예제를 제공합니다. 이러한 권한을 사용하여 클러스터에 필요한 기능과 리소스에 대한 액세스만 제한하는 권한 정책을 생성하는 것이 좋습니다. 모든 예제 정책 문은 *us-west-2* 리전 및 가상 AWS 계정 ID를 사용합니다*123456789012*. 이를 클러스터에 해당하는 사항으로 바꾸세요.
사용자 지정 역할 생성 및 지정에 대한 자세한 내용은 [Amazon EMR을 사용하여 IAM 역할 사용자 지정](emr-iam-roles-custom.md) 섹션을 참조하세요.
**참고**
EC2에 대한 사용자 지정 EMR 역할을 생성하는 경우 동일한 이름의 인스턴스 프로파일이 자동으로 생성되는 기본 워크플로를 따릅니다. Amazon EC2에서는 서로 다른 이름으로 인스턴스 프로파일과 역할을 생성할 수 있지만 Amazon EMR에서는 이 구성을 지원하지 않으므로 클러스터를 생성할 때 '잘못된 인스턴스 프로파일' 오류가 발생합니다.
### EMRFS를 사용하여 Amazon S3에서 데이터 읽기 및 쓰기
Amazon EMR 클러스터에서 실행되는 애플리케이션이 `s3://mydata` 형식을 사용하여 데이터를 참조할 경우 Amazon EMR에서는 EC2 인스턴스 프로파일을 사용하여 요청합니다. 클러스터는 일반적으로 이 방식으로 Amazon S3에서 데이터를 읽고 쓰며, Amazon EMR은 기본적으로 클러스터 EC2 인스턴스의 서비스 역할에 연결된 권한을 사용합니다. 자세한 내용은 [Amazon S3에 대한 EMRFS 요청의 IAM 역할 구성](emr-emrfs-iam-roles.md) 단원을 참조하십시오.
EMRFS의 IAM 역할은 클러스터 EC2 인스턴스의 서비스 역할에 연결된 권한으로 돌아가므로 EMRFS의 IAM 역할을 사용하고 클러스터 EC2 인스턴스의 서비스 역할에 연결된 EMRFS 및 Amazon S3 권한으로 제한하는 것이 모범 사례입니다.
아래의 샘플 명령문은 Amazon S3에 대한 요청을 수행하기 위해 EMRFS에 필요한 권한을 보여줍니다.
+ *my-data-bucket-in-s3-for-emrfs-reads-and-writes*에서는 클러스터가 */\$1*를 사용하여 데이터와 모든 하위 폴더를 읽고 쓰는 Amazon S3의 버킷을 지정합니다. 이러한 버킷과 애플리케이션에 필요한 폴더만 추가하세요.
+ EMRFS 일관된 보기가 활성화된 경우에만 `dynamodb` 작업을 허용하는 정책 명령문이 필요합니다. *EmrFSMetadata*에서는 EMRFS 일관된 보기의 기본 폴더를 지정합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:GetBucketVersioning",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListBucketVersions",
"s3:ListMultipartUploadParts",
"s3:PutBucketVersioning",
"s3:PutObject",
"s3:PutObjectTagging"
],
"Resource": [
"arn:aws:s3:::my-data-bucket-in-s3-for-emrfs-reads-and-writes",
"arn:aws:s3:::my-data-bucket-in-s3-for-emrfs-reads-and-writes/*"
],
"Sid": "AllowS3Abortmultipartupload"
},
{
"Effect": "Allow",
"Action": [
"dynamodb:CreateTable",
"dynamodb:BatchGetItem",
"dynamodb:BatchWriteItem",
"dynamodb:PutItem",
"dynamodb:DescribeTable",
"dynamodb:DeleteItem",
"dynamodb:GetItem",
"dynamodb:Scan",
"dynamodb:Query",
"dynamodb:UpdateItem",
"dynamodb:DeleteTable",
"dynamodb:UpdateTable"
],
"Resource": [
"arn:aws:dynamodb:*:123456789012:table/EmrFSMetadata"
],
"Sid": "AllowDYNAMODBCreatetable"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"dynamodb:ListTables",
"s3:ListBucket"
],
"Resource": [
"*"
],
"Sid": "AllowCLOUDWATCHPutmetricdata"
},
{
"Effect": "Allow",
"Action": [
"sqs:GetQueueUrl",
"sqs:ReceiveMessage",
"sqs:DeleteQueue",
"sqs:SendMessage",
"sqs:CreateQueue"
],
"Resource": [
"arn:aws:sqs:*:123456789012:EMRFS-Inconsistency-*"
],
"Sid": "AllowSQSGetqueueurl"
}
]
}
```
------
### Amazon S3에 로그 파일 아카이브
다음 정책 명령문은 Amazon EMR 클러스터가 지정된 Amazon S3 위치에 로그 파일을 아카이브하는 것을 허용합니다. 아래 예제에서 클러스터가 생성될 때 *s3://MyLoggingBucket/MyEMRClusterLogs*는 콘솔의 **로그 폴더 S3 위치를** 사용하거나,의 `--log-uri` 옵션을 사용하거나 AWS CLI, `RunJobFlow` 명령의 `LogUri` 파라미터를 사용하여 지정되었습니다. 자세한 내용은 [Amazon S3에 로그 파일 아카이브](emr-plan-debugging.md#emr-plan-debugging-logs-archive) 단원을 참조하십시오.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::MyLoggingBucket/MyEMRClusterLogs/*"
],
"Sid": "AllowS3Putobject"
}
]
}
```
------
### AWS Glue 데이터 카탈로그 사용
다음 정책 설명은 Glue 데이터 카탈로그를 애플리케이션의 AWS 메타스토어로 사용하는 경우 필요한 작업을 허용합니다. 자세한 내용은 *Amazon EMR 릴리스 안내서*[의 Spark SQL AWS 용 메타스토어로 Glue 데이터 카탈로그](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-spark-glue.html) [사용, Hive용 AWS 메타스토어로 Glue](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-hive-metastore-glue.html) 데이터 카탈로그 사용, [AWS Glue 데이터 카탈로그와 함께 Presto 사용을](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-presto-glue.html) 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:UpdateDatabase",
"glue:DeleteDatabase",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:CreateTable",
"glue:UpdateTable",
"glue:DeleteTable",
"glue:GetTable",
"glue:GetTables",
"glue:GetTableVersions",
"glue:CreatePartition",
"glue:BatchCreatePartition",
"glue:UpdatePartition",
"glue:DeletePartition",
"glue:BatchDeletePartition",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition",
"glue:CreateUserDefinedFunction",
"glue:UpdateUserDefinedFunction",
"glue:DeleteUserDefinedFunction",
"glue:GetUserDefinedFunction",
"glue:GetUserDefinedFunctions"
],
"Resource": [
"*"
],
"Sid": "AllowGLUECreatedatabase"
}
]
}
```
------
# Amazon EMR에서 자동 조정을 위한 서비스 역할(Auto Scaling 역할)
Amazon EMR의 Auto Scaling 역할은 서비스 역할과 비슷한 기능을 수행하지만, 환경을 동적으로 조정하기 위한 추가 작업을 허용합니다.
+ 기본 역할 이름은 `EMR_AutoScaling_DefaultRole`입니다.
+ `EMR_AutoScaling_DefaultRole`에 연결된 기본 관리형 정책은 `AmazonElasticMapReduceforAutoScalingRole`입니다.
`AmazonElasticMapReduceforAutoScalingRole`의 버전 1 내용은 아래와 같습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"cloudwatch:DescribeAlarms",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ModifyInstanceGroups"
],
"Effect": "Allow",
"Resource": [
"*"
],
"Sid": "AllowCLOUDWATCHDescribealarms"
}
]
}
```
------
서비스 역할은 다음 신뢰 정책을 사용해야 합니다.
**중요**
다음 신뢰 정책에는 Amazon EMR에 부여하는 권한을 계정의 특정 리소스로 제한하는 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 및 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 글로벌 조건 키가 포함되어 있습니다. 이를 사용하면 [혼동된 대리자 문제](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)를 방지할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:aws:iam::123456789012:role/ApplicationAutoScalingEMRRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:application-autoscaling:*:123456789012:scalable-target/*"
}
},
"Sid": "AllowSTSAssumerole"
}
]
}
```
------
# EMR Notebooks의 서비스 역할
각 EMR 노트북에는 다른 AWS 리소스에 액세스하고 작업을 수행할 수 있는 권한이 필요합니다. 이 서비스 역할에 연결된 IAM 정책은 노트북이 다른 AWS 서비스와 상호 작용할 수 있는 권한을 제공합니다. 를 사용하여 노트북을 생성할 때 *AWS 서비스 역할을* AWS Management Console지정합니다. 기본 역할인 `EMR_Notebooks_DefaultRole`을 사용하거나 생성하는 역할을 지정할 수 있습니다. 이전에 노트북을 생성하지 않은 경우 기본 역할을 생성하도록 선택할 수 있습니다.
+ 기본 역할 이름은 `EMR_Notebooks_DefaultRole`입니다.
+ `EMR_Notebooks_DefaultRole`에 연결된 기본 관리형 정책은 `AmazonElasticMapReduceEditorsRole` 및 `S3FullAccessPolicy`입니다.
서비스 역할은 다음 신뢰 정책을 사용해야 합니다.
**중요**
다음 신뢰 정책에는 Amazon EMR에 부여하는 권한을 계정의 특정 리소스로 제한하는 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 및 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 글로벌 조건 키가 포함되어 있습니다. 이를 사용하면 [혼동된 대리자 문제](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)를 방지할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:aws:iam::123456789012:role/EMRServiceRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:elasticmapreduce:*:123456789012:*"
}
},
"Sid": "AllowSTSAssumerole"
}
]
}
```
------
`AmazonElasticMapReduceEditorsRole` 버전 1의 콘텐츠는 다음과 같습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"elasticmapreduce:ListInstances",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListSteps"
],
"Resource": [
"*"
],
"Sid": "AllowEC2Authorizesecuritygroupegress"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"aws:elasticmapreduce:editor-id",
"aws:elasticmapreduce:job-flow-id"
]
}
},
"Sid": "AllowEC2Createtags"
}
]
}
```
------
다음은 `S3FullAccessPolicy`의 콘텐츠입니다. `S3FullAccessPolicy`를 통해 EMR Notebooks의 서비스 역할이 AWS 계정내 객체에서 모든 Amazon S3 작업을 수행할 수 있습니다. EMR Notebooks에 대한 사용자 지정 서비스 역할을 생성하는 경우 서비스 역할에 Amazon S3 권한을 부여해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": [
"*"
],
"Sid": "AllowS3"
}
]
}
```
------
노트북 파일을 저장하려는 Amazon S3 위치로 서비스 역할에 대한 읽기 및 쓰기 액세스 범위를 좁힐 수 있습니다. 다음과 같은 Amazon S3의 최소 권한 세트를 사용합니다.
```
"s3:PutObject",
"s3:GetObject",
"s3:GetEncryptionConfiguration",
"s3:ListBucket",
"s3:DeleteObject"
```
Amazon S3 버킷이 암호화된 경우에는 AWS Key Management Service에 대한 다음 권한을 포함해야 합니다.
```
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
```
Git 리포지토리를 노트북에 연결하면서 리포지토리에 보안 암호를 생성해야 하는 경우에는 Amazon EMR Notebooks의 서비스 역할에 연결되는 IAM 정책에서 `secretsmanager:GetSecretValue` 권한을 추가해야 합니다. 정책 예제는 다음과 같습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"*"
]
}
]
}
```
------
## EMR Notebooks 서비스 역할 권한
이 테이블에는 EMR Notebooks가 서비스 역할을 사용하여 수행하는 작업과 각 작업에 필요한 권한이 나열되어 있습니다.
****
| 작업 | 권한 |
| --- | --- |
| 노트북과 Amazon EMR 클러스터 사이에 보안 네트워크 채널을 설정하고 필요한 정리 작업을 수행합니다. | "ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"elasticmapreduce:ListInstances",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListSteps"
|
| AWS Secrets Manager 에 저장된 Git 보안 인증을 사용하여 Git 리포지토리를 노트북에 연결합니다. | "secretsmanager:GetSecretValue"
|
| 보안 네트워크 채널을 설정하는 동안 EMR Notebooks가 생성하는 네트워크 인터페이스 및 기본 보안 그룹에 AWS 태그를 적용합니다. 자세한 내용을 알아보려면 [AWS 리소스에 태깅](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)을 참조하세요. | "ec2:CreateTags"
|
| 노트북 파일 및 메타데이터에 액세스하거나 Amazon S3에 업로드합니다. | "s3:PutObject",
"s3:GetObject",
"s3:GetEncryptionConfiguration",
"s3:ListBucket",
"s3:DeleteObject"
다음 권한은 암호화된 Amazon S3 버킷을 사용하는 경우에만 필요합니다. "kms:Decrypt",
"kms:GenerateDataKey",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:DescribeKey"
|
## AWS 관리형 정책에 대한 EMR Notebooks 업데이트
2021년 3월 1일 이후 EMR Notebooks의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다.
| 변경 | 설명 | Date |
| --- | --- | --- |
| AmazonElasticMapReduceEditorsRole - Added permissions | EMR Notebooks에서 `AmazonElasticMapReduceEditorsRole`에 `ec2:describeVPCs` 및 `elastmicmapreduce:ListSteps` 권한을 추가했습니다. | 2023년 2월 8일 |
| EMR Notebooks에서 변경 추적 시작 | EMR Notebooks가 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. | 2023년 2월 8일 |
# Amazon EMR에 대한 서비스 연결 역할 사용
Amazon EMR은 AWS Identity and Access Management (IAM) [서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할은 Amazon EMR에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 Amazon EMR에서 사전 정의하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
**Topics**
+ [Amazon EMR에서 정리를 위해 서비스 연결 역할 사용](using-service-linked-roles-cleanup.md)
+ [Amazon EMR에서 미리 쓰기 로깅을 위해 서비스 연결 역할 사용](using-service-linked-roles-wal.md)
서비스 연결 역할을 지원하는 다른 서비스에 대한 자세한 내용은 [AWS IAM으로 작업하는 서비스를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 참조하고 **서비스 연결 역할** 열에서 **예**인 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예** 링크를 선택합니다.
# Amazon EMR에서 정리를 위해 서비스 연결 역할 사용
Amazon EMR은 AWS Identity and Access Management (IAM) [서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할은 Amazon EMR에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 Amazon EMR에서 사전 정의하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
서비스 연결 역할은 Amazon EMR 서비스 역할 및 Amazon EMR에 대한 Amazon EC2 인스턴스 프로파일과 함께 작동합니다. 서비스 역할 및 인스턴스 프로파일에 대한 자세한 내용은 [서비스 및 리소스에 대한 Amazon EMR 권한에 대한 IAM AWS 서비스 역할 구성](emr-iam-roles.md) 섹션을 참조하세요.
필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할로 Amazon EMR을 더 쉽게 설정할 수 있습니다. Amazon EMR에서 서비스 연결 역할의 권한을 정의하므로 다르게 정의하지 않은 한, Amazon EMR에서만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
관련 리소스를 삭제하고 계정의 모든 EMR 클러스터를 종료한 후에만 Amazon EMR에 대한 이 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 액세스 권한을 실수로 삭제할 수 없도록 Amazon EMR 리소스를 보호합니다.
## 정리를 위해 서비스 연결 역할 사용
Amazon EMR은 **AWSServiceRoleForEMRCleanup** 서비스 연결 역할을 사용하여 Amazon EMR 서비스 역할이 해당 기능을 상실한 경우 사용자를 대신하여 Amazon EC2 리소스를 종료하고 삭제할 권한을 Amazon EMR에 부여합니다. Amazon EMR은 아직 없는 경우에 클러스터를 생성하는 동안 서비스 연결 역할을 자동으로 생성합니다.
AWSServiceRoleForEMRCleanup 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `elasticmapreduce.amazonaws.com`
AWSServiceRoleForEMRCleanup 서비스 연결 역할 권한 정책을 통해 Amazon EMR은 지정된 리소스에서 다음 작업을 수행할 수 있습니다.
+ 작업: `ec2`에 대한 `DescribeInstances`
+ 작업: `ec2`에 대한 `DescribeLaunchTemplates`
+ 작업: `ec2`에 대한 `DeleteLaunchTemplate`
+ 작업: `ec2`에 대한 `DescribeSpotInstanceRequests`
+ 작업: `ec2`에 대한 `ModifyInstanceAttribute`
+ 작업: `ec2`에 대한 `TerminateInstances`
+ 작업: `ec2`에 대한 `CancelSpotInstanceRequests`
+ 작업: `ec2`에 대한 `DeleteNetworkInterface`
+ 작업: `ec2`에 대한 `DescribeInstanceAttribute`
+ 작업: `ec2`에 대한 `DescribeVolumeStatus`
+ 작업: `ec2`에 대한 `DescribeVolumes`
+ 작업: `ec2`에 대한 `DetachVolume`
+ 작업: `ec2`에 대한 `DeleteVolume`
+ 작업: `ec2`에 대한 `DescribePlacementGroups`
+ 작업: `ec2`에 대한 `DeletePlacementGroup`
IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 링크 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다.
## Amazon EMR에 대한 서비스 연결 역할 생성
AWSServiceRoleForEMRCleanup 역할을 수동으로 생성할 필요가 없습니다. 클러스터를 처음 시작하거나 AWSServiceRoleForEMRCleanup 서비스 연결 역할이 없는 경우 Amazon EMR은 AWSServiceRoleForEMRCleanup 서비스 연결 역할을 자동으로 생성합니다. 서비스 연결 역할을 생성할 권한이 있어야 합니다. IAM 엔터티(예: 사용자, 그룹 또는 역할)의 권한 정책에 이 기능을 추가하는 예시 문장은 다음과 같습니다.
서비스 연결 역할을 생성해야 하는 IAM 개체의 권한 정책에 다음 명령문을 추가합니다.
```
{
"Sid": "ElasticMapReduceServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/elasticmapreduce.amazonaws.com*/AWSServiceRoleForEMRCleanup*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"elasticmapreduce.amazonaws.com",
"elasticmapreduce.amazonaws.com.rproxy.govskope.us.cn"
]
}
}
}
```
**중요**
서비스 연결 역할이 지원되지 않던 2017년 10월 24일 이전에 Amazon EMR을 사용한 경우 Amazon EMR에서 사용자 계정에 AWSServiceRoleForEMRCleanup 역할을 생성했습니다. 자세한 내용은 [내 IAM 계정에 표시되는 새 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)을 참조하세요.
## Amazon EMR에 대한 서비스 연결 역할 편집
Amazon EMR에서는 AWSServiceRoleForEMRCleanup 서비스 연결 역할을 편집할 수 없습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 서비스 연결 역할을 참조할 수 있기 때문에 서비스 연결 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 서비스 연결 역할의 설명을 편집할 수 있습니다.
### 서비스 연결 역할 설명 편집(IAM 콘솔)
IAM 콘솔을 사용하여 서비스 연결 역할의 설명을 편집할 수 있습니다.
**서비스 연결 역할의 설명을 편집하는 방법(콘솔)**
1. IAM 콘솔의 탐색 창에서 **역할**을 선택합니다.
1. 변경할 역할 이름을 선택합니다.
1. **Role description(역할 설명)**의 오른쪽에서 **편집**을 선택합니다.
1. 상자에 새 설명을 입력하고 **변경 사항 저장**을 선택합니다.
### 서비스 연결 역할 설명 편집(IAM CLI)
의 IAM 명령을 사용하여 서비스 연결 역할에 대한 설명을 AWS Command Line Interface 편집할 수 있습니다.
**서비스 연결 역할의 설명을 변경하는 방법(CLI)**
1. (옵션) 역할의 현재 설명을 보려면 다음 명령 중 하나를 사용합니다.
```
$ aws iam get-role --role-name role-name
```
CLI 명령에서 역할을 참조하려면 ARN이 아니라 역할 이름을 사용해야 합니다. 예를 들어, 어떤 역할의 ARN이 `arn:aws:iam::123456789012:role/myrole`인 경우 참조할 역할은 **myrole**입니다.
1. 서비스 연결 역할의 설명을 업데이트하려면 다음 명령 중 하나를 사용합니다.
```
$ aws iam update-role-description --role-name role-name --description description
```
### 서비스 연결 역할 설명 편집(IAM API)
IAM API를 사용하여 서비스 연결 역할의 설명을 편집할 수 있습니다.
**서비스 연결 역할의 설명을 변경하는 방법(API)**
1. (선택 사항) 역할의 현재 설명을 보려면 다음 명령을 사용합니다.
IAM API: [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
1. 역할 설명을 업데이트하려면 다음 명령을 사용합니다.
IAM API: [UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
## Amazon EMR에 대한 서비스 연결 역할 삭제
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 서비스 연결 역할을 삭제하는 것이 좋습니다. 이렇게 하면 능동적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 존재하지 않습니다. 단, 삭제 전에 서비스 연결 역할을 정리해야 합니다.
### 서비스 연결 역할을 정리
IAM을 사용하여 서비스 연결 역할을 삭제하기 전에 먼저 서비스 연결 역할에 활성 세션이 없는지 확인하고 서비스 연결 역할에서 사용하는 리소스를 모두 제거해야 합니다.
**IAM 콘솔에서 서비스 연결 역할에 활성 세션이 있는지 확인하려면**
1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.
1. 탐색 창에서 **역할**을 선택합니다. AWSServiceRoleForEMRCleanup 서비스 연결 역할의 이름(확인란 아님)을 선택합니다.
1. 선택한 역할의 **요약** 페이지에서 **액세스 관리자**를 선택합니다.
1. **Access Advisor** 탭에서 서비스 연결 역할의 최근 활동을 검토합니다.
**참고**
Amazon EMR에서 AWSServiceRoleForEMRCleanup 역할을 사용하는지 확실하지 않은 경우 해당 서비스 연결 역할을 삭제할 수 있습니다. 서비스에서 서비스 연결 역할을 사용하는 경우에는 삭제가 안 되어 서비스 연결 역할이 사용 중인 리전을 볼 수 있습니다. 서비스 연결 역할이 사용 중인 경우에는 세션이 종료될 때까지 기다렸다가 서비스 연결 역할을 삭제해야 합니다. 서비스 연결 역할에 대한 세션은 취소할 수 없습니다.
**AWSServiceRoleForEMRCleanup 서비스 연결 역할에서 사용하는 Amazon EMR 리소스를 제거하는 방법**
+ 계정에 속한 모든 클러스터를 종료합니다. 자세한 내용은 [시작 중, 실행 중 또는 대기 중 상태인 Amazon EMR 클러스터 종료](UsingEMR_TerminateJobFlow.md) 단원을 참조하십시오.
### 서비스 연결 역할 삭제(IAM 콘솔)
IAM 콘솔을 사용하여 서비스 연결 역할을 삭제할 수 있습니다.
**서비스 연결 역할을 삭제하는 방법(콘솔)**
1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.
1. 탐색 창에서 **역할**을 선택합니다. 이름이나 행 자체가 아닌 AWSServiceRoleForEMRCleanup 옆의 확인란을 선택합니다.
1. 페이지 상단의 **역할** 작업에서 **역할 삭제**를 선택합니다.
1. 확인 대화 상자에서 서비스에서 마지막으로 액세스한 데이터를 검토합니다. 그러면 선택한 각 역할이 AWS 서비스에 마지막으로 액세스한 시기가 표시됩니다. 이를 통해 역할이 현재 활동 중인지를 확인할 수 있습니다. 계속하려면 **예, 삭제**를 선택합니다.
1. IAM 콘솔 알림을 보고 서비스 연결 역할 삭제 진행 상황을 모니터링합니다. IAM 서비스 연결 역할 삭제는 비동기 작업이므로 삭제할 서비스 연결 역할을 제출한 후에 삭제 태스크가 성공하거나 실패할 수 있습니다. 태스크에 실패할 경우 알림의 **세부 정보 보기** 또는 **리소스 보기**를 선택하면 삭제 실패 이유를 확인할 수 있습니다. 역할에서 사용 중인 리소스가 서비스에 있기 때문에 삭제에 실패하는 경우, 실패 원인에 리소스 목록이 포함됩니다.
### 서비스 연결 역할 삭제(IAM CLI)
에서 IAM 명령을 사용하여 서비스 연결 역할을 AWS Command Line Interface 삭제할 수 있습니다. 서비스 연결 역할이 사용되지 않거나 연결된 리소스가 없는 경우에는 서비스 연결 역할을 삭제할 수 없으므로 삭제 요청을 제출해야 합니다. 이러한 조건이 충족되지 않으면 요청이 거부될 수 있습니다.
**서비스 연결 역할을 삭제하는 방법(CLI)**
1. 삭제 작업 상태를 확인하려면 응답에서 `deletion-task-id`를 캡처해야 합니다. 다음 명령을 입력하여 서비스 연결 역할 삭제 요청을 제출합니다.
```
$ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-linked-role.html) --role-name AWSServiceRoleForEMRCleanup
```
1. 다음 명령을 입력하여 삭제 작업의 상태를 확인합니다.
```
$ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-linked-role-deletion-status.html) --deletion-task-id deletion-task-id
```
삭제 태스크는 `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` 또는 `FAILED` 상태일 수 있습니다. 삭제에 실패할 경우 문제를 해결할 수 있도록 실패 이유가 호출에 반환됩니다.
### 서비스 연결 역할 삭제(IAM API)
IAM API를 사용하여 서비스 연결 역할을 삭제할 수 있습니다. 서비스 연결 역할이 사용되지 않거나 연결된 리소스가 없는 경우에는 서비스 연결 역할을 삭제할 수 없으므로 삭제 요청을 제출해야 합니다. 이러한 조건이 충족되지 않으면 요청이 거부될 수 있습니다.
**서비스 연결 역할(API)을 삭제하는 방법**
1. 서비스 연결 역할 삭제 요청을 제출하려면 [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html)을 호출합니다. 요청에서 AWSServiceRoleForEMRCleanup 역할 이름을 지정합니다.
삭제 작업 상태를 확인하려면 응답에서 `DeletionTaskId`를 캡처해야 합니다.
1. 삭제 상태를 확인하려면 [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html)를 호출합니다. 요청에 `DeletionTaskId`(을)를 지정합니다.
삭제 태스크는 `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` 또는 `FAILED` 상태일 수 있습니다. 삭제에 실패할 경우 문제를 해결할 수 있도록 실패 이유가 호출에 반환됩니다.
## AWSServiceRoleForEMRCleanup에 대해 지원되는 리전
Amazon EMR은 다음 리전에서 AWSServiceRoleForEMRCleanup 서비스 연결 역할 사용을 지원합니다.
****
| 리전 이름 | 리전 자격 증명 | Amazon EMR에서 지원 |
| --- | --- | --- |
| 미국 동부(버지니아 북부) | us-east-1 | 예 |
| 미국 동부(오하이오) | us-east-2 | 예 |
| 미국 서부(캘리포니아 북부) | us-west-1 | 예 |
| 미국 서부(오리건) | us-west-2 | 예 |
| 아시아 태평양(뭄바이) | ap-south-1 | 예 |
| 아시아 태평양(오사카) | ap-northeast-3 | 예 |
| 아시아 태평양(서울) | ap-northeast-2 | 예 |
| 아시아 태평양(싱가포르) | ap-southeast-1 | 예 |
| 아시아 태평양(시드니) | ap-southeast-2 | 예 |
| 아시아 태평양(도쿄) | ap-northeast-1 | 예 |
| 캐나다(중부) | ca-central-1 | 예 |
| 유럽(프랑크푸르트) | eu-central-1 | 예 |
| 유럽(아일랜드) | eu-west-1 | 예 |
| 유럽(런던) | eu-west-2 | 예 |
| 유럽(파리) | eu-west-3 | 예 |
| 남아메리카(상파울루) | sa-east-1 | 예 |
# Amazon EMR에서 미리 쓰기 로깅을 위해 서비스 연결 역할 사용
Amazon EMR은 AWS Identity and Access Management (IAM) [서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할은 Amazon EMR에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 Amazon EMR에서 사전 정의하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
서비스 연결 역할은 Amazon EMR 서비스 역할 및 Amazon EMR에 대한 Amazon EC2 인스턴스 프로파일과 함께 작동합니다. 서비스 역할 및 인스턴스 프로파일에 대한 자세한 내용은 [서비스 및 리소스에 대한 Amazon EMR 권한에 대한 IAM AWS 서비스 역할 구성](emr-iam-roles.md) 섹션을 참조하세요.
필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할로 Amazon EMR을 더 쉽게 설정할 수 있습니다. Amazon EMR에서 서비스 연결 역할의 권한을 정의하므로 다르게 정의하지 않은 한, Amazon EMR에서만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
관련 리소스를 삭제하고 계정의 모든 EMR 클러스터를 종료한 후에만 Amazon EMR에 대한 이 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 액세스 권한을 실수로 삭제할 수 없도록 Amazon EMR 리소스를 보호합니다.
## 미리 쓰기 로깅(WAL)에 대한 서비스 연결 역할 권한
Amazon EMR은 서비스 연결 역할 **AWSServiceRoleForEMRWAL**을 사용하여 클러스터 상태를 검색합니다.
AWSServiceRoleForEMRWAL 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `emrwal.amazonaws.com`
서비스 연결 역할에 대한 [`EMRDescribeClusterPolicyForEMRWAL`](EMRDescribeClusterPolicyForEMRWAL.md) 권한 정책을 통해 Amazon EMR은 지정된 리소스에서 다음 작업을 완료할 수 있습니다.
+ 작업: `*`에 대한 `DescribeCluster`
IAM 엔터티(이 경우 Amazon EMR WAL)가 서비스 연결 역할을 생성, 편집 또는 삭제할 수 있도록 권한을 구성해야 합니다. 필요한 경우 인스턴스 프로파일의 권한 정책에 다음 명령문을 추가합니다.
## CreateServiceLinkedRole
**IAM 엔터티가 AWSServiceRoleForEMRWAL 서비스 연결 역할을 생성하도록 허용하는 방법**
서비스 연결 역할을 생성해야 하는 IAM 개체의 권한 정책에 다음 명령문을 추가합니다.
```
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/emrwal.amazonaws.com*/AWSServiceRoleForEMRWAL*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"emrwal.amazonaws.com",
"elasticmapreduce.amazonaws.com.rproxy.govskope.us.cn"
]
}
}
}
```
## UpdateRoleDescription
**IAM 엔터티에서 AWSServiceRoleForEMRWAL 서비스 연결 역할의 설명을 편집할 수 있도록 허용하는 방법**
서비스 연결 역할의 설명을 편집해야 하는 IAM 개체의 권한 정책에 다음 명령문을 추가합니다.
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/emrwal.amazonaws.com*/AWSServiceRoleForEMRWAL*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"emrwal.amazonaws.com",
"elasticmapreduce.amazonaws.com.rproxy.govskope.us.cn"
]
}
}
}
```
## DeleteServiceLinkedRole
**IAM 엔터티가 AWSServiceRoleForEMRWAL 서비스 연결 역할을 삭제하도록 허용하는 방법**
서비스 연결 역할을 삭제해야 하는 IAM 개체의 권한 정책에 다음 문장을 추가합니다.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/elasticmapreduce.amazonaws.com*/AWSServiceRoleForEMRCleanup*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"emrwal.amazonaws.com",
"elasticmapreduce.amazonaws.com.rproxy.govskope.us.cn"
]
}
}
}
```
## Amazon EMR에 대한 서비스 연결 역할 생성
AWSServiceRoleForEMRWAL 역할을 수동으로 생성하지 않아도 됩니다. Amazon EMR은 EMRWAL CLI 또는에서 WAL 워크스페이스를 생성할 때이 서비스 연결 역할을 자동으로 생성하거나 AWS CloudFormation, Amazon EMR WAL용 워크스페이스를 구성하고 서비스 연결 역할이 아직 존재하지 않을 때 HBase가 서비스 연결 역할을 생성합니다. 서비스 연결 역할을 생성할 권한이 있어야 합니다. 이 기능을 IAM 엔터티(예: 사용자, 그룹 또는 역할)의 권한 정책에 추가하는 예제 명령문은 이전 [미리 쓰기 로깅(WAL)에 대한 서비스 연결 역할 권한](#using-service-linked-roles-permissions-wal) 섹션을 참조하세요.
## Amazon EMR에 대한 서비스 연결 역할 편집
Amazon EMR는 AWSServiceRoleForEMRWAL 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 서비스 연결 역할을 참조할 수 있기 때문에 서비스 연결 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 서비스 연결 역할의 설명을 편집할 수 있습니다.
### 서비스 연결 역할 설명 편집(IAM 콘솔)
IAM 콘솔을 사용하여 서비스 연결 역할의 설명을 편집할 수 있습니다.
**서비스 연결 역할의 설명을 편집하는 방법(콘솔)**
1. IAM 콘솔의 탐색 창에서 **역할**을 선택합니다.
1. 변경할 역할 이름을 선택합니다.
1. **Role description(역할 설명)**의 오른쪽에서 **편집**을 선택합니다.
1. 상자에 새 설명을 입력하고 **변경 사항 저장**을 선택합니다.
### 서비스 연결 역할 설명 편집(IAM CLI)
의 IAM 명령을 사용하여 서비스 연결 역할에 대한 설명을 AWS Command Line Interface 편집할 수 있습니다.
**서비스 연결 역할의 설명을 변경하는 방법(CLI)**
1. (옵션) 역할의 현재 설명을 보려면 다음 명령 중 하나를 사용합니다.
```
$ aws iam get-role --role-name role-name
```
CLI 명령에서 역할을 참조하려면 ARN이 아니라 역할 이름을 사용해야 합니다. 예를 들어, 어떤 역할의 ARN이 `arn:aws:iam::123456789012:role/myrole`인 경우 참조할 역할은 **myrole**입니다.
1. 서비스 연결 역할의 설명을 업데이트하려면 다음 명령 중 하나를 사용합니다.
```
$ aws iam update-role-description --role-name role-name --description description
```
### 서비스 연결 역할 설명 편집(IAM API)
IAM API를 사용하여 서비스 연결 역할의 설명을 편집할 수 있습니다.
**서비스 연결 역할의 설명을 변경하는 방법(API)**
1. (선택 사항) 역할의 현재 설명을 보려면 다음 명령을 사용합니다.
IAM API: [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
1. 역할 설명을 업데이트하려면 다음 명령을 사용합니다.
IAM API: [UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
## Amazon EMR에 대한 서비스 연결 역할 삭제
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 서비스 연결 역할을 삭제하는 것이 좋습니다. 이렇게 하면 능동적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 존재하지 않습니다. 단, 삭제 전에 서비스 연결 역할을 정리해야 합니다.
**참고**
AWSServiceRoleForEMRWAL 역할을 삭제해도 미리 쓰기 로깅 작업은 영향을 받지 않지만, Amazon EMR은 EMR 클러스터가 종료되면 생성한 로그를 자동으로 삭제하지 않습니다. 따라서 서비스 연결 역할을 삭제하는 경우 Amazon EMR WAL 로그를 수동으로 삭제해야 합니다.
### 서비스 연결 역할 정리
IAM을 사용하여 서비스 연결 역할을 삭제하기 전에 먼저 역할에 활성 세션이 없는지 확인하고 역할에서 사용되는 리소스를 모두 제거해야 합니다.
**IAM 콘솔에서 서비스 연결 역할에 활성 세션이 있는지 확인하려면**
1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.
1. 탐색 창에서 **역할**을 선택합니다. AWSServiceRoleForEMRWAL 역할의 이름(확인란 아님)을 선택합니다.
1. 선택한 역할의 **요약** 페이지에서 **액세스 관리자**를 선택합니다.
1. **Access Advisor** 탭에서 서비스 연결 역할의 최근 활동을 검토합니다.
**참고**
Amazon EMR에서 AWSServiceRoleForEMRWAL 역할을 사용하는지 확실하지 않은 경우 해당 서비스 연결 역할을 삭제할 수 있습니다. 서비스에서 역할을 사용하는 경우에는 삭제가 안 되어 서비스 연결 역할이 사용 중인 리전을 볼 수 있습니다. 서비스 연결 역할이 사용 중인 경우에는 세션이 종료될 때까지 기다렸다가 서비스 연결 역할을 삭제해야 합니다. 서비스 연결 역할에 대한 세션은 취소할 수 없습니다.
**AWSServiceRoleForEMRWAL 서비스 연결 역할에서 사용하는 Amazon EMR 리소스를 제거하는 방법**
+ 계정에 속한 모든 클러스터를 종료합니다. 자세한 내용은 [시작 중, 실행 중 또는 대기 중 상태인 Amazon EMR 클러스터 종료](UsingEMR_TerminateJobFlow.md) 단원을 참조하십시오.
### 서비스 연결 역할 삭제(IAM 콘솔)
IAM 콘솔을 사용하여 서비스 연결 역할을 삭제할 수 있습니다.
**서비스 연결 역할을 삭제하는 방법(콘솔)**
1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.
1. 탐색 창에서 **역할**을 선택합니다. 이름이나 행 자체가 아닌 AWSServiceRoleForEMRWAL 옆의 확인란을 선택합니다.
1. 페이지 상단의 **역할** 작업에서 **역할 삭제**를 선택합니다.
1. 확인 대화 상자에서 서비스에서 마지막으로 액세스한 데이터를 검토합니다. 그러면 선택한 각 역할이 AWS 서비스에 마지막으로 액세스한 시기가 표시됩니다. 이를 통해 역할이 현재 활동 중인지를 확인할 수 있습니다. 계속하려면 **예, 삭제**를 선택합니다.
1. IAM 콘솔 알림을 보고 서비스 연결 역할 삭제 진행 상황을 모니터링합니다. IAM 서비스 연결 역할 삭제는 비동기이므로 삭제할 역할을 제출한 후에 삭제 태스크가 성공하거나 실패할 수 있습니다. 태스크에 실패할 경우 알림의 **세부 정보 보기** 또는 **리소스 보기**를 선택하면 삭제 실패 이유를 확인할 수 있습니다. 역할에서 사용 중인 리소스가 서비스에 있기 때문에 삭제에 실패하는 경우, 실패 원인에 리소스 목록이 포함됩니다.
### 서비스 연결 역할 삭제(IAM CLI)
에서 IAM 명령을 사용하여 서비스 연결 역할을 AWS Command Line Interface 삭제할 수 있습니다. 서비스 연결 역할이 사용되지 않거나 연결된 리소스가 없는 경우에는 서비스 연결 역할을 삭제할 수 없으므로 삭제 요청을 제출해야 합니다. 이러한 조건이 충족되지 않으면 요청이 거부될 수 있습니다.
**서비스 연결 역할을 삭제하는 방법(CLI)**
1. 삭제 작업 상태를 확인하려면 응답에서 `deletion-task-id`를 캡처해야 합니다. 다음 명령을 입력하여 서비스 연결 역할 삭제 요청을 제출합니다.
```
$ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-linked-role.html) --role-name AWSServiceRoleForEMRWAL
```
1. 다음 명령을 입력하여 삭제 작업의 상태를 확인합니다.
```
$ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-linked-role-deletion-status.html) --deletion-task-id deletion-task-id
```
삭제 태스크는 `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` 또는 `FAILED` 상태일 수 있습니다. 삭제에 실패할 경우 문제를 해결할 수 있도록 실패 이유가 호출에 반환됩니다.
### 서비스 연결 역할 삭제(IAM API)
IAM API를 사용하여 서비스 연결 역할을 삭제할 수 있습니다. 서비스 연결 역할이 사용되지 않거나 연결된 리소스가 없는 경우에는 서비스 연결 역할을 삭제할 수 없으므로 삭제 요청을 제출해야 합니다. 이러한 조건이 충족되지 않으면 요청이 거부될 수 있습니다.
**서비스 연결 역할(API)을 삭제하는 방법**
1. 서비스 연결 역할 삭제 요청을 제출하려면 [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html)을 호출합니다. 요청에서 AWSServiceRoleForEMRWAL 역할 이름을 지정합니다.
삭제 작업 상태를 확인하려면 응답에서 `DeletionTaskId`를 캡처해야 합니다.
1. 삭제 상태를 확인하려면 [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html)를 호출합니다. 요청에 `DeletionTaskId`(을)를 지정합니다.
삭제 태스크는 `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` 또는 `FAILED` 상태일 수 있습니다. 삭제에 실패할 경우 문제를 해결할 수 있도록 실패 이유가 호출에 반환됩니다.
## AWSServiceRoleForEMRWAL에 대해 지원되는 리전
Amazon EMR은 다음 리전에서 AWSServiceRoleForEMRWAL 서비스 연결 역할 사용을 지원합니다.
****
| 리전 이름 | 리전 자격 증명 | Amazon EMR에서 지원 |
| --- | --- | --- |
| 미국 동부(버지니아 북부) | us-east-1 | 예 |
| 미국 동부(오하이오) | us-east-2 | 예 |
| 미국 서부(캘리포니아 북부) | us-west-1 | 예 |
| 미국 서부(오리건) | us-west-2 | 예 |
| 아시아 태평양(뭄바이) | ap-south-1 | 예 |
| 아시아 태평양(싱가포르) | ap-southeast-1 | 예 |
| 아시아 태평양(시드니) | ap-southeast-2 | 예 |
| 아시아 태평양(도쿄) | ap-northeast-1 | 예 |
| 유럽(프랑크푸르트) | eu-central-1 | 예 |
| 유럽(아일랜드) | eu-west-1 | 예 |
# Amazon EMR을 사용하여 IAM 역할 사용자 지정
보안 요구 사항에 따라 권한을 제한하도록 IAM 서비스 역할 및 권한을 사용자 지정할 수 있습니다. 권한을 사용자가 지정하려면 새로운 역할과 정책을 생성하는 것이 좋습니다. 기본 역할(예: `AmazonElasticMapReduceforEC2Role` 및 `AmazonElasticMapReduceRole`)에 대한 관리형 정책의 권한부터 시작합니다. 그런 다음 내용을 복사하여 새로운 정책 문에 붙여 넣고 권한을 적절하게 수정하고, 이렇게 수정한 권한 정책을 생성한 역할에 연결합니다. 이를 위해서는 역할 및 정책에 대해 작업을 수행할 수 있는 적절한 IAM 권한이 있어야 합니다. 자세한 내용은 [사용자와 그룹이 역할을 생성 및 수정할 수 있도록 허용](emr-iam-roles-create-permissions.md) 단원을 참조하십시오.
EC2에 대한 사용자 지정 EMR 역할을 생성하는 경우 동일한 이름의 인스턴스 프로파일이 자동으로 생성되는 기본 워크플로를 따릅니다. Amazon EC2에서는 서로 다른 이름으로 인스턴스 프로파일과 역할을 생성할 수 있지만 Amazon EMR에서는 이 구성을 지원하지 않으므로 클러스터를 생성할 때 '잘못된 인스턴스 프로파일' 오류가 발생합니다.
**중요**
인라인 정책은 서비스 요구 사항이 변경될 때 자동으로 업데이트되지 않습니다. 인라인 정책을 생성 및 연결하는 경우 서비스 업데이트가 발생하여 갑작스럽게 권한 오류가 발생할 수도 있음을 염두에 두어야 합니다. 자세한 내용은 *IAM 사용 설명서*에서 [관리형 정책 및 인라인 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_managed-vs-inline.html) 및 [클러스터를 생성할 때 사용자 지정 IAM 역할 지정](#emr-iam-roles-launch-jobflow) 섹션을 참조하세요.
IAM 역할 작업에 대한 자세한 내용은 *IAM 사용 설명서*에서 다음 주제를 참조하세요.
+ [AWS 서비스에 권한을 위임하는 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)
+ [역할 변경](https://docs.aws.amazon.com/IAM/latest/UserGuide/modifying-role.html)
+ [역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/deleting-roles.html)
## 클러스터를 생성할 때 사용자 지정 IAM 역할 지정
사용자는 클러스터 생성 시 Amazon EMR에 대한 서비스 역할과 Amazon EC2 인스턴스 프로파일에 대한 역할을 지정할 수 있습니다. 클러스터를 생성하는 사용자는 역할을 검색하고 Amazon EMR 및 EC2 인스턴스에 할당할 수 있는 권한이 있어야 합니다. 그렇지 않으면 **account is not authorized to call EC2** 오류가 발생합니다. 자세한 내용은 [사용자와 그룹이 역할을 생성 및 수정할 수 있도록 허용](emr-iam-roles-create-permissions.md) 단원을 참조하십시오.
### 콘솔을 사용하여 사용자 지정 역할 지정
클러스터를 생성할 때 Amazon EMR의 사용자 지정 서비스 역할, EC2 인스턴스 프로파일의 사용자 지정 역할 및 **고급 옵션**을 사용하는 사용자 지정 Auto Scaling 역할을 지정할 수 있습니다. **빠른 옵션**을 사용하면 기본 서비스 역할과 EC2 인스턴스 프로필에 대한 기본 역할이 지정됩니다. 자세한 내용은 [Amazon EMR에서 사용하는 IAM 서비스 역할](emr-iam-service-roles.md) 단원을 참조하십시오.
------
#### [ Console ]
**콘솔을 사용하여 사용자 지정 IAM 역할을 지정하는 방법**
콘솔을 사용하여 클러스터를 생성하는 경우 Amazon EMR에 대한 사용자 지정 서비스 역할과 EC2 인스턴스 프로파일에 대한 사용자 지정 역할을 지정해야 합니다. 자세한 내용은 [Amazon EMR에서 사용하는 IAM 서비스 역할](emr-iam-service-roles.md) 단원을 참조하십시오.
1. 에 로그인 AWS Management Console하고 [https://console.aws.amazon.com/emr](https://console.aws.amazon.com/emr) Amazon EMR 콘솔을 엽니다.
1. 왼쪽 탐색 창의 **EMR on EC2**에서 **클러스터**를 선택하고 **클러스터 생성**을 선택합니다.
1. **보안 구성 및 권한**에서 **인스턴스 프로파일에 대한 IAM 역할** 및 **Amazon EMR에 대한 서비스 역할** 필드를 찾습니다. 각 역할 유형에 대해 목록에서 역할을 선택합니다. 해당 역할 유형에 대해 적절한 신뢰 정책을 가지고 있는 계정 내 역할만이 목록에 나열됩니다.
1. 클러스터에 적용할 다른 옵션을 선택합니다.
1. 클러스터를 시작하려면 **클러스터 생성**을 선택합니다.
------
### AWS CLI 를 사용하여 사용자 지정 역할 지정
AWS CLI의 `create-cluster` 명령과 함께 옵션을 사용하여 Amazon EMR에 대한 서비스 역할과 클러스터 EC2 인스턴스에 대한 서비스 역할을 명시적으로 지정할 수 있습니다. `--service-role` 옵션을 사용하여 서비스 역할을 지정합니다. `InstanceProfile` 옵션의 `--ec2-attributes` 인수를 사용하여 EC2 인스턴스 프로파일에 대한 역할을 지정합니다.
Auto Scaling 역할은 별도의 옵션(`--auto-scaling-role`)을 사용하여 지정됩니다. 자세한 내용은 [Amazon EMR의 인스턴스 그룹에서 사용자 지정 정책과 함께 자동 조정 사용](emr-automatic-scaling.md) 단원을 참조하십시오.
**를 사용하여 사용자 지정 IAM 역할을 지정하려면 AWS CLI**
+ 다음 명령을 통해 서비스 역할인 *MyCustomServiceRoleForEMR*과 클러스터 시작 시 EC2 인스턴스 프로파일에 대한 역할인 *MyCustomServiceRoleForClusterEC2Instances*를 사용자가 지정할 수 있습니다. 이 예제에서는 기본 Amazon EMR 역할을 사용합니다.
**참고**
가독성을 위해 Linux 줄 연속 문자(\$1)가 포함됩니다. Linux 명령에 사용하거나 제외할 수 있습니다. Windows에서는 제외시키거나 캐럿(^)으로 바꿉니다.
```
aws emr create-cluster --name "Test cluster" --release-label emr-7.12.0 \
--applications Name=Hive Name=Pig --service-role MyCustomServiceRoleForEMR \
--ec2-attributes InstanceProfile=MyCustomServiceRoleForClusterEC2Instances,\
KeyName=myKey --instance-type m5.xlarge --instance-count 3
```
`--use-default-roles` 옵션을 사용하기 보다 이들 옵션을 사용하여 기존 역할을 명시적으로 지정할 수 있습니다. `--use-default-roles` 옵션은 AWS CLI의 `config` 파일에 정의된 EC2 인스턴스 프로파일에 대한 역할과 서비스 역할을 지정합니다.
다음 예제에서는 Amazon EMR에 대한 사용자 지정 역할을 지정하는 AWS CLI 에 대한 `config` 파일의 내용을 보여줍니다. 이 구성 파일에서 `--use-default-roles` 옵션을 지정하면 *MyCustomServiceRoleForEMR* 및 *MyCustomServiceRoleForClusterEC2Instances*를 사용하여 클러스터가 생성됩니다. 기본적으로 `config` 파일은 기본 `service_role`을 `AmazonElasticMapReduceRole`로, 기본 `instance_profile`을 `EMR_EC2_DefaultRole`로 지정합니다.
```
[default]
output = json
region = us-west-1
aws_access_key_id = myAccessKeyID
aws_secret_access_key = mySecretAccessKey
emr =
service_role = MyCustomServiceRoleForEMR
instance_profile = MyCustomServiceRoleForClusterEC2Instances
```
# Amazon S3에 대한 EMRFS 요청의 IAM 역할 구성
**참고**
이 페이지에서 설명하는 EMRFS 역할 매핑 기능은 Amazon EMR 6.15.0에 Amazon S3 Access Grants가 도입된 후 개선되었습니다. Amazon S3의 데이터에 대한 확장 가능한 액세스 제어 솔루션의 경우 [Amazon EMR과 함께 S3 Access Grants](emr-access-grants.md)를 사용하는 것이 좋습니다.
클러스터에서 실행되는 애플리케이션이 `s3://mydata` 형식을 사용하여 데이터를 참조할 경우 Amazon EMR에서는 EMRFS를 사용하여 요청합니다. Amazon S3와 상호 작용하기 위해 EMRFS는 [Amazon EC2 인스턴스 프로파일](emr-iam-role-for-ec2.md)에 연결된 권한 정책을 가정합니다. 애플리케이션을 사용하는 사용자나 그룹 또는 Amazon S3에서 데이터의 위치에 관계없이 동일한 Amazon EC2 인스턴스 프로파일이 사용됩니다.
Amazon S3에서 EMRFS를 통해 다양한 수준으로 데이터에 액세스해야 하는 여러 명의 사용자가 클러스터에 있는 경우 EMRFS에 대한 IAM 역할로 보안 구성을 설정할 수 있습니다. EMRFS는 요청하는 사용자나 그룹에 따라 또는 Amazon S3에서 데이터의 위치에 따라 클러스터 EC2 인스턴스의 다른 서비스 역할을 수임할 수 있습니다. EMRFS에 대한 각 IAM 역할은 Amazon S3에서 다양한 데이터 액세스 권한을 가질 수 있습니다. 클러스터 EC2 인스턴스의 서비스 역할에 대한 자세한 내용은 [클러스터 EC2 인스턴스에 대한 서비스 역할(EC2 인스턴스 프로파일)](emr-iam-role-for-ec2.md) 섹션을 참조하세요.
EMRFS에 대한 사용자 지정 IAM 역할 사용은 Amazon EMR 버전 5.10.0 이상에서 지원됩니다. 이전 릴리스 버전을 사용하고 있거나 EMRFS의 IAM 역할이 제공하는 것 이상의 요구 사항이 있는 경우에는 대신 사용자 지정 보안 인증 제공업체를 생성할 수 있습니다. 자세한 내용은 [Amazon S3에서 EMRFS 데이터에 대한 액세스 권한 부여](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-plan-credentialsprovider)를 참조하세요.
보안 구성을 사용하여 EMRFS의 IAM 역할을 지정할 경우 역할 매핑을 설정합니다. 각 역할 매핑은 식별자에 해당하는 IAM 역할을 지정합니다. 이러한 식별자는 EMRFS를 통해 Amazon S3에 액세스하기 위한 기준을 결정합니다. 사용자, 그룹 또는 Amazon S3 접두사가 데이터 위치를 나타내는 식별자가 될 수 있습니다. EMRFS가 Amazon S3에 요청할 때 요청이 액세스 기준과 일치하는 경우 EMRFS는 클러스터 EC2 인스턴스가 요청에 해당하는 IAM 역할을 맡도록 합니다. 클러스터 EC2 인스턴스의 서비스 역할에 연결된 IAM 권한 대신, 해당 역할에 연결된 IAM 권한이 적용됩니다.
역할 매핑의 사용자와 그룹은 클러스터에 정의된 Hadoop 사용자와 그룹입니다. 역할 매핑을 사용하여 애플리케이션 맥락에서 EMRFS로 사용자와 그룹이 전달됩니다(예: YARN 사용자 구체화). Amazon S3 접두사는 버킷 지정자(깊이에 상관없음)일 수 있습니다(예: `s3://amzn-s3-demo-bucket` 또는 `s3://amzn-s3-demo-bucket/myproject/mydata`). 단일 역할 매핑 내에서 여러 식별자를 지정할 수 있지만, 모두 같은 유형이어야 합니다.
**중요**
EMRFS의 IAM 역할은 애플리케이션 사용자 간에 애플리케이션 수준 격리를 제공합니다. 호스트 상의 사용자 간에 호스트 수준 격리를 제공하지는 않습니다. 클러스터에 대한 액세스 권한이 있는 모든 사용자는 격리를 우회하여 이러한 역할을 맡을 수 있습니다.
클러스터 애플리케이션이 EMRFS를 통해 Amazon S3에 요청을 하면 EMRFS는 역할 매핑을 위에서 아래로 평가하여 보안 구성에 표시합니다. EMRFS를 통해 생성된 요청이 식별자와 일치하지 않는 경우 EMRFS는 클러스터 EC2 인스턴스의 서비스 역할을 사용하여 돌아갑니다. 이러한 이유에서 이 역할에 연결된 정책의 권한을 Amazon S3로 제한하는 것이 좋습니다. 자세한 내용은 [클러스터 EC2 인스턴스에 대한 서비스 역할(EC2 인스턴스 프로파일)](emr-iam-role-for-ec2.md) 단원을 참조하십시오.
## 역할 구성
EMRFS의 IAM 역할을 사용하여 보안 구성을 설정하기 전에 역할과 해당 역할에 연결하려는 권한 정책을 계획하고 생성합니다. 자세한 내용은 *IAM 사용 설명서*에서 [EC2 인스턴스의 역할은 어떻게 작동하나요?](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)를 참조하세요. 권한 정책을 생성할 때는 EC2의 기본 Amazon EMR 역할에 연결된 관리형 정책부터 시작해서 요구사항에 따라 이 정책을 편집하는 것이 좋습니다. 기본 역할은 `EMR_EC2_DefaultRole`이고, 편집할 기본 관리형 정책은 `AmazonElasticMapReduceforEC2Role`입니다. 자세한 내용은 [클러스터 EC2 인스턴스에 대한 서비스 역할(EC2 인스턴스 프로파일)](emr-iam-role-for-ec2.md) 단원을 참조하십시오.
### 역할 권한을 수임하기 위해 신뢰 정책 업데이트
EMRFS가 사용하는 각 역할에는 EC2에 대한 클러스터의 Amazon EMR 역할이 이를 수임하도록 허용하는 신뢰 정책이 있어야 합니다. 마찬가지로 EC2에 대한 클러스터의 Amazon EMR 역할에는 EMRFS 역할이 이를 수임하도록 허용하는 신뢰 정책이 있어야 합니다.
다음 예제 신뢰 정책은 EMRFS의 역할에 연결됩니다. 이 명령문에서는 EC2에 대한 기본 Amazon EMR 역할이 역할을 수임하도록 허용합니다. 예를 들어, `EMRFSRole_First` 및 `EMRFSRole_Second`와 같은 두 개의 가상 EMRFS 역할이 있는 경우 이 정책 구문은 각각의 신뢰 정책에 추가됩니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:aws:iam::123456789012:role/EMR_EC2_DefaultRole",
"Sid": "AllowSTSAssumerole"
}
]
}
```
------
또한 다음 예제 신뢰 정책 구문이 `EMR_EC2_DefaultRole`에 추가되어 두 개의 가상 EMRFS 역할이 이를 수임하도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/EMRFSRole_First",
"arn:aws:iam::123456789012:role/EMRFSRole_Second"
],
"Sid": "AllowSTSAssumerole"
}
]
}
```
------
**IAM 역할의 신뢰 정책을 업데이트하는 방법**
IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.
1. **Roles(역할)**를 선택하고 **Search(검색)**에서 이름을 입력한 다음 **Role name(역할 이름)**을 선택합니다.
1. **신뢰 관계(Trust relationships)**, **신뢰 관계 편집(Edit trust relationship)**을 차례대로 선택합니다.
1. 위 지침에 따라 **정책 문서**를 기준으로 신뢰 명령문을 추가하고 **신뢰 정책 업데이트**를 선택합니다.
### 역할을 키 사용자로 지정
역할이 AWS KMS key를 사용하여 암호화된 Amazon S3 위치에 대한 액세스를 허용하는 경우에는 해당 역할이 키 사용자로 지정되어 있는지 확인합니다. 이렇게 하면 해당 역할에 KMS 키를 사용할 수 있는 권한이 부여됩니다. 자세한 내용은AWS Key Management Service 개발자 안내서**의 [AWS KMS의 키 정책](https://docs.aws.amazon.com//kms/latest/developerguide/key-policies.html#key-policy-default-allow-users)을 참조하세요.
## EMRFS의 IAM 역할을 사용하여 보안 구성 설정
**중요**
지정된 EMRFS의 IAM 역할이 적용되지 않는 경우 EMRFS는 EC2의 Amazon EMR 역할로 돌아갑니다. 애플리케이션에서 Amazon S3에 대한 권한을 적절하게 제한하도록 이 역할을 사용자 지정한 다음, 클러스터를 생성할 때 `EMR_EC2_DefaultRole` 대신 이 사용자 지정 역할을 지정하는 것이 좋습니다. 자세한 정보는 [Amazon EMR을 사용하여 IAM 역할 사용자 지정](emr-iam-roles-custom.md) 및 [클러스터를 생성할 때 사용자 지정 IAM 역할 지정](emr-iam-roles-custom.md#emr-iam-roles-launch-jobflow) 섹션을 참조하세요.
**콘솔을 사용하여 Amazon S3에 대한 EMRFS 요청의 IAM 역할을 지정하는 방법**
1. 역할 매핑을 지정하는 보안 구성을 생성합니다.
1. Amazon EMR 콘솔에서 **보안 구성**, **생성**을 선택합니다.
1. 보안 구성의 **이름**을 입력합니다. 클러스터를 생성할 때 이 이름을 사용하여 보안 구성을 지정합니다.
1. **Amazon S3에 대한 EMRFS 요청의 IAM 역할 사용**을 선택합니다.
1. 적용할 **IAM 역할**을 선택하고 **액세스의 기준** 아래에 있는 목록에서 식별자 유형(**사용자**, **그룹** 또는 **S3 접두사**)을 선택한 후 해당 식별자를 입력합니다. 여러 식별자를 사용할 경우 공백 없이 쉼표로 구분합니다. 각 식별자 유형에 대한 자세한 내용은 아래 [JSON configuration reference](#emrfs-seccfg-json)를 참조하세요.
1. **역할 추가**를 선택하여 이전 단계에서 설명한 추가 역할 매핑을 설정합니다.
1. 다른 보안 구성 옵션을 적절히 설정하고 **생성**을 선택합니다. 자세한 내용은 [Amazon EMR 콘솔 또는를 사용하여 보안 구성 생성 AWS CLI](emr-create-security-configuration.md) 단원을 참조하십시오.
1. 클러스터를 생성할 때 위에서 생성한 보안 구성을 지정합니다. 자세한 내용은 [Amazon EMR 클러스터에 대한 보안 구성 지정](emr-specify-security-configuration.md) 단원을 참조하십시오.
**를 사용하여 Amazon S3에 대한 EMRFS 요청에 대한 IAM 역할을 지정하려면 AWS CLI**
1. 보안 구성의 이름과 보안 구성 세부 정보를 JSON 형식으로 지정하여 `aws emr create-security-configuration` 명령을 사용합니다.
아래 표시된 예시 명령에서는 이름이 `EMRFS_Roles_Security_Configuration`인 보안 구성을 생성합니다. 보안 구성은 `MyEmrfsSecConfig.json` 파일의 JSON 구조를 기반으로 하며, 명령이 실행되는 위치와 동일한 디렉터리에 저장됩니다.
```
aws emr create-security-configuration --name EMRFS_Roles_Security_Configuration --security-configuration file://MyEmrFsSecConfig.json.
```
`MyEmrFsSecConfig.json` 파일의 구조에 대해 다음 지침을 사용합니다. 이 구조를 다른 보안 구성 옵션에 대한 구조와 함께 지정할 수 있습니다. 자세한 내용은 [Amazon EMR 콘솔 또는를 사용하여 보안 구성 생성 AWS CLI](emr-create-security-configuration.md) 단원을 참조하십시오.
다음은 보안 구성에서 EMRFS에 대한 사용자 지정 IAM 역할을 지정하기 위한 예제 JSON 코드 조각입니다. 이 예제에서는 세 가지 식별자 유형에 대한 역할 매핑을 보여줍니다. 뒤이어 파라미터 참조가 나옵니다.
```
{
"AuthorizationConfiguration": {
"EmrFsConfiguration": {
"RoleMappings": [{
"Role": "arn:aws:iam::123456789101:role/allow_EMRFS_access_for_user1",
"IdentifierType": "User",
"Identifiers": [ "user1" ]
},{
"Role": "arn:aws:iam::123456789101:role/allow_EMRFS_access_to_demo_s3_buckets",
"IdentifierType": "Prefix",
"Identifiers": [ "s3://amzn-s3-demo-bucket1/","s3://amzn-s3-demo-bucket2/" ]
},{
"Role": "arn:aws:iam::123456789101:role/allow_EMRFS_access_for_AdminGroup",
"IdentifierType": "Group",
"Identifiers": [ "AdminGroup" ]
}]
}
}
}
```
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/emr/latest/ManagementGuide/emr-emrfs-iam-roles.html)
1. `aws emr create-cluster` 명령을 사용하여 클러스터를 생성하고 이전 단계에서 생성한 보안 구성을 지정합니다.
다음 예제에서는 기본 코어 Hadoop 애플리케이션이 설치된 상태로 클러스터를 생성합니다. 클러스터에서는 위에서 생성한 보안 구성을 `EMRFS_Roles_Security_Configuration`으로 사용하며, `EC2_Role_EMR_Restrict_S3` 파라미터의 `InstanceProfile` 인수를 사용하여 지정되는 EC2의 사용자 지정 Amazon EMR 역할(`--ec2-attributes`)을 사용합니다.
**참고**
가독성을 위해 Linux 줄 연속 문자(\$1)가 포함됩니다. Linux 명령에 사용하거나 제외할 수 있습니다. Windows에서는 제외시키거나 캐럿(^)으로 바꿉니다.
```
aws emr create-cluster --name MyEmrFsS3RolesCluster \
--release-label emr-7.12.0 --ec2-attributes InstanceProfile=EC2_Role_EMR_Restrict_S3,KeyName=MyKey \
--instance-type m5.xlarge --instance-count 3 \
--security-configuration EMRFS_Roles_Security_Configuration
```
# AWS Glue 데이터 카탈로그에 대한 Amazon EMR 액세스에 리소스 기반 정책 사용
Amazon EMR에서 AWS Glue를 Hive, Spark 또는 Presto와 함께 사용하는 경우 AWS Glue는 데이터 카탈로그 리소스에 대한 액세스를 제어하는 리소스 기반 정책을 지원합니다. 이러한 리소스에는 데이터베이스, 테이블, 연결 및 사용자 정의 기능이 포함됩니다. 자세한 내용은 *AWS Glue 개발자 안내서*에서 [AWS Glue 리소스 정책](https://docs.aws.amazon.com/glue/latest/dg/glue-resource-policies.html)을 참조하세요.
리소스 기반 정책을 사용하여 Amazon EMR 내에서 AWS Glue에 대한 액세스를 제한하는 경우 권한 정책에서 지정하는 보안 주체는 클러스터 생성 시 지정된 EC2 인스턴스 프로파일과 연결된 역할 ARN이어야 합니다. 예를 들어, 카탈로그에 연결된 리소스 기반 정책의 경우 다음 예에 표시된 형식을 사용하여 클러스터 EC2 인스턴스에 대한 기본 서비스 역할의 ARN(*EMR\$1EC2\$1DefaultRole*)을 `Principal`로 지정할 수 있습니다.
```
arn:aws:iam::acct-id:role/EMR_EC2_DefaultRole
```
*acct-id*는 AWS Glue 계정 ID와 다를 수 있습니다. 그러면 다른 계정의 EMR 클러스터에서 액세스할 수 있습니다. 각각 다른 계정에서 여러 보안 주체를 지정할 수 있습니다.
# AWS 서비스를 직접 호출하는 애플리케이션에서 IAM 역할 사용
클러스터의 EC2 인스턴스에서 실행되는 애플리케이션은 EC2 인스턴스 프로파일을 사용하여 AWS 서비스를 호출할 때 임시 보안 자격 증명을 얻을 수 있습니다.
Amazon EMR 릴리스 2.3.0 이상에서 사용할 수 있는 Hadoop의 버전은 IAM 역할을 사용하도록 이미 업데이트되었습니다. 애플리케이션이 하둡 아키텍처를 기반으로 엄격하게 실행되고에서 서비스를 직접 호출하지 않는 경우 수정 없이 IAM 역할로 작업 AWS해야 합니다.
애플리케이션이에서 서비스를 AWS 직접 호출하는 경우 IAM 역할을 활용하도록 업데이트해야 합니다. 즉, 클러스터의 EC2 인스턴스에서 `/etc/hadoop/conf/core-site.xml`의 계정 보안 인증을 얻는 대신에 애플리케이션이 SDK를 사용하여 IAM 역할로 리소스에 액세스하거나 EC2 인스턴스 메타데이터를 직접 호출하여 임시 보안 인증을 얻습니다.
**SDK를 사용하여 IAM 역할을 사용하여 AWS 리소스에 액세스하려면**
+ 다음 주제에서는 여러 AWS SDKs를 사용하여 IAM 역할을 사용하여 임시 자격 증명에 액세스하는 방법을 보여줍니다. 각 주제는 IAM 역할을 사용하지 않는 애플리케이션 버전으로 시작한 다음 IAM 역할을 사용하도록 해당 애플리케이션을 변환하는 프로세스를 안내합니다.
+ *AWS SDK for Java 개발자 안내서*의 [SDK for Java를 포함하는 Amazon EC2인스턴스에서 IAM 역할 사용](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/java-dg-roles.html)
+ *AWS SDK for .NET 개발자 안내서*의 [SDK for .NET을 포함하는 Amazon EC2인스턴스에서 IAM 역할 사용](https://docs.aws.amazon.com/sdk-for-net/latest/developer-guide/net-dg-roles.html)
+ *AWS SDK for PHP 개발자 안내서*의 [SDK for PHP를 포함하는 Amazon EC2인스턴스에서 IAM 역할 사용](https://docs.aws.amazon.com/sdk-for-php/latest/developer-guide/php-dg-roles.html)
+ *AWS SDK for Ruby 개발자 안내서*의 [SDK for Ruby를 포함하는 Amazon EC2인스턴스에서 IAM 역할 사용](https://docs.aws.amazon.com/sdk-for-ruby/latest/developer-guide/ruby-dg-roles.html)
**EC2 인스턴스 메타데이터에서 임시 자격 증명을 가져오려면**
+ 지정된 IAM 역할로 실행 중인 EC2 인스턴스에서 다음 URL을 직접 호출합니다. 그러면 연결된 임시 보안 인증(AccessKeyId, SecretAccessKey, SessionToken 및 Expiration)이 반환됩니다. 다음 예제에서는 Amazon EMR에 대한 기본 인스턴스 프로파일(`EMR_EC2_DefaultRole`)을 사용합니다.
```
GET http://169.254.169.254/latest/meta-data/iam/security-credentials/EMR_EC2_DefaultRole
```
IAM 역할을 사용하는 애플리케이션 작성에 대한 자세한 내용은 [ Amazon EC2 인스턴스에서 실행되는 애플리케이션에 AWS 리소스에 대한 액세스 권한 부여를 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/role-usecase-ec2app.html).
임시 보안 인증 생성에 대한 자세한 내용은 *임시 보안 인증 사용*에서 [임시 보안 인증 사용](https://docs.aws.amazon.com/STS/latest/UsingSTS/using-temp-creds.html)을 참조하세요.
# 사용자와 그룹이 역할을 생성 및 수정할 수 있도록 허용
기본 역할을 포함하여 클러스터에 대한 역할을 생성, 수정 및 지정하는 IAM 보안 주체(사용자 및 그룹)는 아래 작업을 수행할 수 있어야 합니다. 각 작업에 대한 자세한 내용은 *IAM API 참조*에서 [작업](https://docs.aws.amazon.com/IAM/latest/APIReference/API_Operations.html)을 참조하세요.
+ `iam:CreateRole`
+ `iam:PutRolePolicy`
+ `iam:CreateInstanceProfile`
+ `iam:AddRoleToInstanceProfile`
+ `iam:ListRoles`
+ `iam:GetPolicy`
+ `iam:GetInstanceProfile`
+ `iam:GetPolicyVersion`
+ `iam:AttachRolePolicy`
+ `iam:PassRole`
`iam:PassRole` 권한은 클러스터 생성을 허용합니다. 나머지 권한은 기본 역할의 생성을 허용합니다.
사용자에게 권한을 할당하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*에서 [사용자의 권한 변경](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html)을 참조하세요.
# Amazon EMR 자격 증명 기반 정책 예제
기본적으로 사용자 및 역할에는 Amazon EMR 리소스를 생성하거나 수정할 수 있는 권한이 없습니다. 또한 AWS Management Console AWS CLI또는 AWS API를 사용하여 작업을 수행할 수 없습니다. IAM 관리자는 지정된 리소스에서 특정 API 작업을 수행할 수 있는 권한을 사용자와 역할에게 부여하는 IAM 정책을 생성해야 합니다. 그런 다음, 관리자는 해당 권한이 필요한 사용자 또는 그룹에 이러한 정책을 연결해야 합니다.
이러한 예제 JSON 정책 문서를 사용하여 IAM ID 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용자 설명서*의 [JSON 탭에서 정책 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)을 참조하세요.
**Topics**
+ [Amazon EMR에 대한 정책 모범 사례](security_iam_service-with-iam-policy-best-practices.md)
+ [사용자가 자신의 고유한 권한을 볼 수 있도록 허용](security_iam_id-based-policy-examples-view-own-permissions.md)
+ [Amazon EMR 관리형 정책](emr-managed-iam-policies.md)
+ [클러스터 및 EMR Notebooks에 대한 태그 기반 액세스를 위한 IAM 정책](emr-fine-grained-cluster-access.md)
+ [Amazon EMR에서 ModifyInstanceGroup 작업 거부](emr-cluster-deny-modifyinstancegroup.md)
+ [Amazon EMR 자격 증명 및 액세스 문제 해결](security_iam_troubleshoot.md)
# Amazon EMR에 대한 정책 모범 사례
자격 증명 기반 정책은 매우 강력합니다. 이를 통해 계정에서 사용자가 Amazon EMR 리소스를 생성, 액세스 또는 삭제할 수 있는지를 결정합니다. 이러한 작업으로 AWS 인해 계정에 비용이 발생할 수 있습니다. ID 기반 정책을 생성하거나 편집할 때는 다음 지침과 권장 사항을 따르세요.
+ ** AWS 관리형 정책 사용 시작하기** - Amazon EMR 사용을 빠르게 시작하려면 AWS 관리형 정책을 사용하여 직원에게 필요한 권한을 부여합니다. 이 정책은 이미 계정에서 사용할 수 있으며 AWS에 의해 유지 관리 및 업데이트됩니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 관리형 정책으로 권한 사용 시작하기](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies) 및 섹션을 참조하세요[Amazon EMR 관리형 정책](emr-managed-iam-policies.md).
+ **최소 권한 부여** – 사용자 지정 정책을 생성할 때는 작업을 수행하는 데 필요한 권한만 부여합니다. 최소한의 권한 조합으로 시작하여 필요에 따라 추가 권한을 부여합니다. 처음부터 권한을 많이 부여한 후 나중에 줄이는 방법보다 이 방법이 안전합니다. 자세한 정보는 *IAM 사용 설명서*의 [최소 권한 부여](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)를 참조하세요.
+ **민감한 작업에 대해 MFA 활성화** – 보안을 강화하기 위해 사용자가 중요한 리소스 또는 API 작업에 액세스하려면 다중 인증(MFA)을 사용해야 합니다. 자세한 정보는 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)의 * AWS에서 다중 인증(MFA) 사용*을 참조하세요.
+ **보안 강화를 위해 정책 조건 사용** – 실제로 가능한 경우, 자격 증명 기반 정책이 리소스에 대한 액세스를 허용하는 조건을 정의합니다. 예를 들어, 요청을 할 수 있는 IP 주소의 범위를 지정하도록 조건을 작성할 수 있습니다. 지정된 날짜 또는 시간 범위 내에서만 요청을 허용하거나, SSL 또는 MFA를 사용해야 하는 조건을 작성할 수도 있습니다. 자세한 정보는 *IAM 사용 설명서*의 [IAM JSON 정책 요소: 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하세요.
# 사용자가 자신의 고유한 권한을 볼 수 있도록 허용
이 예제는 IAM 사용자가 자신의 사용자 자격 증명에 연결된 인라인 및 관리형 정책을 볼 수 있도록 허용하는 정책을 생성하는 방법을 보여줍니다. 이 정책에는 콘솔에서 또는 AWS CLI 또는 AWS API를 사용하여 프로그래밍 방식으로이 작업을 완료할 수 있는 권한이 포함됩니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUser",
"iam:GetUserPolicy",
"iam:ListAttachedUserPolicies",
"iam:ListGroupsForUser",
"iam:ListUserPolicies"
],
"Resource": [
"arn:aws:iam::*:user/${aws:username}"
]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListGroups",
"iam:ListPolicies",
"iam:ListPolicyVersions",
"iam:ListUsers"
],
"Resource": [
"*"
]
}
]
}
```
------
# Amazon EMR 관리형 정책
필수 Amazon EMR 작업에 대한 전체 액세스 또는 읽기 전용 액세스 권한을 부여하는 가장 쉬운 방법은 Amazon EMR에 대한 IAM 관리형 정책을 사용하는 것입니다. 관리형 정책은 권한 요구 사항이 변경될 경우 자동으로 업데이트하는 이점을 제공합니다. 인라인 정책을 사용하는 경우, 권한 오류를 일으키는 서비스 변경이 발생할 수 있습니다.
Amazon EMR에서는 새로운 관리형 정책(v2 정책)을 위해, 기존 관리형 정책(v1 정책)이 지원 중단될 예정입니다. 새로운 관리형 정책은 AWS 모범 사례에 맞게 범위가 축소되었습니다. 기존 v1 관리형 정책이 지원 중단된 후에는 새 IAM 역할 또는 사용자에게 이러한 정책을 연결할 수 없습니다. 지원 중단된 정책을 사용하는 기존 역할 및 사용자는 해당 역할을 계속 사용할 수 있습니다. v2 관리형 정책은 태그를 사용하여 액세스를 제한합니다. 지정된 Amazon EMR 작업만 허용되며 EMR 특정 키로 태그가 지정된 클러스터 리소스가 필요합니다. 새 v2 정책을 사용하기 전에 설명서를 주의 깊게 검토하는 것이 좋습니다.
v1 정책은 IAM 콘솔의 **정책** 목록에서 사용 중단된 항목으로 나타나며, 옆에 경고 아이콘이 표시됩니다. 다음은 지원 중단된 정책의 특징입니다.
+ 현재 연결된 모든 사용자, 그룹 및 역할에서는 계속 사용할 수 있습니다. 연결이 해제되지 않습니다.
+ 새로운 사용자, 그룹 또는 역할에는 연결할 수 없습니다. 현재 엔터티에서 정책을 분리하면 다시 연결할 수 없습니다.
+ 모든 현재 엔터티에서 v1 정책을 분리한 후에 정책은 더 이상 표시되지 않으며 더 이상 사용할 수 없습니다.
다음 테이블에는 현재 정책(v1)과 v2 정책 간 변경 사항이 요약되어 있습니다.
**Amazon EMR 관리형 정책 변경 사항**
| 정책 유형 | 정책 이름 | 정책 목적 | v2 정책에 대한 변경 사항 |
| --- | --- | --- | --- |
| 기본 EMR 서비스 역할 및 연결된 관리형 정책 | 역할 이름: **EMR\$1DefaultRole** V1 정책(지원 중단 예정): **AmazonElasticMapReduceRole**(EMR 서비스 역할) V2(범위 축소됨) 정책 이름: [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) | 리소스를 프로비저닝하고 AWS 서비스 수준 작업을 수행할 때 Amazon EMR이 사용자를 대신하여 다른 서비스를 호출하도록 허용합니다. 이 역할은 모든 클러스터에 필요합니다. | 정책은 새 권한 `"ec2:DescribeInstanceTypeOfferings"`를 추가합니다. 이 API 작업은 주어진 가용 영역 목록에서 지원하는 인스턴스 유형 목록을 반환합니다. |
| 연결된 사용자, 역할 또는 그룹별 전체 Amazon EMR 액세스를 위한 IAM 관리형 정책 | V2(범위 지정) 정책 이름: [`AmazonEMRServicePolicy_v2`](emr-managed-policy-fullaccess-v2.md) | 사용자에게 EMR 작업에 대한 모든 권한을 허용합니다. 리소스에 대한 iam:PassRole 권한을 포함합니다. | 정책에는 사용자가 리소스에 사용자 태그를 추가해야 이 정책을 사용할 수 있다는 필수 조건이 추가됩니다. [관리형 정책을 사용하기 위해 리소스에 태그 지정](#manually-tagged-resources)을(를) 참조하세요. iam:PassRole 작업을 수행하려면 iam:PassedToService 조건이 지정된 서비스로 설정되어 있어야 합니다. Amazon EC2, Amazon S3 및 기타 서비스에 대한 액세스는 기본적으로 허용되지 않습니다. [전체 액세스를 위한 IAM 관리형 정책(v2 관리형 기본 정책)](emr-managed-policy-fullaccess-v2.md)을 참조하세요. |
| 연결된 사용자, 역할 또는 그룹별 읽기 전용 액세스를 위한 IAM 관리형 정책 | V1 정책(지원 중단 예정): [`AmazonElasticMapReduceReadOnlyAccess`](emr-managed-policy-readonly.md) V2(범위 지정) 정책 이름: [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) | 사용자에게 Amazon EMR 작업에 대한 읽기 전용 권한을 허용합니다. | 권한은 지정된 elasticmapreduce 읽기 전용 작업만 허용합니다. Amazon S3에 대한 액세스는 기본적으로 허용되지 않습니다. [읽기 전용 액세스를 위한 IAM 관리형 정책(v2 관리형 기본 정책)](emr-managed-policy-readonly-v2.md)을 참조하세요. |
| 기본 EMR 서비스 역할 및 연결된 관리형 정책 | 역할 이름: **EMR\$1DefaultRole** V1 정책(지원 중단 예정): **AmazonElasticMapReduceRole**(EMR 서비스 역할) V2(범위 축소됨) 정책 이름: [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) | 리소스를 프로비저닝하고 AWS 서비스 수준 작업을 수행할 때 Amazon EMR이 사용자를 대신하여 다른 서비스를 호출하도록 허용합니다. 이 역할은 모든 클러스터에 필요합니다. | v2 서비스 역할 및 v2 기본 정책은 지원 중단된 역할 및 정책을 대체합니다. 이 정책에는 사용자가 리소스에 사용자 태그를 추가해야 이 정책을 사용할 수 있다는 필수 조건이 추가됩니다. [관리형 정책을 사용하기 위해 리소스에 태그 지정](#manually-tagged-resources)을(를) 참조하세요. [Amazon EMR의 서비스 역할(EMR 역할)](emr-iam-role.md)을(를) 참조하세요. |
| 클러스터 EC2 인스턴스에 대한 서비스 역할(EC2 인스턴스 프로파일) | 역할 이름: **EMR\$1EC2\$1DefaultRole** 지원 중단된 정책 이름: **AmazonElasticMapReduceforEC2Role** | EMR 클러스터에서 실행되는 애플리케이션이 Amazon S3와 같은 다른 AWS 리소스에 액세스할 수 있도록 허용합니다. 예를 들어, Amazon S3의 데이터를 처리하는 Apache Spark 작업을 실행하는 경우 정책에서 해당 리소스에 대한 액세스를 허용해야 합니다. | 기본 역할 및 기본 정책 모두 지원 중단 예정입니다. 대체 AWS 기본 관리형 역할 또는 정책은 없습니다. 리소스 기반 또는 자격 증명 기반 정책을 제공해야 합니다. 즉, 기본적으로 EMR 클러스터에서 실행되는 애플리케이션은 정책에 수동으로 추가하지 않는 한, Amazon S3 또는 기타 리소스에 액세스할 수 없습니다. [기본 역할 및 관리형 정책](emr-iam-role-for-ec2.md#emr-ec2-role-default)을(를) 참조하세요. |
| 기타 EC2 서비스 역할 정책 | 현재 정책 이름: **AmazonElasticMapReduceforAutoScalingRole, AmazonElasticMapReduceEditorsRole, AmazonEMRCleanupPolicy** | EC2 리소스를 정리하기 위해 또는 노트북, 오토 스케일링을 사용하는 경우 Amazon EMR에서 다른 AWS 리소스에 액세스하고 작업을 수행하는 데 필요한 권한을 제공합니다. | v2에는 변경 사항이 없습니다. |
## iam:PassRole 보안
Amazon EMR 전체 권한 기본 관리형 정책에는 다음을 비롯한 `iam:PassRole` 보안 구성이 통합되어 있습니다.
+ 특정 기본 Amazon EMR 역할 전용 `iam:PassRole` 권한.
+ `iam:PassedToService` `elasticmapreduce.amazonaws.com` 및와 같이 지정된 AWS 서비스에서만 정책을 사용할 수 있는 조건입니다`ec2.amazonaws.com`.
IAM 콘솔에서 [AmazonEMRFullAccessPolicy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRFullAccessPolicy_v2) 및 [AmazonEMRServicePolicy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2) 정책의 JSON 버전을 확인할 수 있습니다. v2 관리형 정책을 사용하여 새 클러스터를 생성하는 것이 좋습니다.
사용자 지정 정책을 생성하려면 관리형 정책으로 시작한 다음 요구 사항에 따라 정책을 편집하는 것이 좋습니다.
사용자(보안 주체)에 정책을 연결하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*에서 [AWS Management Console을 사용하여 관리형 정책 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html#policies_using-managed-console)을 참조하세요.
## 관리형 정책을 사용하기 위해 리소스에 태그 지정
**AmazonEMRServicePolicy\$1v2** 및 **AmazonEMRFullAccessPolicy\$1v2**는 Amazon EMR이 프로비저닝하거나 사용하는 리소스에 대해 축소된 액세스에 종속됩니다. 사전 정의된 사용자 태그가 연결된 리소스로만 액세스를 제한함으로써 범위를 축소할 수 있습니다. 이 두 정책 중 하나를 사용하는 경우 클러스터를 프로비저닝할 때 사전 정의된 사용자 태그(`for-use-with-amazon-emr-managed-policies = true`)를 전달해야 합니다. 그러면 Amazon EMR이 해당 태그를 자동으로 전파합니다. 또한 다음 섹션에 나열된 리소스에 사용자 태그를 추가해야 합니다. Amazon EMR 콘솔을 사용하여 클러스터를 시작하는 경우 [Amazon EMR 콘솔을 사용하여 v2 관리형 정책으로 클러스터를 시작할 때 고려 사항](#emr-cluster-v2policy-awsconsole-launch) 섹션을 참조하세요.
관리형 정책을 사용하려면 CLI, SDK 또는 다른 방법으로 클러스터를 프로비저닝할 때 사용자 태그(`for-use-with-amazon-emr-managed-policies = true`)를 전달합니다.
태그를 전달하면 Amazon EMR이 생성한 프라이빗 서브넷 ENI, EC2 인스턴스 및 EBS 볼륨에 태그를 전파합니다. 또한 Amazon EMR은 생성한 보안 그룹에 자동으로 태그를 지정합니다. 하지만 Amazon EMR이 특정 보안 그룹과 함께 시작되도록 하려면 태그를 지정해야 합니다. Amazon EMR에서 생성하지 않은 리소스의 경우 해당 리소스에 태그를 추가해야 합니다. 예를 들어, Amazon EC2 서브넷, EC2 보안 그룹(Amazon EMR에서 생성하지 않은 경우) 및 VPC(Amazon EMR에서 보안 그룹을 생성하려는 경우)에 태그를 지정해야 합니다. VPC에서 v2 관리형 정책을 사용하여 클러스터를 시작하려면 사전 정의된 사용자 태그로 해당 VPC에 태그를 지정해야 합니다. [Amazon EMR 콘솔을 사용하여 v2 관리형 정책으로 클러스터를 시작할 때 고려 사항](#emr-cluster-v2policy-awsconsole-launch) 섹션을 참조하세요.
**전파된 사용자 지정 태그 지정**
Amazon EMR은 클러스터를 생성할 때 지정한 Amazon EMR 태그를 사용하여 생성한 리소스에 태그를 지정합니다. Amazon EMR은 클러스터 수명 주기 동안 생성하는 리소스에 태그를 적용합니다.
Amazon EMR은 다음 리소스에 대해 사용자 태그를 전파합니다.
+ 프라이빗 서브넷 ENI(서비스 액세스 탄력적 네트워크 인터페이스)
+ EC2 인스턴스
+ EBS 볼륨
+ EC2 시작 템플릿
**자동으로 태그가 지정된 보안 그룹**
Amazon EMR은 클러스터 생성 명령에서 지정하는 태그와 상관없이 Amazon EMR의 v2 관리형 정책(`for-use-with-amazon-emr-managed-policies`)에 필요한 태그를 사용하여 생성하는 EC2 보안 그룹에 태그를 지정합니다. v2 관리형 정책을 도입하기 전에 생성된 보안 그룹의 경우 Amazon EMR은 보안 그룹에 자동으로 태그를 지정하지 않습니다. 계정에 이미 있는 기본 보안 그룹과 함께 v2 관리형 정책을 사용하려면 `for-use-with-amazon-emr-managed-policies = true`를 사용하여 보안 그룹에 수동으로 태그를 지정해야 합니다.
**수동으로 태그가 지정된 클러스터 리소스**
Amazon EMR 기본 역할로 액세스할 수 있도록 일부 클러스터 리소스에 수동으로 태그를 지정해야 합니다.
+ Amazon EMR 관리형 정책 태그(`for-use-with-amazon-emr-managed-policies`)로 EC2 보안 그룹과 EC2 서브넷에 수동으로 태그를 지정해야 합니다.
+ Amazon EMR에서 기본 보안 그룹을 생성하려면 VPC에 수동으로 태그를 지정해야 합니다. 기본 보안 그룹이 아직 없는 경우 EMR은 특정 태그를 사용하여 보안 그룹을 생성하려고 시도합니다.
Amazon EMR은 다음 리소스에 자동으로 태그를 지정합니다.
+ EMR에서 생성한 EC2 보안 그룹
다음 리소스에 수동으로 태그를 지정해야 합니다.
+ EC2 서브넷
+ EC2 보안 그룹
선택적으로 다음 리소스에 수동으로 태그를 지정해야 합니다.
+ VPC - Amazon EMR에서 보안 그룹을 생성하려는 경우에만
## Amazon EMR 콘솔을 사용하여 v2 관리형 정책으로 클러스터를 시작할 때 고려 사항
Amazon EMR 콘솔을 사용하여 v2 관리형 정책으로 클러스터를 프로비저닝할 수 있습니다. 다음은 콘솔을 사용하여 Amazon EMR 클러스터를 시작할 때 몇 가지 고려 사항입니다.
+ 사전 정의된 태그는 전달하지 않아도 됩니다. Amazon EMR은 태그를 자동으로 추가하고 적절한 구성 요소에 전파합니다.
+ 수동으로 태그를 지정해야 하는 구성 요소의 경우 리소스에 태그를 지정하는 데 필요한 권한이 있으면 이전 Amazon EMR 콘솔에서 자동으로 태그를 지정하려고 합니다. 리소스에 태그를 지정할 권한이 없거나 콘솔을 사용하려는 경우 관리자에게 해당 리소스에 대한 태그 지정을 요청합니다.
+ 모든 필수 조건을 충족해야만 v2 관리형 정책을 사용하여 클러스터를 시작할 수 있습니다.
+ 이전 Amazon EMR 콘솔은 태그를 지정해야 하는 리소스(VPC 및 서브넷)를 보여줍니다.
# Amazon EMR에서 전체 액세스를 위한 IAM 관리형 정책(v2 관리형 기본 정책)
v2 범위 EMR 기본 관리형 정책은 사용자에게 특정 액세스 권한을 부여합니다. 여기에는 Amazon EMR에서 사용하는 리소스에 대해 사전 정의된 Amazon EMR 리소스 태그와 `iam:PassRole` 조건 키(예: 클러스터를 시작하는 데 사용하는 `Subnet` 및 `SecurityGroup`)가 필요합니다.
Amazon EMR 범위에 포함된 모든 필수 작업을 허용하려면 `AmazonEMRFullAccessPolicy_v2` 관리형 정책을 연결합니다. 이 업데이트된 기본 관리형 정책은 [`AmazonElasticMapReduceFullAccess`](emr-managed-policy-fullaccess.md) 관리형 정책을 대체합니다.
`AmazonEMRFullAccessPolicy_v2`는 Amazon EMR에서 프로비저닝하거나 사용하는 리소스에 대한 축소된 액세스에 의존합니다. 이 정책을 사용하는 경우 클러스터를 프로비저닝할 때 사용자 태그(`for-use-with-amazon-emr-managed-policies = true`)를 전달해야 합니다. Amazon EMR은 태그를 자동으로 전파합니다. 또한 Amazon EMR에서 생성하지 않은 EC2 보안 그룹과 같은 특정 유형의 리소스에 사용자 태그를 수동으로 추가해야 할 수도 있습니다. 자세한 내용은 [관리형 정책을 사용하기 위해 리소스에 태그 지정](emr-managed-iam-policies.md#manually-tagged-resources) 단원을 참조하십시오.
이 [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2) 정책은 다음을 수행하여 리소스를 보호합니다.
+ 클러스터 생성 및 Amazon EMR 액세스를 위해 사전 정의된 Amazon EMR 관리형 정책 태그(`for-use-with-amazon-emr-managed-policies`)로 리소스에 태그를 지정해야 합니다.
+ `iam:PassRole` 작업을 특정 기본 역할 및 특정 서비스에 대한 `iam:PassedToService` 액세스로 제한합니다.
+ 더 이상 기본적으로 Amazon EC2, Amazon S3 및 기타 서비스에 대한 액세스를 제공하지 않습니다.
이 정책의 콘텐츠는 다음과 같습니다.
**참고**
[https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2) 콘솔 링크를 사용하여 정책을 확인할 수도 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RunJobFlowExplicitlyWithEMRManagedTag",
"Effect": "Allow",
"Action": [
"elasticmapreduce:RunJobFlow"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "ElasticMapReduceActions",
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddInstanceFleet",
"elasticmapreduce:AddInstanceGroups",
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:AddTags",
"elasticmapreduce:CancelSteps",
"elasticmapreduce:CreateEditor",
"elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:CreateSecurityConfiguration",
"elasticmapreduce:DeleteEditor",
"elasticmapreduce:DeleteSecurityConfiguration",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:DescribeJobFlows",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:DescribeSecurityConfiguration",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:DescribeReleaseLabel",
"elasticmapreduce:GetBlockPublicAccessConfiguration",
"elasticmapreduce:GetManagedScalingPolicy",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"elasticmapreduce:GetAutoTerminationPolicy",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListEditors",
"elasticmapreduce:ListInstanceFleets",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListInstances",
"elasticmapreduce:ListSecurityConfigurations",
"elasticmapreduce:ListSteps",
"elasticmapreduce:ListSupportedInstanceTypes",
"elasticmapreduce:ModifyCluster",
"elasticmapreduce:ModifyInstanceFleet",
"elasticmapreduce:ModifyInstanceGroups",
"elasticmapreduce:OpenEditorInConsole",
"elasticmapreduce:PutAutoScalingPolicy",
"elasticmapreduce:PutBlockPublicAccessConfiguration",
"elasticmapreduce:PutManagedScalingPolicy",
"elasticmapreduce:RemoveAutoScalingPolicy",
"elasticmapreduce:RemoveManagedScalingPolicy",
"elasticmapreduce:RemoveTags",
"elasticmapreduce:SetTerminationProtection",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:TerminateJobFlows",
"elasticmapreduce:ViewEventsFromAllClustersInConsole"
],
"Resource": [
"*"
]
},
{
"Sid": "ViewMetricsInEMRConsole",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
]
},
{
"Sid": "PassRoleForElasticMapReduce",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_DefaultRole",
"arn:aws:iam::*:role/EMR_DefaultRole_V2"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "elasticmapreduce.amazonaws.com*"
}
}
},
{
"Sid": "PassRoleForEC2",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_EC2_DefaultRole"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "ec2.amazonaws.com*"
}
}
},
{
"Sid": "PassRoleForAutoScaling",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_AutoScaling_DefaultRole"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "application-autoscaling.amazonaws.com*"
}
}
},
{
"Sid": "ElasticMapReduceServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/elasticmapreduce.amazonaws.com*/AWSServiceRoleForEMRCleanup*"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"elasticmapreduce.amazonaws.com",
"elasticmapreduce.amazonaws.com.rproxy.govskope.us.cn"
]
}
}
},
{
"Sid": "ConsoleUIActions",
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeKeyPairs",
"ec2:DescribeNatGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"s3:ListAllMyBuckets",
"iam:ListRoles"
],
"Resource": [
"*"
]
}
]
}
```
------
# 전체 액세스를 위한 IAM 관리형 정책(지원 중단 예정)
`AmazonElasticMapReduceFullAccess` 및 `AmazonEMRFullAccessPolicy_v2` AWS Identity and Access Management (IAM) 관리형 정책은 Amazon EMR 및 기타 서비스에 필요한 모든 작업을 부여합니다.
**중요**
`AmazonElasticMapReduceFullAccess` 관리형 정책은 지원 중단될 예정이며 더 이상 Amazon EMR에서 사용하지 않는 것이 좋습니다. 대신 [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md)를 사용합니다. IAM 서비스에서 결국 v1 정책을 더 이상 사용하지 않게 되면 해당 정책을 역할에 연결할 수 없습니다. 하지만 기존 역할에서 지원 중단된 정책을 사용해도 클러스터에 해당 역할을 연결할 수 있습니다.
Amazon EMR 전체 권한 기본 관리형 정책에는 다음을 비롯한 `iam:PassRole` 보안 구성이 통합되어 있습니다.
+ 특정 기본 Amazon EMR 역할 전용 `iam:PassRole` 권한.
+ `iam:PassedToService` `elasticmapreduce.amazonaws.com` 및와 같이 지정된 AWS 서비스에서만 정책을 사용할 수 있는 조건입니다`ec2.amazonaws.com`.
IAM 콘솔에서 [AmazonEMRFullAccessPolicy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRFullAccessPolicy_v2) 및 [AmazonEMRServicePolicy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2) 정책의 JSON 버전을 확인할 수 있습니다. v2 관리형 정책을 사용하여 새 클러스터를 생성하는 것이 좋습니다.
의에서 더 이상 사용되지 않는 v1 정책의 내용을 볼 수 AWS Management Console 있습니다[https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonElasticMapReduceFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonElasticMapReduceFullAccess). 정책의 `ec2:TerminateInstances` 조치는 사용자 또는 역할에 IAM 계정과 연결된 Amazon EC2 인스턴스를 종료할 수 있는 권한을 부여합니다. 여기에는 EMR 클러스터에 속하지 않은 인스턴스도 포함됩니다.
# Amazon EMR에서 읽기 전용 액세스를 위한 IAM 관리형 정책(v2 관리형 기본 정책)
Amazon EMR에 읽기 전용 권한을 부여하려면 **AmazonEMRReadOnlyAccessPolicy\$1v2** 관리형 정책을 연결합니다. 이 기본 관리형 정책은 [`AmazonElasticMapReduceReadOnlyAccess`](emr-managed-policy-readonly.md) 관리형 정책을 대체합니다. 이 정책 명령문의 콘텐츠는 다음 코드 조각에 나와 있습니다. `AmazonElasticMapReduceReadOnlyAccess` 정책에 비해, `AmazonEMRReadOnlyAccessPolicy_v2` 정책은 `elasticmapreduce` 요소에 와일드카드 문자를 사용하지 않습니다. 대신 기본 v2 정책은 허용 가능한 `elasticmapreduce` 작업의 범위를 지정합니다.
**참고**
AWS Management Console 링크를 사용하여 정책을 [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRReadOnlyAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRReadOnlyAccessPolicy_v2) 볼 수도 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ElasticMapReduceActions",
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:DescribeJobFlows",
"elasticmapreduce:DescribeSecurityConfiguration",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:DescribeReleaseLabel",
"elasticmapreduce:GetBlockPublicAccessConfiguration",
"elasticmapreduce:GetManagedScalingPolicy",
"elasticmapreduce:GetAutoTerminationPolicy",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListEditors",
"elasticmapreduce:ListInstanceFleets",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListInstances",
"elasticmapreduce:ListSecurityConfigurations",
"elasticmapreduce:ListSteps",
"elasticmapreduce:ListSupportedInstanceTypes",
"elasticmapreduce:ViewEventsFromAllClustersInConsole"
],
"Resource": [
"*"
]
},
{
"Sid": "ViewMetricsInEMRConsole",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
]
}
]
}
```
------
# 읽기 전용 액세스를 위한 IAM 관리형 정책(지원 중단 예정)
`AmazonElasticMapReduceReadOnlyAccess` 관리형 정책은 지원 중단될 예정입니다. 새 클러스터를 시작할 때는 이 정책을 연결할 수 없습니다. `AmazonElasticMapReduceReadOnlyAccess`는 Amazon EMR 기본 관리형 정책으로 [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md)로 바뀝니다. 이 정책 명령문의 콘텐츠는 다음 코드 조각에 나와 있습니다. `elasticmapreduce` 요소에 대한 와일드카드 문자는 지정된 문자열로 시작되는 작업만 허용되도록 지정합니다. 이 정책은 작업을 명시적으로 거부하지 않기 때문에 다른 정책 설명을 사용하더라도 지정된 작업에 대한 액세스를 허용할 수 있습니다.
**참고**
AWS Management Console 를 사용하여 정책을 볼 수도 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:Describe*",
"elasticmapreduce:List*",
"elasticmapreduce:ViewEventsFromAllClustersInConsole",
"s3:GetObject",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"sdb:Select",
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
],
"Sid": "AllowELASTICMAPREDUCEDescribe"
}
]
}
```
------
# AWS 관리형 정책: EMRDescribeClusterPolicyForEMRWAL
`EMRDescribeClusterPolicyForEMRWAL`를 IAM 엔티티에 연결할 수 없습니다. 이 정책은 Amazon EMR에 사용자를 대신하여 작업을 수행할 수 있도록 하는 서비스 연결 역할에 연결됩니다. 이 서비스 연결 역할에 대한 자세한 내용은 [Amazon EMR에서 미리 쓰기 로깅을 위해 서비스 연결 역할 사용](using-service-linked-roles-wal.md) 섹션을 참조하세요.
이 정책은 Amazon EMR용 WAL 서비스가 클러스터의 상태를 찾고 반환하도록 허용하는 읽기 전용 권한을 부여합니다. Amazon EMR WAL에 대한 자세한 내용은 [Amazon EMR에 대한 미리 쓰기 로그(WAL)](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-hbase-wal.html)를 참조하세요.
** 권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `emr` - 위탁자가 Amazon EMR에서 클러스터 상태를 설명할 수 있습니다. 이는 Amazon EMR에서 클러스터가 종료된 시점을 확인한 다음 30일 후에 클러스터에서 남긴 WAL 로그를 정리하기 위해 필요합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster"
],
"Resource": [
"*"
],
"Sid": "AllowELASTICMAPREDUCEDescribecluster"
}
]
}
```
------
## AWS Amazon EMR에 대한 관리형 정책
AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 권한을 AWS 업데이트하는 AWS 경우 업데이트는 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 미칩니다. AWS AWS 서비스 는 새가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 될 때 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 *IAM 사용자 가이드*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.
# AWS 관리형 정책에 대한 Amazon EMR 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 Amazon EMR의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다.
| 변경 | 설명 | Date |
| --- | --- | --- |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) - 기존 정책에 대한 업데이트 | Amazon EMR 릴리스 7.5.0부터 최적의 경험을 위해 필요한 ec2:CreateVpcEndpoint, ec2:ModifyVpcEndpoint, ec2:CreateTags이(가) 추가되었습니다. | 2025년 3월 4일 |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) -기존 정책에 대한 업데이트 | elasticmapreduce:CreatePersistentAppUI, elasticmapreduce:DescribePersistentAppUI, 및 elasticmapreduce:GetPersistentAppUIPresignedURL이 추가되었습니다. | 2025년 2월 28일 |
| [`EMRDescribeClusterPolicyForEMRWAL`](EMRDescribeClusterPolicyForEMRWAL.md) - 새 정책 | Amazon EMR이 클러스터 종료 30일 후 WAL 정리를 위해 클러스터 상태를 확인할 수 있도록 새 정책을 추가했습니다. | 2023년 8월 10일 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) 및 [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) – 기존 정책에 대한 업데이트 | elasticmapreduce:DescribeReleaseLabel 및 elasticmapreduce:GetAutoTerminationPolicy가 추가되었습니다. | 2022년 4월 21일 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) - 기존 정책 업데이트 | ec2:DescribeImages에 대한 [사용자 지정 AMI를 사용하여 Amazon EMR 클러스터 구성에 더 많은 유연성 제공](emr-custom-ami.md)를 추가했습니다. | 2022년 2월 15일 |
| [**Amazon EMR 관리형 정책**](emr-managed-iam-policies.md) | 사전 정의된 사용자 태그의 사용을 명확히 기술하도록 업데이트했습니다. AWS 콘솔을 사용하여 v2 관리형 정책으로 clsuter를 시작하는 방법에 대한 단원이 추가되었습니다. | 2021년 9월 29일 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) - 기존 정책 업데이트 | StringLike 조건 연산자를 사용하여 각각 "iam:PassedToService":"application-autoscaling.amazonaws.com\$1" 및 "iam:PassedToService":"ec2.amazonaws.com\$1"과 일치하도록 PassRoleForAutoScaling 및 PassRoleForEC2 작업을 변경했습니다. | 2021년 5월 20일 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) - 기존 정책 업데이트 | 잘못된 `s3:ListBuckets` 작업을 제거하고 `s3:ListAllMyBuckets` 작업으로 바꾸었습니다. 명시적 서비스 원칙으로 Amazon EMR에 있는 유일한 서비스 연결 역할(SLR)로 범위를 명시적으로 축소하도록 SLR 생성 범위를 업데이트했습니다. 생성할 수 있는 SLR은 이번 변경 전과 정확히 동일합니다. | 2021년 3월 23일 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) - 새 정책 | Amazon EMR은 리소스에 대한 액세스 범위를 지정하는 새로운 권한을 추가하고, 사용자가 Amazon EMR 관리형 정책을 사용하기 전에 리소스에 사전 정의된 사용자 태그를 추가해야 한다는 필수 조건을 추가했습니다. `iam:PassRole` 작업을 수행하려면 `iam:PassedToService` 조건을 지정된 서비스로 설정해야 합니다. Amazon EC2, Amazon S3 및 기타 서비스에 대한 액세스는 기본적으로 허용되지 않습니다. | 2021년 3월 11일 |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) - 새 정책 | 사용자가 리소스에 사용자 태그를 추가해야 이 정책을 사용할 수 있다는 필수 조건을 추가합니다. | 2021년 3월 11일 |
| [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) - 새 정책 | 권한은 지정된 elasticmapreduce 읽기 전용 작업만 허용합니다. Amazon S3에 대한 액세스는 기본적으로 허용되지 않습니다. | 2021년 3월 11일 |
| Amazon EMR이 변경 내용 추적을 시작했습니다. | Amazon EMR이 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. | 2021년 3월 11일 |
# 클러스터 및 EMR Notebooks에 대한 태그 기반 액세스를 위한 IAM 정책
자격 증명 기반 정책에서 조건을 사용하여 태그를 기반으로 클러스터 및 EMR 리소스에 대한 액세스를 제어할 수 있습니다.
클러스터에 태그를 추가하는 방법에 대한 자세한 내용은 [EMR 클러스터에 태깅](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-tags.html) 섹션을 참조하세요.
다음 예제에서는 Amazon EMR 조건 키와 함께 조건 연산자를 사용할 수 있는 다양한 시나리오와 방법을 보여줍니다. 이러한 IAM 정책 명령문은 데모용일 뿐이며 프로덕션 환경에서 사용해서는 안 됩니다. 다양한 방법으로 정책 명령문을 결합하여 요구 사항에 따라 권한을 부여하거나 거부할 수 있습니다. IAM 정책 계획 및 테스트에 대한 자세한 내용은 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/)를 참조하세요.
**중요**
태깅 작업에 대한 권한을 명시적으로 거부하는 것은 중요한 고려 사항입니다. 이렇게 하면 사용자가 리소스에 태그를 지정하지 못하므로, 부여할 의도가 없는 권한이 부여되지 않도록 방지할 수 있습니다. 리소스에 대한 태그 지정 작업을 거부하지 않는 경우 사용자는 태그를 수정하여 태그 기반 정책의 의도를 우회할 수 있습니다.
## 클러스터에 대한 자격 증명 기반 정책 명령문 예제
아래의 예제에서는 Amazon EMR 가상 클러스터에서 허용되는 작업의 제어에 사용되는 자격 증명 기반 권한 정책을 보여줍니다.
**중요**
Amazon EMR에서 `ModifyInstanceGroup` 작업에서는 클러스터 ID를 지정할 필요가 없습니다. 따라서 클러스터 태그를 기반으로 이 작업을 거부하려면 추가 고려 사항이 필요합니다. 자세한 내용은 [Amazon EMR에서 ModifyInstanceGroup 작업 거부](emr-cluster-deny-modifyinstancegroup.md) 단원을 참조하십시오.
**Topics**
+ [특정 태그 값이 있는 클러스터에서만 작업 허용](#emr-cluster-access-example-tagvalue)
+ [클러스터 생성 시 클러스터 태그 지정 필요](#emr-cluster-access-example-require-tagging)
+ [태그 값과 상관없이 특정 태그가 있는 클러스터에서 작업 허용](#emr-cluster-access-example-tag)
### 특정 태그 값이 있는 클러스터에서만 작업 허용
다음 예제에서는 사용자가 `dev` 값이 있는 클러스터 태그 `department`를 기반으로 작업을 수행할 수 있도록 허용하고 사용자가 동일한 해당 태그를 사용하여 클러스터에 태그를 지정할 수 있도록 허용하는 정책을 보여줍니다. 마지막 정책 예제에서는 동일한 해당 태그가 아닌 경우 EMR 클러스터에 태그를 지정할 수 있는 권한을 거부하는 방법을 보여 줍니다.
다음 정책 예제에서 `StringEquals` 조건 연산자는 `dev`를 `department` 태그의 값과 일치시키려고 시도합니다. `department` 태그가 클러스터에 추가되지 않았거나 이 태그에 `dev` 값이 포함되지 않은 경우 정책이 적용되지 않으며 이 정책에 따라 작업이 허용되지 않습니다. 작업을 허용하는 다른 정책 명령문이 없는 경우 사용자는 이 값과 함께 이 태그가 있는 클러스터만 작업할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt12345678901234",
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListSteps",
"elasticmapreduce:TerminateJobFlows",
"elasticmapreduce:SetTerminationProtection",
"elasticmapreduce:ListInstances",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:DescribeStep"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/department": "dev"
}
}
}
]
}
```
------
또한 조건 연산자를 사용하여 여러 태그 값을 지정할 수 있습니다. 예를 들어, `department` 태그에 `dev` 또는 `test` 값이 포함된 클러스터에서 모든 작업을 허용하려면 이전 예제의 조건 블록을 다음으로 대체할 수 있습니다.
```
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/department":["dev", "test"]
}
}
```
### 클러스터 생성 시 클러스터 태그 지정 필요
이전 예제와 마찬가지로, 다음 정책 예제에서는 일치하는 동일한 태그, 즉 `dev` 태그의 `department` 값을 찾습니다. 하지만 이 예제에서 `RequestTag` 조건 키는 태그 생성 중에 정책이 적용되도록 지정합니다. 따라서 지정된 값과 일치하는 태그를 사용하여 클러스터를 생성해야 합니다.
태그가 있는 클러스터를 생성하려면 `elasticmapredue:AddTags` 작업에 대한 권한도 있어야 합니다. 이 명령문에서 `elasticmapreduce:ResourceTag` 조건 키를 통해 IAM에서 `department` 태그의 값이 `dev`인 리소스에만 태그를 지정하도록 액세스 권한을 부여합니다. `Resource` 요소는 이 권한을 클러스터 리소스로 제한하는 데 사용됩니다.
`PassRole` 리소스의 경우 AWS 계정 ID 또는 별칭, `PassRoleForEMR` 문의 서비스 역할 이름, `PassRoleForEC2` 문의 인스턴스 프로파일 이름을 제공해야 합니다. IAM ARN 형식에 대한 자세한 내용은 *IAM 사용 설명서*에서 [IAM ARN](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns)을 참조하세요.
태그 키 값 일치에 대한 자세한 내용은 *IAM 사용 설명서*에서 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag)를 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RunJobFlowExplicitlyWithTag",
"Effect": "Allow",
"Action": [
"elasticmapreduce:RunJobFlow"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/department": "dev"
}
}
},
{
"Sid": "AddTagsForDevClusters",
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddTags"
],
"Resource": [
"arn:aws:elasticmapreduce:*:*:cluster/*"
],
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/department": "dev"
}
}
},
{
"Sid": "PassRoleForEMR",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/Role-Name-With-Path"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "elasticmapreduce.amazonaws.com*"
}
}
},
{
"Sid": "PassRoleForEC2",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/Role-Name-With-Path"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "ec2.amazonaws.com*"
}
}
}
]
}
```
------
### 태그 값과 상관없이 특정 태그가 있는 클러스터에서 작업 허용
태그 값과 상관없이 특정 태그가 있는 클러스터에서만 작업을 허용할 수도 있습니다. 이렇게 하려면 `Null` 연산자를 사용할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*에서 [조건 키 존재 여부를 확인하는 조건 연산자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Conditions_Null)를 참조하세요. 예를 들어, 태그에 포함된 값과 상관없이 `department` 태그가 있는 EMR 클러스터에서만 작업을 허용하려면 이전 예제의 조건 블록을 다음으로 대체할 수 있습니다. `Null` 연산자는 EMR 클러스터에서 `department` 태그의 존재를 찾습니다. 태그가 존재하면 이 정책 설명에 지정된 조건에 따라 `Null` 문은 false로 평가되고 적절한 작업이 허용됩니다.
```
1. "Condition": {
2. "Null": {
3. "elasticmapreduce:ResourceTag/department":"false"
4. }
5. }
```
다음 정책 설명은 클러스터에 `department` 태그가 있는 경우에만 사용자가 EMR 클러스터를 생성할 수 있도록 허용합니다. 이 태그에는 어떤 값이든 포함될 수 있습니다. `PassRole` 리소스의 경우 AWS 계정 ID 또는 별칭과 서비스 역할 이름을 제공해야 합니다. IAM ARN 형식에 대한 자세한 내용은 *IAM 사용 설명서*에서 [IAM ARN](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns)을 참조하세요.
null(“false”) 조건 연산자를 지정하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*에서 [조건 키 존재 여부를 확인하는 조건 연산자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Null)를 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateClusterTagNullCondition",
"Effect": "Allow",
"Action": [
"elasticmapreduce:RunJobFlow"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"aws:RequestTag/department": "false"
}
}
},
{
"Sid": "AddTagsNullCondition",
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddTags"
],
"Resource": [
"arn:aws:elasticmapreduce:*:*:cluster/*"
],
"Condition": {
"Null": {
"elasticmapreduce:ResourceTag/department": "false"
}
}
},
{
"Sid": "PassRoleForElasticMapReduce",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/Role-Name-With-Path"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "elasticmapreduce.amazonaws.com*"
}
}
},
{
"Sid": "PassRoleForEC2",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/Role-Name-With-Path"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "ec2.amazonaws.com*"
}
}
}
]
}
```
------
## EMR Notebooks에 대한 자격 증명 기반 정책 명령문 예제
이 섹션의 IAM 정책 명령문 예제에서는 키를 사용하여 EMR Notebooks를 이용해 허용된 작업을 제한하는 일반적인 시나리오를 보여줍니다. 보안 주체(사용자)에 연결된 다른 정책이 작업을 허용하는 한 조건 컨텍스트 키는 지정된 대로 허용된 작업을 제한합니다.
**Example - 사용자가 태그 지정을 기반으로 생성한 EMR Notebooks에만 액세스 허용**
다음의 정책 명령문 예제는 역할이나 사용자에게 연결된 경우 사용자가 생성한 노트북에서만 작업하도록 허용합니다. 이 정책 설명에서는 노트북이 생성될 때 적용된 기본 태그를 사용합니다.
예제에서 `StringEquals` 조건 연산자가 현재 사용자의 사용자 ID(`{aws:userId}`)를 나타내는 변수를 `creatorUserID` 태그의 값과 일치시키려고 시도합니다. `creatorUserID` 태그가 노트북에 추가되지 않았거나 현재 사용자의 ID 값을 포함하지 않은 경우 정책이 적용되지 않으며 이 정책에서 작업을 허용하지 않습니다. 작업을 허용하는 다른 정책 설명이 없는 경우 사용자는 이 값과 함께 이 태그가 있는 노트북만 사용하여 작업할 수 있습니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:DeleteEditor",
"elasticmapreduce:OpenEditorInConsole"
],
"Effect": "Allow",
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
},
"Sid": "AllowELASTICMAPREDUCEDescribeeditor"
}
]
}
```
**Example - 노트북이 생성될 때 노트북 태그 지정 요구**
이 예제에서는 `RequestTag` 컨텍스트 키가 사용됩니다. 사용자가 기본적으로 추가되는 `creatorUserID` 태그를 변경하거나 삭제하지 않은 경우에만 `CreateEditor` 작업이 허용됩니다. \$1\$1aws:userId\$1 변수는 태그의 기본값인 현재 활성 사용자의 사용자 ID를 지정합니다.
사용자가 `createUserId` 태그를 제거하거나 그 값을 변경하지 않도록 정책 설명을 사용할 수 있습니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"elasticmapreduce:CreateEditor"
],
"Effect": "Allow",
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"elasticmapreduce:RequestTag/creatorUserId": "${aws:userid}"
}
},
"Sid": "AllowELASTICMAPREDUCECreateeditor"
}
]
}
```
이 예제에서는 사용자가 키 문자열 `dept` 및 `datascience`, `analytics`, `operations` 중 하나로 설정된 값을 가진 태그를 사용하여 클러스터를 생성하도록 요구합니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"elasticmapreduce:CreateEditor"
],
"Effect": "Allow",
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"elasticmapreduce:RequestTag/dept": [
"datascience",
"analytics",
"operations"
]
}
},
"Sid": "AllowELASTICMAPREDUCECreateeditor"
}
]
}
```
**Example - 태그가 지정된 클러스터로 노트북 생성을 제한하고 노트북 태그 요구**
이 예제에서는 키 문자열 `owner`가 지정된 값 중 하나로 설정된 태그를 사용하여 노트북이 생성될 경우에만 노트북 생성을 허용합니다. 또한 키 문자열 `department`가 지정된 값 중 하나로 설정된 태그가 클러스터에 있을 경우에만 노트북을 생성할 수 있습니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"elasticmapreduce:CreateEditor"
],
"Effect": "Allow",
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"elasticmapreduce:RequestTag/owner": [
"owner1",
"owner2",
"owner3"
],
"elasticmapreduce:ResourceTag/department": [
"dep1",
"dep3"
]
}
},
"Sid": "AllowELASTICMAPREDUCECreateeditor"
}
]
}
```
**Example - 태그를 기반으로 노트북을 시작할 수 있는 기능 제한**
이 예제는 키 문자열 `owner`가 지정된 값 중 하나로 설정된 태그가 있는 노트북만 시작할 수 있도록 제한합니다. `editor`만 지정하는 데 `Resource` 요소가 사용되므로 조건이 클러스터에 적용되지 않으며 조건에 태그를 지정할 필요가 없습니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"elasticmapreduce:StartEditor"
],
"Effect": "Allow",
"Resource": [
"arn:aws:elasticmapreduce:*:123456789012:editor/*"
],
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/owner": [
"owner1",
"owner2"
]
}
},
"Sid": "AllowELASTICMAPREDUCEStarteditor"
}
]
}
```
이 예제는 위의 예제와 비슷하지만 태그가 지정된 클러스터에만 제한이 적용되며 노트북에는 적용되지 않습니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"elasticmapreduce:StartEditor"
],
"Effect": "Allow",
"Resource": [
"arn:aws:elasticmapreduce:*:123456789012:cluster/*"
],
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/department": [
"dep1",
"dep3"
]
}
},
"Sid": "AllowELASTICMAPREDUCEStarteditor"
}
]
}
```
이 예제는 다른 노트북 및 클러스터 태그 세트를 사용하며, 다음 경우에만 노트북을 시작하도록 허용합니다.
+ 노트북에 키 문자열 `owner`가 지정된 값으로 설정된 태그가 있습니다.
및
+ 클러스터에 키 문자열 `department`가 지정된 값으로 설정된 태그가 있습니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"elasticmapreduce:StartEditor"
],
"Effect": "Allow",
"Resource": [
"arn:aws:elasticmapreduce:*:123456789012:editor/*"
],
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/owner": [
"user1",
"user2"
]
}
},
"Sid": "AllowELASTICMAPREDUCEStarteditorByOwner"
},
{
"Action": [
"elasticmapreduce:StartEditor"
],
"Effect": "Allow",
"Resource": [
"arn:aws:elasticmapreduce:*:123456789012:cluster/*"
],
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/department": [
"datascience",
"analytics"
]
}
},
"Sid": "AllowELASTICMAPREDUCEStarteditorByDepartment"
}
]
}
```
**Example - 태그를 기반으로 노트북 편집기를 열 수 있는 기능 제한**
이 예제에서는 다음 경우에만 노트북 편집기가 열리도록 허용합니다.
+ 노트북에 키 문자열 `owner`가 지정된 값으로 설정된 태그가 있습니다.
및
+ 클러스터에 키 문자열 `department`가 지정된 값으로 설정된 태그가 있습니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"elasticmapreduce:OpenEditorInConsole"
],
"Effect": "Allow",
"Resource": [
"arn:aws:elasticmapreduce:*:123456789012:editor/*"
],
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/owner": [
"user1",
"user2"
]
}
},
"Sid": "AllowELASTICMAPREDUCEOpeneditorconsoleByOwner"
},
{
"Action": [
"elasticmapreduce:OpenEditorInConsole"
],
"Effect": "Allow",
"Resource": [
"arn:aws:elasticmapreduce:*:123456789012:cluster/*"
],
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/department": [
"datascience",
"analytics"
]
}
},
"Sid": "AllowELASTICMAPREDUCEOpeneditorconsoleByDepartment"
}
]
}
```
# Amazon EMR에서 ModifyInstanceGroup 작업 거부
Amazon EMR의 [ModifyInstanceGroups](https://docs.aws.amazon.com/emr/latest/APIReference/API_ModifyInstanceGroups.html) 작업에서는 작업과 함께 클러스터 ID를 제공하지 않아도 됩니다. 대신 인스턴스 그룹 ID만 지정할 수 있습니다. 이러한 이유로 클러스터 ID 또는 클러스터 태그를 기반으로 하는 이 작업에 대한 너무 단순한 거부 정책으로는 의도한 효과가 적용되지 않을 수 있습니다. 다음 예시 정책을 고려하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"elasticmapreduce:ModifyInstanceGroups"
],
"Effect": "Allow",
"Resource": [
"*"
],
"Sid": "AllowELASTICMAPREDUCEModifyinstancegroups"
},
{
"Action": [
"elasticmapreduce:ModifyInstanceGroups"
],
"Effect": "Deny",
"Resource": [
"arn:aws:elasticmapreduce:us-east-1:123456789012:cluster/j-12345ABCDEFG67"
],
"Sid": "DenyELASTICMAPREDUCEModifyinstancegroups"
}
]
}
```
------
이 정책이 연결된 사용자가 `ModifyInstanceGroup` 작업을 수행하고 인스턴스 그룹 ID만 지정하면 정책이 적용되지 않습니다. 다른 모든 리소스에서 작업이 허용되므로 작업에 성공합니다.
이 문제를 해결하는 방법은 [NotResource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notresource.html) 요소를 사용하여 클러스터 ID 없이 실행된 모든 `ModifyInstanceGroup` 작업을 거부하는 정책 명령문을 자격 증명에 연결하는 것입니다. 다음 예제 정책은 이러한 거부 명령문을 추가하여 클러스터 ID를 지정하지 않는 한 모든 `ModifyInstanceGroups` 요청이 실패하도록 합니다. 자격 증명은 작업과 함께 클러스터 ID를 지정해야 하므로 클러스터 ID를 기반으로 하는 거부 명령문이 유효합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"elasticmapreduce:ModifyInstanceGroups"
],
"Effect": "Allow",
"Resource": [
"*"
],
"Sid": "AllowELASTICMAPREDUCEModifyinstancegroups"
},
{
"Action": [
"elasticmapreduce:ModifyInstanceGroups"
],
"Effect": "Deny",
"Resource": [
"arn:aws:elasticmapreduce:us-east-1:123456789012:cluster/j-12345ABCDEFG67"
],
"Sid": "DenyELASTICMAPREDUCEModifyinstancegroupsSpecificCluster"
},
{
"Action": [
"elasticmapreduce:ModifyInstanceGroups"
],
"Effect": "Deny",
"NotResource": "arn:*:elasticmapreduce:*:*:cluster/*",
"Sid": "DenyELASTICMAPREDUCEModifyinstancegroupsNonCluster"
}
]
}
```
------
클러스터 태그와 관련된 값을 기반으로 `ModifyInstanceGroups` 작업을 거부하려는 경우에도 비슷한 문제가 존재합니다. 해결 방법도 비슷합니다. 태그 값을 지정하는 거부 명령문 외에도 지정한 태그가 없는 경우 값에 관계없이 `ModifyInstanceGroup` 작업을 거부하는 정책 명령문을 추가할 수 있습니다.
다음 예제는 자격 증명에 연결된 경우 `department` 태그가 `dev`로 설정된 모든 클러스터에서 자격 증명의 `ModifyInstanceGroups` 작업을 거부하는 정책을 보여줍니다. `StringNotLike` 조건을 사용하여 `department` 태그가 없는 한 작업을 거부하는 거부 명령문 때문에 이 명령문만 유효합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"elasticmapreduce:ModifyInstanceGroups"
],
"Effect": "Allow",
"Resource": [
"*"
],
"Sid": "AllowELASTICMAPREDUCEModifyinstancegroups"
},
{
"Action": [
"elasticmapreduce:ModifyInstanceGroups"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/department": "dev"
}
},
"Effect": "Deny",
"Resource": [
"*"
],
"Sid": "DenyELASTICMAPREDUCEModifyinstancegroupsDevDepartment"
},
{
"Action": [
"elasticmapreduce:ModifyInstanceGroups"
],
"Condition": {
"StringNotLike": {
"aws:ResourceTag/department": "?*"
}
},
"Effect": "Deny",
"Resource": [
"*"
],
"Sid": "DenyELASTICMAPREDUCEModifyinstancegroupsNoDepartmentTag"
}
]
}
```
------
# Amazon EMR 자격 증명 및 액세스 문제 해결
다음 정보를 사용하여 Amazon EMR 및 IAM으로 작업할 때 발생할 수 있는 일반적인 문제를 진단하고 수정할 수 있습니다.
**Topics**
+ [Amazon EMR에서 작업을 수행할 권한이 없음](#security_iam_troubleshoot-no-permissions)
+ [iam:PassRole을 수행하도록 인증되지 않음](#security_iam_troubleshoot-passrole)
+ [내 AWS 계정 외부의 사람이 내 Amazon EMR 리소스에 액세스하도록 허용하고 싶습니다.](#security_iam_troubleshoot-cross-account-access)
## Amazon EMR에서 작업을 수행할 권한이 없음
에서 작업을 수행할 권한이 없다는 AWS Management Console 메시지가 표시되면 관리자에게 문의하여 도움을 받아야 합니다. 관리자는 사용자 이름과 암호를 제공한 사람입니다.
다음 예제 오류는 `mateojackson` 사용자가 콘솔을 사용하여 가상 `my-example-widget` 리소스에 대한 세부 정보를 보려고 하지만 가상 `EMR:GetWidget` 권한이 없을 때 발생합니다.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: EMR:GetWidget on resource: my-example-widget
```
이 경우 Mateo는 `my-example-widget` 작업을 사용하여 `EMR:GetWidget` 리소스에 액세스하도록 허용하는 정책을 업데이트하라고 관리자에게 요청합니다.
## iam:PassRole을 수행하도록 인증되지 않음
`iam:PassRole` 작업을 수행할 수 있는 권한이 없다는 오류가 수신되면 Amazon EMR에 역할을 전달할 수 있도록 정책을 업데이트해야 합니다.
일부 AWS 서비스 에서는 새 서비스 역할 또는 서비스 연결 역할을 생성하는 대신 기존 역할을 해당 서비스에 전달할 수 있습니다. 이렇게 하려면 역할을 서비스에 전달할 권한이 있어야 합니다.
다음 예제 오류는 `marymajor`라는 IAM 사용자가 콘솔을 사용하여 Amazon EMR에서 작업을 수행하려고 하는 경우에 발생합니다. 하지만 작업을 수행하려면 서비스 역할이 부여한 권한이 서비스에 있어야 합니다. Mary는 서비스에 역할을 전달할 권한이 없습니다.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
이 경우, Mary가 `iam:PassRole`작업을 수행할 수 있도록 Mary의 정책을 업데이트해야 합니다.
도움이 필요한 경우 AWS 관리자에게 문의하세요. 관리자는 로그인 자격 증명을 제공한 사람입니다.
## 내 AWS 계정 외부의 사람이 내 Amazon EMR 리소스에 액세스하도록 허용하고 싶습니다.
다른 계정의 사용자 또는 조직 외부의 사람이 리소스에 액세스할 때 사용할 수 있는 역할을 생성할 수 있습니다. 역할을 수임할 신뢰할 수 있는 사람을 지정할 수 있습니다. 리소스 기반 정책 또는 액세스 제어 목록(ACL)을 지원하는 서비스의 경우, 이러한 정책을 사용하여 다른 사람에게 리소스에 대한 액세스 권한을 부여할 수 있습니다.
자세한 내용은 다음을 참조하세요.
+ Amazon EMR에서 이러한 기능을 지원하는지 여부를 알아보려면 [Amazon EMR과 IAM의 작동 방식](security_iam_service-with-iam.md) 섹션을 참조하세요.
+ 소유 AWS 계정 한의 리소스에 대한 액세스 권한을 제공하는 방법을 알아보려면 [IAM 사용 설명서의 소유한 다른의 IAM 사용자에게 액세스 권한 제공을 참조 AWS 계정 하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html). **
+ 타사에 리소스에 대한 액세스 권한을 제공하는 방법을 알아보려면 *IAM 사용 설명서*의 [타사가 AWS 계정 소유한에 대한 액세스 권한 제공을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) AWS 계정참조하세요.
+ ID 페더레이션을 통해 액세스 권한을 제공하는 방법을 알아보려면 *IAM 사용 설명서*의 [외부에서 인증된 사용자에게 액세스 권한 제공(ID 페더레이션)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)을 참조하세요.
+ 크로스 계정 액세스에 대한 역할과 리소스 기반 정책 사용의 차이점을 알아보려면 *IAM 사용 설명서*의 [IAM의 크로스 계정 리소스 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)를 참조하세요.