As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Políticas gerenciadas do Amazon EMR
A maneira mais fácil de conceder acesso total ou acesso somente leitura a ações do Amazon EMR é usar as políticas gerenciadas do IAM para o Amazon EMR. Políticas gerenciadas oferecem o benefício de serem atualizadas automaticamente se os requisitos de permissões forem alterados. Se você usar políticas em linha, podem ocorrer alterações de serviço que provoquem erros de permissão.
O Amazon EMR substituirá as políticas gerenciadas já existentes (políticas v1) em favor de novas políticas gerenciadas (políticas v2). As novas políticas gerenciadas foram reduzidas para se alinharem às melhores práticas. AWS Depois que as políticas gerenciadas v1 existentes forem defasadas, não será possível anexar essas políticas a nenhum novo perfil ou usuário do IAM. Os perfis e os usuários existentes que usam políticas defasadas podem continuar a usá-las. As políticas gerenciadas v2 restringem o acesso usando etiquetas. Elas permitem somente ações específicas do Amazon EMR e exigem recursos de cluster marcados com uma chave específica do EMR. É recomendável analisar cuidadosamente a documentação antes de usar as novas políticas v2.
As políticas v1 serão marcadas como defasadas com um ícone de aviso próximo a elas na lista **Políticas** no console do IAM. As políticas defasadas terão as seguintes características:
+ Continuarão funcionando para todos os usuários, grupos e perfis atualmente conectados. Nada é rompido.
+ Não é possível anexar a novos usuários, grupos ou perfis. Se você desvincular uma das políticas de uma entidade atual, não poderá anexá-la novamente.
+ Após separar uma política v1 de todas as entidades atuais, a política não estará mais visível e não poderá mais ser usada.
A tabela a seguir resume as alterações entre as políticas atuais (v1) e v2.
**Alterações de políticas gerenciadas pelo Amazon EMR**
| Tipo de política | Nomes de política | Finalidade da política | Alterações na política v2 |
| --- | --- | --- | --- |
| Perfil de serviço do EMR padrão e política gerenciada anexada | Nome da função: **EMR\$1 DefaultRole** Política V1 (a ser descontinuada): (função de serviço do **AmazonElasticMapReduceRole**EMR) Nome da política v2 (com escopo reduzido): [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) | Permite que o Amazon EMR chame outros AWS serviços em seu nome ao provisionar recursos e realizar ações em nível de serviço. Essa função é necessária para todos os clusters. | A política adiciona a nova permissão `"ec2:DescribeInstanceTypeOfferings"`. Essa operação de API retorna uma lista de tipos de instância compatíveis com uma lista de determinadas zonas de disponibilidade. |
| Política gerenciada pelo IAM para acesso total ao Amazon EMR por usuário, perfil ou grupo vinculado | Nome da política v2 (no escopo): [`AmazonEMRServicePolicy_v2`](emr-managed-policy-fullaccess-v2.md) | Concede aos usuários permissões completas para ações do EMR. Inclui iam: PassRole permissões para recursos. | A política adiciona o pré-requisito de que os usuários devem adicionar etiquetas de usuário aos recursos para poderem usar essa política. Consulte [Etiquetar recursos para usar políticas gerenciadas](#manually-tagged-resources). iam: a PassRole ação requer iam: PassedToService condição definida para o serviço especificado. O acesso ao Amazon EC2, ao Amazon S3 e a outros serviços não é permitido por padrão. Consulte [IAM Managed Policy for Full Access (v2 Managed Default Policy)](emr-managed-policy-fullaccess-v2.md). |
| Política gerenciada do IAM para acesso somente leitura ao EMR por usuário, perfil ou grupo vinculado | Política v1 (a ser defasada): [`AmazonElasticMapReduceReadOnlyAccess`](emr-managed-policy-readonly.md) Nome da política v2 (no escopo): [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) | Concede aos usuários permissões somente leitura para ações do Amazon EMR. | As permissões concedem somente ações específicas de leitura do elasticmapreduce. O acesso ao Amazon S3 é um acesso não concedido por padrão. Consulte [IAM Managed Policy for Read-Only Access (v2 Managed Default Policy)](emr-managed-policy-readonly-v2.md). |
| Perfil de serviço do EMR padrão e política gerenciada anexada | Nome da função: **EMR\$1 DefaultRole** Política V1 (a ser descontinuada): (função de serviço do **AmazonElasticMapReduceRole**EMR) Nome da política v2 (com escopo reduzido): [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) | Permite que o Amazon EMR chame outros AWS serviços em seu nome ao provisionar recursos e realizar ações em nível de serviço. Essa função é necessária para todos os clusters. | O perfil de serviço v2 e a política padrão v2 substituem o perfil e a política defasados. A política adiciona o pré-requisito de que os usuários devem adicionar etiquetas de usuário aos recursos para poderem usar essa política. Consulte [Etiquetar recursos para usar políticas gerenciadas](#manually-tagged-resources). Consulte [Perfil de serviço para Amazon EMR (perfil do EMR)](emr-iam-role.md). |
| Perfil de serviço para instâncias do EC2 do cluster (perfil de instância do EC2) | Nome da função: **EMR\$1 \$1 EC2 DefaultRole** **Nome da política obsoleta: Role AmazonElasticMapReducefor EC2** | Permite que aplicações executadas em um cluster do EMR acessem outros recursos da AWS , como o Amazon S3. Por exemplo, se você executar trabalhos do Apache Spark que processam dados do Amazon S3, a política precisará permitir o acesso a esses recursos. | Tanto o perfil padrão como a política padrão estão prestes a serem defasados. Não há nenhuma função ou política gerenciada AWS padrão de substituição. É necessário fornecer uma política baseada em recursos ou em identidade. Isso significa que, por padrão, as aplicações executados em um cluster do EMR não têm acesso ao Amazon S3 ou a outros recursos, a menos que você os adicione à política manualmente. Consulte [Perfil padrão e política gerenciada](emr-iam-role-for-ec2.md#emr-ec2-role-default). |
| Outras políticas de perfil de serviço do EC2 | Nomes atuais da política: **AmazonElasticMapReduceforAutoScalingRole, AmazonElasticMapReduceEditorsRole, Amazon EMRCleanup Policy** | Fornece as permissões que o Amazon EMR precisa para acessar outros recursos da AWS e realizar ações se estiver usando ajuste de escala automático, cadernos ou para limpar recursos do EC2. | Nenhuma alteração na v2. |
## Objetivo de proteção: PassRole
As políticas gerenciadas padrão de permissões completas do Amazon EMR incorporam configurações de segurança `iam:PassRole`, incluindo estas:
+ Permissões `iam:PassRole` somente para perfis padrão específicos do Amazon EMR.
+ `iam:PassedToService`condições que permitem que você use a política somente com AWS serviços específicos, como `elasticmapreduce.amazonaws.com` `ec2.amazonaws.com` e.
Você pode visualizar a versão JSON das políticas Amazon \$1v2 [EMRFullAccessPolicye [Amazon EMRService Policy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2)](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRFullAccessPolicy_v2) no console do IAM. É recomendável criar novos clusters com políticas gerenciadas v2.
Para criar políticas personalizadas, recomendamos que você comece com as políticas gerenciadas e edite-as de acordo com seus requisitos.
Para obter informações sobre como anexar políticas aos usuários (entidades principais), consulte Console de gerenciamento da AWS[Working with managed policies using the ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html#policies_using-managed-console) no *Guia do usuário do IAM*.
## Etiquetar recursos para usar políticas gerenciadas
**O Amazon EMRService Policy\$1v2** e o **EMRFullAccessPolicyAmazon** \$1v2 dependem do acesso limitado aos recursos que o Amazon EMR provisiona ou usa. Obtém-se o escopo reduzido restringindo o acesso somente aos recursos que têm uma etiqueta de usuário predefinida associada a eles. Ao usar qualquer uma dessas duas políticas, é necessário passar a etiqueta de usuário predefinida `for-use-with-amazon-emr-managed-policies = true` ao provisionar o cluster. O Amazon EMR propagará essa etiqueta automaticamente. Além disso, é necessário adicionar uma etiqueta de usuário aos recursos listados na seção a seguir. Se você usa o console do Amazon EMR para iniciar seu cluster, consulte [Considerações sobre o uso do console do Amazon EMR para iniciar clusters com políticas gerenciadas v2](#emr-cluster-v2policy-awsconsole-launch).
Para usar políticas gerenciadas, passe a etiqueta de usuário `for-use-with-amazon-emr-managed-policies = true` ao provisionar um cluster com a CLI, o SDK ou outro método.
Quando você passa a etiqueta, o Amazon EMR propaga a etiqueta para a sub-rede privada ENI, a instância do EC2 e os volumes do EBS que ele cria. O Amazon EMR também etiqueta automaticamente os grupos de segurança que ele cria. No entanto, para que o Amazon EMR seja iniciado com determinado grupo de segurança, você deve etiquetá-lo. Para recursos que não são criados pelo Amazon EMR, é necessário adicionar etiquetas a esses recursos. Por exemplo, você deve marcar sub-redes do Amazon EC2, grupos de segurança do EC2 (se não forem criados pelo Amazon EMR) e (se VPCs quiser que o Amazon EMR crie grupos de segurança). Para iniciar clusters com políticas gerenciadas v2 VPCs, você deve marcá-los VPCs com a tag de usuário predefinida. Consulte [Considerações sobre o uso do console do Amazon EMR para iniciar clusters com políticas gerenciadas v2](#emr-cluster-v2policy-awsconsole-launch).
**Marcação propagada especificada pelo usuário**
O Amazon EMR marca os recursos que ele cria usando as etiquetas do Amazon EMR especificadas ao criar um cluster. O Amazon EMR aplica etiquetas aos recursos que cria durante a vida útil do cluster.
O Amazon EMR propaga etiquetas de usuário para os seguintes recursos:
+ ENI da sub-rede privada (interfaces de rede elástica de acesso ao serviço)
+ Instâncias do EC2
+ Volumes do EBS
+ Modelos de inicialização do EC2
**Grupos de segurança etiquetados automaticamente**
O Amazon EMR marca os grupos de segurança do EC2 que ele cria com a etiqueta necessária para políticas gerenciadas v2 para o Amazon EMR, `for-use-with-amazon-emr-managed-policies`, independentemente das etiquetas que você especificar no comando para criar o cluster. Em um grupo de segurança criado antes da introdução das políticas gerenciadas v2, o Amazon EMR não etiqueta o grupo de segurança automaticamente. Para usar políticas gerenciadas v2 com os grupos de segurança padrão que já existem na conta, você precisa etiquetar os grupos de segurança manualmente com `for-use-with-amazon-emr-managed-policies = true`.
**Recursos de cluster etiquetados manualmente**
É necessário etiquetar alguns recursos do cluster manualmente para que eles possam ser acessados pelos perfis padrão do Amazon EMR.
+ Você deve marcar manualmente os grupos de segurança do EC2 e as sub-redes do EC2 com a etiqueta de política gerenciada do Amazon EMR `for-use-with-amazon-emr-managed-policies`.
+ Você deve etiquetar manualmente uma VPC, se quiser que o Amazon EMR crie grupos de segurança padrão. O EMR tentará criar um grupo de segurança com a etiqueta específica se o grupo de segurança padrão ainda não existir.
O Amazon EMR marca automaticamente os seguintes recursos:
+ Grupos de segurança do EC2 criados pelo EMR
Você deve etiquetar manualmente os seguintes recursos:
+ Sub-rede EC2
+ Grupos de segurança do EC2
Opcionalmente, você pode etiquetar manualmente os seguintes recursos:
+ VPC: somente quando quiser que o Amazon EMR crie grupos de segurança
## Considerações sobre o uso do console do Amazon EMR para iniciar clusters com políticas gerenciadas v2
É possível provisionar clusters com políticas gerenciadas v2 usando o console do Amazon EMR. Veja aqui algumas considerações ao usar o console para iniciar clusters do Amazon EMR.
+ Não é necessário passar a etiqueta predefinida. O Amazon EMR adiciona a etiqueta automaticamente e a propaga para os componentes adequados.
+ Para componentes que precisam ser etiquetados manualmente, o antigo console do Amazon EMR tenta etiquetá-los automaticamente se você tiver as permissões necessárias para etiquetar recursos. Se você não tiver as permissões para marcar recursos ou se quiser usar o console, peça para o administrador marcar esses recursos.
+ Não é possível iniciar clusters com políticas gerenciadas v2 sem que todos os pré-requisitos sejam atendidos.
+ O console antigo do Amazon EMR mostra quais recursos (VPC/sub-redes) precisam ser etiquetados.
# Política gerenciada do IAM para acesso total (política gerenciada v2 padrão) do Amazon EMR
As políticas gerenciadas padrão do EMR com escopo para v2 concedem privilégios de acesso específicos aos usuários. Eles exigem uma etiqueta de recurso predefinida do Amazon EMR e chaves de condição `iam:PassRole` para os recursos usados pelo Amazon EMR, como a `Subnet` e o `SecurityGroup` que você usa para iniciar o cluster.
Para conceder as ações necessárias para o Amazon EMR, anexe a política gerenciada `AmazonEMRFullAccessPolicy_v2`. Essa política gerenciada padrão atualizada substitui a política gerenciada [`AmazonElasticMapReduceFullAccess`](emr-managed-policy-fullaccess.md).
`AmazonEMRFullAccessPolicy_v2` depende do acesso de escopo limitado aos recursos que o Amazon EMR provisiona ou usa. Ao usar essa política, é necessário passar a etiqueta de usuário `for-use-with-amazon-emr-managed-policies = true` ao provisionar o cluster. O Amazon EMR propagará a etiqueta automaticamente. Além disso, talvez seja necessário adicionar manualmente uma etiqueta de usuário a tipos específicos de recursos, como grupos de segurança do EC2 que não foram criados pelo Amazon EMR. Para obter mais informações, consulte [Etiquetar recursos para usar políticas gerenciadas](emr-managed-iam-policies.md#manually-tagged-resources).
A política [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2) protege os recursos fazendo o seguinte:
+ Requer que os recursos sejam marcados com a etiqueta predefinida de políticas gerenciadas do Amazon EMR `for-use-with-amazon-emr-managed-policies` para criação de clusters e acesso ao Amazon EMR.
+ Restringe a ação `iam:PassRole` a perfis padrão específicos e acesso `iam:PassedToService` a serviços específicos.
+ Não permite mais acesso ao Amazon EC2, ao Amazon S3 e a outros serviços por padrão.
Veja a seguir o conteúdo dessa política.
**nota**
Você também pode usar o link do console [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2) para visualizar a política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RunJobFlowExplicitlyWithEMRManagedTag",
"Effect": "Allow",
"Action": [
"elasticmapreduce:RunJobFlow"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "ElasticMapReduceActions",
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddInstanceFleet",
"elasticmapreduce:AddInstanceGroups",
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:AddTags",
"elasticmapreduce:CancelSteps",
"elasticmapreduce:CreateEditor",
"elasticmapreduce:CreatePersistentAppUI",
"elasticmapreduce:CreateSecurityConfiguration",
"elasticmapreduce:DeleteEditor",
"elasticmapreduce:DeleteSecurityConfiguration",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:DescribeJobFlows",
"elasticmapreduce:DescribePersistentAppUI",
"elasticmapreduce:DescribeSecurityConfiguration",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:DescribeReleaseLabel",
"elasticmapreduce:GetBlockPublicAccessConfiguration",
"elasticmapreduce:GetManagedScalingPolicy",
"elasticmapreduce:GetPersistentAppUIPresignedURL",
"elasticmapreduce:GetAutoTerminationPolicy",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListEditors",
"elasticmapreduce:ListInstanceFleets",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListInstances",
"elasticmapreduce:ListSecurityConfigurations",
"elasticmapreduce:ListSteps",
"elasticmapreduce:ListSupportedInstanceTypes",
"elasticmapreduce:ModifyCluster",
"elasticmapreduce:ModifyInstanceFleet",
"elasticmapreduce:ModifyInstanceGroups",
"elasticmapreduce:OpenEditorInConsole",
"elasticmapreduce:PutAutoScalingPolicy",
"elasticmapreduce:PutBlockPublicAccessConfiguration",
"elasticmapreduce:PutManagedScalingPolicy",
"elasticmapreduce:RemoveAutoScalingPolicy",
"elasticmapreduce:RemoveManagedScalingPolicy",
"elasticmapreduce:RemoveTags",
"elasticmapreduce:SetTerminationProtection",
"elasticmapreduce:StartEditor",
"elasticmapreduce:StopEditor",
"elasticmapreduce:TerminateJobFlows",
"elasticmapreduce:ViewEventsFromAllClustersInConsole"
],
"Resource": [
"*"
]
},
{
"Sid": "ViewMetricsInEMRConsole",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
]
},
{
"Sid": "PassRoleForElasticMapReduce",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_DefaultRole",
"arn:aws:iam::*:role/EMR_DefaultRole_V2"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "elasticmapreduce.amazonaws.com*"
}
}
},
{
"Sid": "PassRoleForEC2",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_EC2_DefaultRole"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "ec2.amazonaws.com*"
}
}
},
{
"Sid": "PassRoleForAutoScaling",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/EMR_AutoScaling_DefaultRole"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "application-autoscaling.amazonaws.com*"
}
}
},
{
"Sid": "ElasticMapReduceServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/elasticmapreduce.amazonaws.com*/AWSServiceRoleForEMRCleanup*"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"elasticmapreduce.amazonaws.com",
"elasticmapreduce.amazonaws.com.rproxy.govskope.us.cn"
]
}
}
},
{
"Sid": "ConsoleUIActions",
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeKeyPairs",
"ec2:DescribeNatGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"s3:ListAllMyBuckets",
"iam:ListRoles"
],
"Resource": [
"*"
]
}
]
}
```
------
# Política gerenciada do IAM para acesso total (prestes a ser defasada)
As políticas gerenciadas `AmazonElasticMapReduceFullAccess` e `AmazonEMRFullAccessPolicy_v2` AWS Identity and Access Management (IAM) concedem todas as ações necessárias para o Amazon EMR e outros serviços.
**Importante**
A política gerenciada `AmazonElasticMapReduceFullAccess` está prestes a ser defasada e seu uso com o Amazon EMR não é mais recomendado. Em seu lugar, use [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md). Quando o serviço do IAM eventualmente defasar a política v1, você não poderá vinculá-la a um perfil. No entanto, você pode anexar um perfil já existente a um cluster mesmo que esse perfil use a política defasada.
As políticas gerenciadas padrão de permissões completas do Amazon EMR incorporam configurações de segurança `iam:PassRole`, incluindo estas:
+ Permissões `iam:PassRole` somente para perfis padrão específicos do Amazon EMR.
+ `iam:PassedToService`condições que permitem que você use a política somente com AWS serviços específicos, como `elasticmapreduce.amazonaws.com` `ec2.amazonaws.com` e.
Você pode visualizar a versão JSON das políticas Amazon \$1v2 [EMRFullAccessPolicye [Amazon EMRService Policy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2)](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRFullAccessPolicy_v2) no console do IAM. É recomendável criar novos clusters com políticas gerenciadas v2.
Você pode ver o conteúdo da política v1 obsoleta no endereço. Console de gerenciamento da AWS [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonElasticMapReduceFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonElasticMapReduceFullAccess) A ação `ec2:TerminateInstances` na política concede permissão a um usuário ou perfil para terminar qualquer uma das instâncias do Amazon EC2 associadas à conta do IAM. Inclui instâncias que não fazem parte de um cluster do EMR.
# Política gerenciada do IAM para acesso somente leitura (política gerenciada v2 padrão) do Amazon EMR
**Para conceder privilégios somente de leitura ao Amazon EMR, anexe a política gerenciada Amazon \$1v2. EMRRead OnlyAccessPolicy** Essa política gerenciada padrão substitui a política gerenciada [`AmazonElasticMapReduceReadOnlyAccess`](emr-managed-policy-readonly.md). O conteúdo dessa instrução de política é mostrado no trecho a seguir. Em comparação com a política `AmazonElasticMapReduceReadOnlyAccess`, a política `AmazonEMRReadOnlyAccessPolicy_v2` não usa caracteres curinga para o elemento `elasticmapreduce`. Em vez disso, a política v2 padrão define o escopo das ações `elasticmapreduce` que podem ser permitidas.
**nota**
Você também pode usar o Console de gerenciamento da AWS link [https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRReadOnlyAccessPolicy_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRReadOnlyAccessPolicy_v2)para ver a política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ElasticMapReduceActions",
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:DescribeJobFlows",
"elasticmapreduce:DescribeSecurityConfiguration",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:DescribeReleaseLabel",
"elasticmapreduce:GetBlockPublicAccessConfiguration",
"elasticmapreduce:GetManagedScalingPolicy",
"elasticmapreduce:GetAutoTerminationPolicy",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListEditors",
"elasticmapreduce:ListInstanceFleets",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:ListInstances",
"elasticmapreduce:ListSecurityConfigurations",
"elasticmapreduce:ListSteps",
"elasticmapreduce:ListSupportedInstanceTypes",
"elasticmapreduce:ViewEventsFromAllClustersInConsole"
],
"Resource": [
"*"
]
},
{
"Sid": "ViewMetricsInEMRConsole",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
]
}
]
}
```
------
# Política gerenciada do IAM para acesso somente leitura (prestes a ser defasada)
A política gerenciada `AmazonElasticMapReduceReadOnlyAccess` está prestes a ser defasada. Não é possível anexar essa política ao iniciar novos clusters. `AmazonElasticMapReduceReadOnlyAccess` foi substituída pela política gerenciada [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) padrão do Amazon EMR. O conteúdo dessa instrução de política é mostrado no trecho a seguir. Caracteres curinga para o elemento `elasticmapreduce` especificam que somente as ações que comecem com as strings especificadas serão permitidas. Lembre-se de que, como essa política não nega explicitamente as ações, uma declaração de política diferente ainda pode ser usada para conceder acesso a ações específicas.
**nota**
Você também pode usar o Console de gerenciamento da AWS para visualizar a política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:Describe*",
"elasticmapreduce:List*",
"elasticmapreduce:ViewEventsFromAllClustersInConsole",
"s3:GetObject",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"sdb:Select",
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
],
"Sid": "AllowELASTICMAPREDUCEDescribe"
}
]
}
```
------
# AWS política gerenciada: EMRDescribe ClusterPolicyFor EMRWAL
Não é possível anexar a `EMRDescribeClusterPolicyForEMRWAL` às entidades do IAM. Essa política é anexada a um perfil vinculado ao serviço que permite ao Amazon EMR realizar ações em seu nome. Para obter mais informações sobre esse perfil vinculado ao serviço, consulte [Uso de perfis vinculados ao serviço com o Amazon EMR para registro em log com gravação antecipada](using-service-linked-roles-wal.md).
Essa política concede permissões somente leitura que permitem que o serviço WAL do Amazon EMR encontre e retorne o status de um cluster. Para obter mais informações sobre o Amazon EMR WAL, consulte [Write-ahead logs (WAL) for Amazon EMR](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-hbase-wal.html).
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `emr`: permite que as entidades principais descrevam o status do cluster do Amazon EMR. Isso é necessário para que o Amazon EMR possa confirmar quando um cluster foi encerrado e, depois de trinta dias, limpar todos os logs do WAL deixados pelo cluster.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster"
],
"Resource": [
"*"
],
"Sid": "AllowELASTICMAPREDUCEDescribecluster"
}
]
}
```
------
## AWS políticas gerenciadas para o Amazon EMR
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
# Atualizações do Amazon EMR para AWS políticas gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon EMR desde que esse serviço começou a rastrear essas alterações.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md): atualizar para uma política existente | Foram adicionados ec2:CreateVpcEndpoint, ec2:ModifyVpcEndpoint e ec2:CreateTags, necessárias para uma experiência ideal, começando com o Amazon EMR versão 7.5.0. | 4 de março de 2025 |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) – atualização para uma política existente | Foram adicionadas elasticmapreduce:CreatePersistentAppUI, elasticmapreduce:DescribePersistentAppUI e elasticmapreduce:GetPersistentAppUIPresignedURL. | 28 de fevereiro de 2025 |
| [`EMRDescribeClusterPolicyForEMRWAL`](EMRDescribeClusterPolicyForEMRWAL.md) – Nova política | Foi adicionada uma nova política para que o Amazon EMR possa determinar o status do cluster para limpeza do WAL trinta dias após o encerramento do cluster. | 10 de agosto de 2023 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) e [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md): atualizar para uma política já existente | Adicionadas elasticmapreduce:DescribeReleaseLabel e elasticmapreduce:GetAutoTerminationPolicy. | 21 de abril de 2022 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) – atualização para uma política existente | Adicionou-se ec2:DescribeImages para [Uso de uma AMI personalizada para fornecer mais flexibilidade na configuração de clusters do Amazon EMR](emr-custom-ami.md). | 15 de fevereiro de 2022 |
| [**Políticas gerenciadas do Amazon EMR**](emr-managed-iam-policies.md) | Atualizado para esclarecer o uso de etiquetas de usuário predefinidas. Foi adicionada uma seção sobre como usar o AWS console para iniciar clusters com políticas gerenciadas v2. | 29 de setembro de 2021 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) – atualização para uma política existente | Foram alteradas as ações PassRoleForAutoScaling e PassRoleForEC2 para usar o operador de condição StringLike para corresponder a "iam:PassedToService":"application-autoscaling.amazonaws.com\$1" e "iam:PassedToService":"ec2.amazonaws.com\$1", respectivamente. | 20 de maio de 2021 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) – atualização para uma política existente | A ação inválida `s3:ListBuckets` foi removida e substituída pela ação `s3:ListAllMyBuckets`. Foi atualizada a criação do perfil vinculado ao serviço (SLR) para ser explicitamente reduzida ao único SLR que o Amazon EMR tem com princípios de serviço explícitos. Os SLRs que podem ser criados são exatamente os mesmos de antes dessa alteração. | 23 de março de 2021 |
| [`AmazonEMRFullAccessPolicy_v2`](emr-managed-policy-fullaccess-v2.md) – Nova política | O Amazon EMR adicionou novas permissões para definir o escopo do acesso aos recursos e adicionar o pré-requisito de que os usuários devem adicionar uma etiqueta de usuário predefinida aos recursos para poderem usar as políticas gerenciadas do Amazon EMR. A ação `iam:PassRole` requer uma condição `iam:PassedToService` definida para o serviço especificado. O acesso ao Amazon EC2, ao Amazon S3 e a outros serviços não é permitido por padrão. | 11 de março de 2021 |
| [`AmazonEMRServicePolicy_v2`](emr-iam-role.md) – Nova política | Adiciona o pré-requisito de que os usuários devem adicionar etiquetas de usuário aos recursos para poderem usar essa política. | 11 de março de 2021 |
| [`AmazonEMRReadOnlyAccessPolicy_v2`](emr-managed-policy-readonly-v2.md) – Nova política | As permissões concedem somente ações específicas de leitura do elasticmapreduce. O acesso ao Amazon S3 é um acesso não concedido por padrão. | 11 de março de 2021 |
| O Amazon EMR passou a monitorar alterações | O Amazon EMR começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 11 de março de 2021 |