本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # Amazon EMR on EKS 上的安全要求和 Spark Operator 安全性 使用 Spark Operator 时,有几种方法可以设置集群访问权限。第一种是使用基于角色的访问控制(RBAC),该方法根据个人在组织中的角色来限制访问。这是处理访问权限的主要方式。第二种访问方法是 AWS Identity and Access Management 扮演角色,该角色通过特定的分配权限提供资源访问权限。 **Topics** + [ # 使用基于角色的访问控制(RBAC)设置集群访问权限 ](spark-operator-security-rbac.md) + [ # 使用服务账户的 IAM 角色(IRSA)设置集群访问权限 ](spark-operator-security-irsa.md) # 使用基于角色的访问控制(RBAC)设置集群访问权限 基于角色的访问控制(RBAC) 为了部署 Spark Operator,Amazon EMR on EKS 会为 Spark Operator 和 Spark 应用程序创建两个角色和服务账户。 **Topics** + [ ## Operator 服务账户和角色 ](#spark-operator-sa-oper) + [ ## Spark 服务账户和角色 ](#spark-operator-sa-spark) ## Operator 服务账户和角色 Operator 服务账户和角色 Amazon EMR on EKS 会创建 **Operator 服务账户和角色**来管理 Spark 任务的 `SparkApplications` 以及其他资源(例如服务)。 此服务账户的默认名称为 `emr-containers-sa-spark-operator`。 以下规则适用于此服务角色: ``` rules: - apiGroups: - "" resources: - pods verbs: - "*" - apiGroups: - "" resources: - services - configmaps - secrets verbs: - create - get - delete - update - apiGroups: - extensions - networking.k8s.io resources: - ingresses verbs: - create - get - delete - apiGroups: - "" resources: - nodes verbs: - get - apiGroups: - "" resources: - events verbs: - create - update - patch - apiGroups: - "" resources: - resourcequotas verbs: - get - list - watch - apiGroups: - apiextensions.k8s.io resources: - customresourcedefinitions verbs: - create - get - update - delete - apiGroups: - admissionregistration.k8s.io resources: - mutatingwebhookconfigurations - validatingwebhookconfigurations verbs: - create - get - update - delete - apiGroups: - sparkoperator.k8s.io resources: - sparkapplications - sparkapplications/status - scheduledsparkapplications - scheduledsparkapplications/status verbs: - "*" {{- if .Values.batchScheduler.enable }} # required for the `volcano` batch scheduler - apiGroups: - scheduling.incubator.k8s.io - scheduling.sigs.dev - scheduling.volcano.sh resources: - podgroups verbs: - "*" {{- end }} {{ if .Values.webhook.enable }} - apiGroups: - batch resources: - jobs verbs: - delete {{- end }} ``` ## Spark 服务账户和角色 Spark 服务账户和角色 Spark 驱动程序 Pod 需要一个与该 Pod 位于同一命名空间的 Kubernetes 服务账户。此服务账户需要权限才能创建、获取、列出、修补和删除执行程序 Pod,以及为驱动程序创建 Kubernetes 无头服务。除非 Pod 命名空间中的默认服务账户具有所需权限,否则驱动程序会失败并在没有服务账户的情况下退出。 此服务账户的默认名称为 `emr-containers-sa-spark`。 以下规则适用于此服务角色: ``` rules: - apiGroups: - "" resources: - pods verbs: - "*" - apiGroups: - "" resources: - services verbs: - "*" - apiGroups: - "" resources: - configmaps verbs: - "*" - apiGroups: - "" resources: - persistentvolumeclaims verbs: - "*" ``` # 使用服务账户的 IAM 角色(IRSA)设置集群访问权限 服务账户的 IAM 角色(IRSA) 本节使用一个示例来演示如何配置 Kubernetes 服务账号来代入角色。 AWS Identity and Access Management 然后,使用该服务账号的 Pod 可以访问该角色有权访问的任何 AWS 服务。 以下示例运行一个 Spark 应用程序来统计 Amazon S3 中某个文件的字数。为此,您可以设置服务账户的 IAM 角色(IRSA),对 Kubernetes 服务账户进行身份验证和授权。 **注意** 此示例将“spark-operator”命名空间用于 Spark Operator 和提交 Spark 应用程序的命名空间。 ## 先决条件 在尝试本页的示例之前,请先完成下述先决条件: + [设置好 Spark Operator]()。 + [安装 Spark Operator](spark-operator-gs.md#spark-operator-install). + [创建 Amazon S3 存储桶](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-bucket.html)。 + 将您最喜欢的诗歌保存在名为 `poem.txt` 的文本文件中,然后将该文件上传到 S3 存储桶。您在此页面上创建的 Spark 应用程序会读取该文本文件中的内容。有关如何将文件上传到 S3 的信息,请参阅《Amazon Simple Storage Service 用户指南》**中的[将对象上传到存储桶](https://docs.aws.amazon.com/AmazonS3/latest/userguide/uploading-an-object-bucket.html)。 ## 配置 Kubernetes 服务账户来代入 IAM 角色 配置 Kubernetes 服务账户 使用以下步骤将 Kubernetes 服务账户配置为代入一个 IAM 角色,Pod 可以使用该角色访问该角色有权访问的 AWS 服务。 1. 完成后[先决条件](#spark-operator-security-irsa-prereqs),使用创建允许 AWS Command Line Interface 对您上传到 Amazon S3 的文件进行只读访问的文件:`example-policy.json` ``` cat >example-policy.json <spark-rbac.yaml <word-count.yaml <word-count.yaml <