本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 控制對作業範本的存取 `StartJobRun` 政策可讓您強制使用者或角色只能使用您指定的作業範本來執行作業,而且如果不使用指定的作業範本,就無法執行 `StartJobRun` 操作。為此,首先確保為使用者或角色授予對指定作業範本的讀取許可,如下所示。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "emr-containers:DescribeJobRun" ], "Resource": [ "arn:aws:emr-containers:*:*:jobtemplate/job_template_1_id", "arn:aws:emr-containers:*:*:jobtemplate/job_template_2_id" ], "Sid": "AllowEMRCONTAINERSDescribejobtemplate" } ] } ``` ------ 若要強制使用者或角色只能在使用指定的作業範本時調用 `StartJobRun` 操作,可將下列 `StartJobRun` 政策許可指派給指定的使用者或角色。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "emr-containers:StartJobRun" ], "Resource": [ "arn:aws:emr-containers:*:*:/virtualclusters/virtual_cluster_id" ], "Condition": { "ArnLike": { "emr-containers:JobTemplateArn": [ "arn:aws:emr-containers:*:*:jobtemplate/job_template_1_id", "arn:aws:emr-containers:*:*:jobtemplate/job_template_2_id" ] } }, "Sid": "AllowEMRCONTAINERSStartjobrun" } ] } ``` ------ 如果作業範本在執行角色 ARN 欄位中指定作業範本參數,則使用者將能夠提供此參數的值,因此可以使用任意執行角色來調用 `StartJobRun`。若要限制使用者可以提供的執行角色,請參閱 [搭配使用作業執行角色與 Amazon EMR on EKS](iam-execution-role.md) 中的**控制對執行角色的存取**。 如果上述 `StartJobRun` 動作政策中未針對指定的使用者或角色指定任何條件,則將允許使用者或角色使用他們具有讀取權限的任意作業範本或使用任意執行角色,在指定虛擬叢集上調用 `StartJobRun` 動作。