本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon EMR 的 EC2 執行個體描述檔
<a name="emr-ranger-iam-ec2"></a>

Amazon EMR 使用 IAM 服務角色代表您執行動作，以佈建和管理叢集。叢集 EC2 執行個體的服務角色 (也稱為 Amazon EMR 的 EC2 執行個體設定檔) 是一種特殊類型的服務角色，在啟動時指派給叢集中的每個 EC2 執行個體。

若要定義 EMR 叢集與 Amazon S3 資料和受 Apache Ranger 和其他 AWS 服務保護的 Hive 中繼存放區互動的許可，請在啟動叢集`EMR_EC2_DefaultRole`時定義要使用的自訂 EC2 執行個體描述檔，而非 。

如需詳細資訊，請參閱[叢集 EC2 執行個體的服務角色 (EC2 執行個體設定檔)](emr-iam-role-for-ec2.md)及[使用 Amazon EMR 自訂 IAM 角色](emr-iam-roles-custom.md)。

您需要將下列陳述式新增至 Amazon EMR 的預設 EC2 執行個體設定檔，才能標記工作階段並存取存放 TLS 憑證 AWS Secrets Manager 的 。

```
    {
      "Sid": "AllowAssumeOfRolesAndTagging",
      "Effect": "Allow",
      "Action": ["sts:TagSession", "sts:AssumeRole"],
      "Resource": [
        "arn:aws:iam::<AWS_ACCOUNT_ID>:role/<RANGER_ENGINE-PLUGIN_DATA_ACCESS_ROLE_NAME>",
        "arn:aws:iam::<AWS_ACCOUNT_ID>:role/<RANGER_USER_ACCESS_ROLE_NAME>"
      ]
    },
    {
        "Sid": "AllowSecretsRetrieval",
        "Effect": "Allow",
        "Action": "secretsmanager:GetSecretValue",
        "Resource": [
            "arn:aws:secretsmanager:<REGION>:<AWS_ACCOUNT_ID>:secret:<PLUGIN_TLS_SECRET_NAME>*",
            "arn:aws:secretsmanager:<REGION>:<AWS_ACCOUNT_ID>:secret:<ADMIN_RANGER_SERVER_TLS_SECRET_NAME>*"
        ]
    }
```

**注意**  
對於 Secrets Manager 許可，請勿忘記機密名稱結尾的萬用字元 ("\$1")，否則您的請求將會失敗。萬用字元適用於機密版本。

**注意**  
將 AWS Secrets Manager 政策的範圍限制為僅佈建所需的憑證。