本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 开始使用 EMR Serverless 的先决条件
本节介绍了运行 EMR Serverless 的管理先决条件。其中包括账户配置和权限管理。
**Topics**
+ [注册获取 Amazon Web Services 账户](#sign-up-for-aws)
+ [保护 IAM 用户](#secure-an-admin)
+ [授予权限](#setting-up-iam)
+ [安装和配置 Amazon CLI](#setting-up-cli)
+ [打开 控制台](#opening-console)
## 注册获取 Amazon Web Services 账户
如果您没有 Amazon Web Services 账户,请完成以下步骤来创建一个。
**要注册 Amazon Web Services 账户**
1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.amazonaws.cn/billing/signup)
1. 按照屏幕上的说明操作。
在注册时,将接到电话或收到短信,要求使用电话键盘输入一个验证码。
当您注册时 Amazon Web Services 账户,就会创建*Amazon Web Services 账户根用户*一个。根用户有权访问该账户中的所有 Amazon Web Services 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
Amazon 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://www.amazonaws.cn/)并选择 “**我的账户”,查看您当前的账户活动并管理您的账户**。
## 保护 IAM 用户
注册后 Amazon Web Services 账户,开启多重身份验证 (MFA),保护您的管理用户。有关说明,请参阅《IAM 用户指南》**中的 [为 IAM 用户启用虚拟 MFA 设备(控制台)](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html#enable-virt-mfa-for-iam-user)。
要允许其他用户访问您的 Amazon Web Services 账户 资源,请创建 IAM 用户。为了保护您的 IAM 用户,请启用 MFA 并仅向 IAM 用户授予执行任务所需的权限。
有关创建和保护 IAM 用户的更多信息,请参阅《IAM 用户指南》中的以下主题:**
+ [在你的 IAM 用户中创建 Amazon Web Services 账户](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_users_create.html)
+ [适用于 Amazon 资源的访问权限管理](https://docs.amazonaws.cn/IAM/latest/UserGuide/access.html)
+ [基于 IAM 身份的策略示例](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_examples.html)
## 授予权限
在生产环境中,我们建议您使用更精细的策略。有关此类策略的示例,请参阅 [EMR Serverless 的用户访问策略示例](security-iam-user-access-policies.md)。要了解有关访问管理的更多信息,请参阅 IAM 用户指南中的[Amazon 资源访问管理](https://docs.amazonaws.cn/IAM/latest/UserGuide/access.html)。
对于需要在沙盒环境中开始使用 EMR Serverless 的用户,请使用类似下面的策略:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EMRStudioCreate",
"Effect": "Allow",
"Action": [
"elasticmapreduce:CreateStudioPresignedUrl",
"elasticmapreduce:DescribeStudio",
"elasticmapreduce:CreateStudio",
"elasticmapreduce:ListStudios"
],
"Resource": [
"*"
]
},
{
"Sid": "EMRServerlessFullAccess",
"Effect": "Allow",
"Action": [
"emr-serverless:*"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowEC2ENICreationWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "ops.emr-serverless.amazonaws.com"
}
}
},
{
"Sid": "AllowEMRServerlessServiceLinkedRoleCreation",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/*"
]
}
]
}
```
------
要提供访问权限,请为您的用户、组或角色添加权限:
+ 通过身份提供者在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供者创建角色(联合身份验证)](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户:
+ 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
+ (不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限(控制台)](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。
### 授予编程式访问权限
如果用户想在 Amazon 外部进行交互,则需要编程访问权限 Amazon Web Services 管理控制台。 Amazon APIs 和 Amazon Command Line Interface 需要访问密钥。可能的话,创建临时凭证,该凭证由一个访问密钥 ID、一个秘密访问密钥和一个指示凭证何时到期的安全令牌组成。
要向用户授予编程式访问权限,请选择以下选项之一。
****
| 哪个用户需要编程式访问权限? | 目的 | 方式 |
| --- | --- | --- |
| IAM | 使用短期证书签署对 Amazon CLI 或的编程请求 Amazon APIs(直接或使用 Amazon SDKs)。 | 按照 IAM 用户指南中的将[临时证书与 Amazon 资源配合使用](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_credentials_temp_use-resources.html)中的说明进行操作。 |
| IAM | (不推荐使用)使用长期证书签署对 Amazon CLI 或的编程请求 Amazon APIs(直接或使用 Amazon SDKs)。 | 按照《IAM 用户指南》中[管理 IAM 用户的访问密钥](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_credentials_access-keys.html)中的说明进行操作。 |
## 安装和配置 Amazon CLI
如果要使用 EMR Serverless APIs,请安装最新版本的 ()。 Amazon Command Line Interface Amazon CLI你不需要从 EMR Studio 控制台中使用 EMR Serverless,也可以按照中的步骤在没有 CLI 的情况下开始使用。 Amazon CLI [从控制台开始使用 EMR Serverless](gs-console.md)
**要设置 Amazon CLI**
1. 要安装 Amazon CLI 适用于 macOS、Linux 或 Windows 的最新版本,请参阅[安装或更新最新版本的](https://docs.amazonaws.cn/cli/latest/userguide/getting-started-install.html)。 Amazon CLI
1. 要配置您的访问权限 Amazon CLI 和安全设置(包括 EMR Serverless),请参阅使用进行[快速](https://docs.amazonaws.cn/cli/latest/userguide/cli-configure-quickstart.html#cli-configure-quickstart-config)配置。 Amazon Web Services 服务`aws configure`
1. 要验证设置,请在 DataBrew 命令提示符下输入以下命令。
```
aws emr-serverless help
```
Amazon CLI 命令使用配置 Amazon Web Services 区域 中的默认值,除非您使用参数或配置文件进行设置。要使用参数 Amazon Web Services 区域 进行设置,请将该`--region`参数添加到每个命令中。
要使用配置文件 Amazon Web Services 区域 进行设置,请先在`~/.aws/config`文件或文件中添加命名的配置`%UserProfile%/.aws/config`文件(适用于 Microsoft Windows)。按 [Amazon CLI的命名配置文件](https://docs.amazonaws.cn/cli/latest/userguide/cli-configure-profiles.html)中的步骤执行操作。接下来,使用与以下示例类似的命令来设置您的 Amazon Web Services 区域 和其他设置。
```
[profile emr-serverless]
aws_access_key_id = ACCESS-KEY-ID-OF-IAM-USER
aws_secret_access_key = SECRET-ACCESS-KEY-ID-OF-IAM-USER
region = us-east-1
output = text
```
## 打开 控制台
本节中大部分面向控制台的主题都是从 [Amazon EMR 控制台](https://console.amazonaws.cn/elasticmapreduce/home)开始。如果您尚未登录自己的 Amazon Web Services 账户,请登录,然后打开 [Amazon EMR 控制台](https://console.amazonaws.cn/elasticmapreduce/home)并继续进入下一部分,继续开始使用 Amazon EMR。