创建任务执行角色 - Amazon EMR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建任务执行角色

要在 Amazon EMR on EKS 上运行工作负载,您需要创建一个 IAM 角色。我们在本文档中将此角色称为任务执行角色。有关如何创建 IAM 角色的更多信息,请参阅《IAM 用户指南》中的创建 IAM 角色

您必须创建 IAM policy 来指定任务执行角色的权限,然后将 IAM policy 添加到任务执行角色。

以下任务执行角色策略允许访问资源目标、Amazon S3 和 CloudWatch。这些权限是监控任务和访问日志所必需的。要使用执行相同的流程 Amazon CLI,您还可以使用在 EKS 上的 Amazon EMR 研讨会的 “为任务执行创建 IAM 角色” 部分中的步骤来设置您的角色。

注意

应适当限定访问范围,而不是授予对任务执行角色中所有 S3 对象的权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::example-bucket"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents",
                "logs:CreateLogStream",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:*:*:*"
            ]
        }
    ]
}

有关更多信息,请参阅使用任务执行角色、将任务运行配置为使用 S3 日志和将任务运行配置为使用 CloudWatch 日志