Amazon EMR
管理指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

自定义 IAM 角色

您可能希望根据自己的要求自定义 IAM 角色和权限。例如,如果您的应用程序不使用 EMRFS 一致视图,您可能不想允许 Amazon EMR 访问 Amazon DynamoDB。要自定义权限,我们建议您创建新的角色和策略。从托管策略中的默认角色 (例如 AmazonElasticMapReduceforEC2RoleAmazonElasticMapReduceRole) 的权限开始着手。将相应内容复制并粘贴到新的策略语句中,根据具体情况修改权限,并将修改后的权限策略附加到您创建的角色。您必须拥有合适的 IAM 权限才能使用角色和策略。有关更多信息,请参阅 允许用户和组创建和修改角色

如果您为 EC2 创建自定义 EMR 角色,请遵循基本工作流程,这将自动创建同名的实例配置文件。Amazon EC2 允许您创建名称不同的实例配置文件和角色,但 Amazon EMR 不支持此配置,并且它将在您创建群集时导致“invalid instance profile”(实例配置文件无效) 错误。

重要

当服务要求发生变化时,内联策略不会自动更新。如果您创建并附加内联策略,请注意,服务更新可能会突然导致权限错误。有关更多信息,请参阅 IAM User Guide 中的托管策略与内联策略以及在创建集群时指定自定义 IAM 角色

有关处理 IAM 角色的更多信息,请参阅 IAM User Guide 中的以下主题: