Apache Raner 的 IAM 角色 - Amazon EMR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Apache Raner 的 IAM 角色

此角色为可信执行引擎(例如 Apache Hive 和 Amazon EMR 记录服务器)提供凭证以访问 Amazon S3 数据。如果您使用 S3 SSE-KMS,则仅使用此角色访问 Amazon S3 数据,包括任何 KMS 密钥。

此角色必须使用以下示例中所述的最低策略创建。

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CloudwatchLogsPermissions",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Effect": "Allow",
      "Resource": [
          "arn:aws:logs:<REGION>:<AWS_ACCOUNT_ID>:<CLOUDWATCH_LOG_GROUP_NAME_IN_SECURITY_CONFIGURATION>:*"
      ]
    },
    {
      "Sid": "BucketPermissionsInS3Buckets",
      "Action": [
        "s3:CreateBucket",
        "s3:DeleteBucket",
        "s3:ListAllMyBuckets",
        "s3:ListBucket"
      ],
      "Effect": "Allow",
      "Resource": [
 *"arn:aws:s3:::amzn-s3-demo-bucket1",
        "arn:aws:s3:::amzn-s3-demo-bucket2"*
        ]
    },
    {
      "Sid": "ObjectPermissionsInS3Objects",
      "Action": [
        "s3:GetObject",
        "s3:DeleteObject",
        "s3:PutObject"
      ],
      "Effect": "Allow",
      "Resource": [ 
 *"arn:aws:s3:::amzn-s3-demo-bucket1/*",
          "arn:aws:s3:::amzn-s3-demo-bucket2/*"
*        ]
    }
  ]
}
重要

必须包含 CloudWatch 日志资源末尾的星号 “*”,以提供写入日志流的权限。

注意

如果您使用 EMRFS 一致性视图或 S3-SSE 加密,请添加对 DynamoDB 表和 KMS 密钥的权限,以便执行引擎可以与这些引擎交互。

Apache Ranger 的 IAM 角色由 EC2 实例配置文件角色担任。使用以下示例创建信任策略,允许 EC2 实例配置文件角色担任 Apache Ranger 的 IAM 角色。

    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/<EC2 INSTANCE PROFILE ROLE NAME eg. EMR_EC2_DefaultRole>"
      },
      "Action": ["sts:AssumeRole", "sts:TagSession"]
    }