EMR on ACK で E-MapReduce (EMR) を使用する前に、お使いの Alibaba Cloud アカウントに AliyunEMROnACKDefaultRole デフォルトロールを付与する必要があります。このトピックでは、ロールを付与する 2 つの方法について説明します。
自動承認
ほとんどの場合、EMR on ACK を初めて使用するときに、自動承認を実行するように求められます。
E-MapReduce コンソールにログインします。
左側のナビゲーションウィンドウで、[EMR On ACK] をクリックします。
[EMR On ACK] ページで、[今すぐ承認] をクリックします。
[クラウドリソースアクセス承認] ページで、ページの下部にある [承認に同意] をクリックします。
AliyunEMROnACKDefaultRole ロールはデフォルトで選択されています。
手動承認
誤って AliyunEMROnACKDefaultRole ロールを削除した場合、または権限付与ポリシーの変更により EMR on ACK が利用できなくなった場合は、次のステップに従ってロールを再作成し、必要な権限を付与します。
RAM ロールの作成。
左側のナビゲーションウィンドウで、 を選択します。
[ロール] ページで、[ロールの作成] をクリックします。
[ロールの作成] パネルで、[信頼できるエンティティタイプ] を [Alibaba Cloud サービス] に、[信頼できるプリンシパル名] を [Elastic Compute Service / ECS] に設定します。次に、[OK] をクリックします。
信頼できるエンティティの詳細については、「RAM ロールを作成し、必要なポリシーをロールにアタッチする」をご参照ください。
ロール情報を入力し、[OK] をクリックします。
ロール名を AliyunEMROnACKDefaultRole に設定します。AliyunEMROnACKDefaultRole ロールが既に存在する場合、再度作成する必要はありません。
権限付与ポリシーを追加します。
[権限] タブで、[正確な権限] をクリックします。
[正確な権限] パネルで、権限タイプを選択し、ポリシー名を入力して、[OK] をクリックします。
次の 3 つの権限付与ポリシーを AliyunEMROnACKDefaultRole ロールにアタッチします。
ポリシー 1: システムポリシー (AliyunEMROnACKDefaultRolePolicy)
{ "Version": "1", "Statement": [ { "Action": [ "cs:CreateCluster", "cs:GetClusterById", "cs:GetClusters", "cs:GetUserConfig", "cs:DeleteCluster", "cs:AttachInstances", "cs:DescribeClusterLogsRequest", "cs:GetClusterLogs", "cs:GetUserQuota", "cs:DescribeClusterNodes", "cs:GetNodepoolDetail", "cs:GetNodepools", "cs:UpdateNodepool", "cs:ScaleNodepools", "cs:DescribeClusterInnerServiceKubeconfig", "cs:RevokeClusterInnerServiceKubeconfig", "ecs:DescribeInstances" ], "Resource": "*", "Effect": "Allow" } ] }
ポリシー 2: システムポリシー (AliyunEMRFullAccess)
{ "Version": "1", "Statement": [ { "Action": "emr:*", "Resource": "*", "Effect": "Allow" }, { "Action": [ "cms:QueryMetricList", "ram:GetRole", "ram:ListRoles", "ram:ListUserBasicInfos", "ecs:DescribeZones", "ecs:DescribeInstanceTypes", "ecs:DescribeKeyPairs", "ecs:DescribeAvailableResource", "ecs:DescribeInstances", "ecs:DescribeSpotPriceHistory", "ecs:DescribeSpotAdvice", "ecs:DescribeInstanceStatus", "ecs:DescribeDeploymentSets", "vpc:DescribeVpcs", "vpc:DescribeVSwitches", "oss:ListBuckets", "dlf:DescribeRegions", "dlf:GetRegionStatus", "dlf:ListCatalogs" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ram:PassRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "acs:Service": "emr.aliyuncs.com" } } }, { "Action": "quotas:ListProductQuotas", "Resource": "acs:quotas:*:*:quota/ecs/*", "Effect": "Allow" }, { "Action": "kms:DescribeAccountKmsStatus", "Resource": "*", "Effect": "Allow" } ] }ポリシー 3: カスタムポリシー (EmrOnAckPolicyV2)
{ "Version": "1", "Statement": [ { "Action": [ "ram:*" ], "Resource": [ "acs:ram:*:*:domain/*", "acs:ram:*:*:application/*" ], "Effect": "Allow" } ] }
説明RAM ロールを作成し、前述のポリシーをアタッチすると、EMR on ACK を使用できるようになります。