デフォルトでは、RAM ユーザーは E-MapReduce (EMR) にアクセスできません。RAM ユーザーが EMR コンソールを使用できるようにするには、Alibaba Cloud アカウント (root ユーザー) または管理権限を持つ RAM ユーザーが、RAM コンソールで適切な EMR ポリシーをアタッチする必要があります。
背景情報
RAM (Resource Access Management) は、Alibaba Cloud が提供するリソースアクセス制御サービスです。詳細については、「RAM とは」をご参照ください。
RAM が EMR でアクセスの制御を実装するためにどのように使用されるかについて、次の例で説明します。
-
ユーザー: RAM ユーザーを使用して、開発者や O&M エンジニアなどの異なるロールに権限を付与できます。これにより、異なる RAM ユーザーが異なるリソースにアクセスするための異なる権限を持つことができます。
-
ユーザーグループ: RAM ユーザーを責任に基づいてグループ化し、ユーザーグループに権限を付与できます。これにより、複数のユーザーに同時に同じ権限を付与でき、RAM ユーザーとその権限の管理が簡素化されます。
前提条件
開始する前に、次のことを確認してください。
-
RAM コンソールで、Alibaba Cloud アカウントまたは管理権限を持つ RAM ユーザー
-
権限を付与する RAM ユーザーが少なくとも 1 人いること
利用可能なポリシー
EMR には次のシステムポリシーが利用可能です。付与するアクセスレベルに一致するポリシーを選択してください。
| ポリシー名 | 説明 | 権限 |
|---|---|---|
| AliyunEMRFullAccess | EMR へのフルアクセス | EMR on ECS および EMR on ACK でのすべての操作 |
| AliyunEMRReadOnlyAccess | EMR への読み取り専用アクセス | EMR on ECS および EMR on ACK でのリソースの読み取り |
| AliyunEMRDlsFullAccess | EMR OSS-HDFS へのフルアクセス | EMR OSS-HDFS のデータの管理 |
| AliyunEMRDevelopAccess (非推奨) | EMR の開発者権限 | クラスターの作成またはリリースを除く、EMR クラスターでのすべての操作 |
| AliyunEMRFlowAdmin (非推奨) | データプラットフォームモジュールの管理者権限 | プロジェクトの作成、ジョブの開発と管理。プロジェクトへのメンバーの追加やクラスターの管理はできません。 |
AliyunEMRDevelopAccess および AliyunEMRFlowAdmin は非推奨です。2024 年 12 月 30 日 (UTC+8) 以降、EMR コンソールのデータ開発 (旧) はリージョンごとに段階的に廃止されます。
RAM ユーザーへの権限付与
-
Alibaba Cloud アカウントまたは管理権限を持つ RAM ユーザーとして、RAM コンソールにログインします。
-
左側のナビゲーションウィンドウで、[アイデンティティ] > [ユーザー] を選択します。
-
「[ユーザー]」ページで RAM ユーザーを見つけ、「[操作]」列の「[権限の追加]」をクリックします。複数の RAM ユーザーに一度に権限を付与するには、それらを選択してページ下部の「[権限の追加]」をクリックします。
-
[権限の付与] パネルで、次のパラメーターを設定します。
パラメーター 説明 リソーススコープ アカウント:権限は現在の Alibaba Cloud アカウントに適用されます。リソースグループ:権限は指定されたリソースグループに適用されます。 プリンシパル 権限を付与する RAM ユーザーです。 ポリシー システムポリシー を選択し、検索ボックスに EMRと入力して、追加したいポリシーをクリックし、選択済みポリシー セクションに追加します。EMR のポリシーについて詳しくは、「ポリシー」をご参照ください。
-
[権限を付与] をクリックします。権限はすぐに有効になります。
権限の確認
権限を付与した後、RAM ユーザーの認証情報を使用して EMR コンソールにログインし、期待されるリソースと操作にアクセスできることを確認します。
次のステップ
RAM ユーザーがアクセスを必要としなくなった場合は、権限を取り消します。詳細については、「RAM ユーザーからの権限取り消し」をご参照ください。