阿里云E-MapReduce服务(例如Hadoop和Spark),在运行时需要有访问其他阿里云资源和执行操作的权限。每个E-MapReduce集群必须有服务角色以及ECS应用角色。本文为您介绍EMR角色授权的流程及其关联的角色。
背景信息
阿里云EMR为确定权限的角色提供默认角色和默认系统策略。系统策略由阿里云创建和维护,因此如果服务要求发生变化,策略会自动更新。
首次使用E-MapReduce服务时,您需要使用阿里云账号为E-MapReduce服务授权名为AliyunEMRDefaultRole、AliyunECSInstanceForEMRRole和AliyunEmrEcsDefaultRole的服务角色。授权成功后,您可以在RAM控制台上查看角色,并为角色挂载策略。角色详细信息,请参见RAM角色概览。
注意
- 首次使用E-MapReduce服务时,必须使用阿里云账号完成默认角色授权,否则RAM用户和阿里云账号不能使用E-MapReduce。
- 如果删除服务角色,请确保使用该角色的资源已经释放,否则会影响资源的正常使用。
- 如果只授权了部分角色,EMR控制台会提醒授权,只有在全部角色授权完成之后才可以创建集群。
- EMR-3.32.0及之前版本和EMR-4.5.0及之前版本:AliyunEmrEcsDefaultRole用于作业访问外部资源。
- EMR-3.32.0之后版本和EMR-4.5.0之后版本:AliyunECSInstanceForEMRRole用于作业访问外部资源。
角色授权流程
本流程以EMR-3.30版本为例。
- 在E-MapReduce控制台,单击点击前往RAM进行授权。如果未正确地给E-MapReduce的服务账号授予默认角色,则在创建集群或创建按需执行计划时,会弹出如下提示。
- 单击同意授权,将默认角色AliyunEMRDefaultRole和AliyunEmrEcsDefaultRole授予给E-MapReduce服务。
服务角色
下表列出了与E-MapReduce关联的RAM角色。
| 属性 | 默认角色 | 描述 | 系统策略 |
|---|---|---|---|
| EMR服务角色 | AliyunEMRDefaultRole | 允许E-MapReduce服务在配置资源和执行服务级别操作时调用其他阿里云服务。所有集群都需要该角色,且不能更改。
详情请参见EMR服务角色。 |
AliyunEMRRolePolicy |
| ECS应用角色(EMR 3.32及之前版本和EMR 4.5及之前版本) | AliyunEmrEcsDefaultRole |
集群实例上运行的应用程序进程在调用其他阿里云服务时将使用该角色。在创建集群时既可以使用该服务角色,也可以使用自定义的角色。 AliyunEmrEcsDefaultRole角色,详情请参见ECS应用角色(EMR 3.32及之前版本和EMR 4.5及之前版本)。 |
AliyunEMRECSRolePolicy |
| ECS应用角色(EMR 3.32之后版本和EMR 4.5之后版本) | AliyunECSInstanceForEMRRole |
集群实例上运行的应用程序进程在调用其他阿里云服务时将使用该角色。在创建集群时既可以使用该服务角色,也可以使用自定义的角色。 AliyunECSInstanceForEMRRole角色,详情请参见ECS应用角色(EMR 3.32之后版本和EMR 4.5之后版本)。 |
AliyunECSInstanceForEMRRolePolicy |