在开通E-MapReduce服务时,您需要给E-MapReduce的服务账号授予一个名称为AliyunEMRDefaultRole的系统默认角色。当且仅当该角色被正确授予后,E-MapReduce才能正常地调用相关服务(ECS和OSS等),创建集群以及保存日志。

注意 首次开通E-MapReduce服务时,必须使用主账号完成角色授权流程,否则子账号和主账号均不能使用E-MapReduce 。

角色授权流程

  1. 如果未正确地给E-MapReduce的服务账号授予默认角色,则在创建集群或创建按需执行计划时,会弹出如下提示。EMR角色授权
  2. 单击前往 RAM 进行授权,进行角色授权。角色授权
  3. 选择AliyunEMRDefaultRole,单击同意授权,将默认角色 AliyunEMRDefaultRole授予给E-MapReduce的服务账号。
    说明 如果您想在E-MapReduce集群中以免AK的方式访问阿里云资源时,请选择AliyunEmrEcsDefaultRole,详细信息请参见基于MetaService免AccessKey访问阿里云资源
  4. 完成以上授权后,您需要刷新 E-MapReduce 控制台,然后即可进行相关操作。如果您想查看 AliyunEMRDefaultRole 相关的详细策略信息,您可登录RAM的控制台查看。

默认角色包含的权限内容

默认角色AliyunEMRDefaultRole包含的权限信息如下:

  • ECS 相关权限:
    权限名称(Action) 权限说明
    ecs:CreateInstance 创建ECS实例。
    ecs:RenewInstance ECS 实例续费。
    ecs:DescribeRegions 查询 ECS 地域信息。
    ecs:DescribeZones 查询 Zone 信息。
    ecs:DescribeImages 查询镜像信息。
    ecs:CreateSecurityGroup 创建安全组。
    ecs:AllocatePublicIpAddress 分配公网 IP。
    ecs:DeleteInstance 删除机器实例。
    ecs:StartInstance 启动机器实例。
    ecs:StopInstance 停止机器实例。
    ecs:DescribeInstances 查询机器实例。
    ecs:DescribeDisks 查询机器相关磁盘信息。
    ecs:AuthorizeSecurityGroup 设置安全组入规则。
    ecs:AuthorizeSecurityGroupEgress 设置安全组出规则。
    ecs:DescribeSecurityGroupAttribute 查询安全组详情。
    ecs:DescribeSecurityGroups 查询安全组列表信息。
  • OSS 相关权限:
    权限名称(Action) 权限说明
    oss:PutObject 上传文件或文件夹对象。
    oss:GetObject 获取文件或文件夹对象。
    oss:ListObjects 查询文件列表信息。

子账户授权

为确保子账号能正常使用E-MapReduce控制台的功能,您需要使用主账号登录RAM 控制台给子账号授予 AliyunEMRFullAccessAliyunEMRDevelopAccess 策略,否则会有如下错误提示:提示信息
说明
  • AliyunEMRFullAccess 策略授予子账号的权限是管理 E-MapReduce 的权限,主要包括对 E-MapReduce 的所有资源的所有操作权限。
  • AliyunEMRDevelopAccess 策略授予子账号的权限是E-MapReduce开发者权限,与 AliyunEMRFullAccess 策略相比,不授予集群的创建和释放等操作权限。

    RAM 子账号、策略和角色等更详细的信息,请参见RAM 产品介绍