首次使用E-MapReduce服务时,您需要使用主账号为E-MapReduce服务授权名为AliyunEMRDefaultRoleAliyunEmrEcsDefaultRole的系统默认角色。

背景信息

关于角色详细信息,具体可以参见RAM角色概览

  • 通过授予AliyunEMRDefaultRole角色,E-MapReduce才能正常地调用相关服务(ECS和OSS等),创建集群以及保存日志。该角色具体权限内容请参见AliyunEMRDefaultRole权限内容
  • 通过授予AliyunEmrEcsDefaultRole角色,您创建的E-MapReduce集群可以以免AK的方式访问阿里云资源,例如OSS,详细信息请参见基于MetaService免AccessKey访问阿里云资源。完成角色授权之后,您在创建集群时既可以使用该默认角色,也可以使用自定义的角色。该角色具体权限内容请参见AliyunEMREcsDefaultRole权限内容
    注意 首次使用E-MapReduce服务时,必须用主账号完成默认角色授权,否则子账号和主账号不能使用E-MapReduce。

角色授权流程

  1. 如果未正确地给E-MapReduce的服务账号授予默认角色,则在创建集群或创建按需执行计划时,会弹出如下提示。角色授权
  2. 单击点击前往RAM进行授权。单击同意授权,将默认角色AliyunEMRDefaultRoleAliyunEmrEcsDefaultRole授予给E-MapReduce服务。RAM授权
  3. 完成以上授权后,您需要刷新E-MapReduce控制台,然后即可进行相关操作。如果您想查看AliyunEMRDefaultRoleAliyunEmrEcsDefaultRole相关的详细策略信息,您可登录RAM的控制台查看。

默认角色包含的权限内容

  • AliyunEMRDefaultRole权限内容

    默认角色AliyunEMRDefaultRole包含系统权限策略为AliyunEMRRolePolicy,权限内容如下。

    • ECS相关权限:
      权限名称(Action) 权限说明
      ecs:CreateInstance 创建ECS实例。
      ecs:RenewInstance ECS实例续费。
      ecs:DescribeRegions 查询ECS地域信息。
      ecs:DescribeZones 查询Zone信息。
      ecs:DescribeImages 查询镜像信息。
      ecs:CreateSecurityGroup 创建安全组。
      ecs:AllocatePublicIpAddress 分配公网IP。
      ecs:DeleteInstance 删除机器实例。
      ecs:StartInstance 启动机器实例。
      ecs:StopInstance 停止机器实例。
      ecs:DescribeInstances 查询机器实例。
      ecs:DescribeDisks 查询机器相关磁盘信息。
      ecs:AuthorizeSecurityGroup 设置安全组入规则。
      ecs:AuthorizeSecurityGroupEgress 设置安全组出规则。
      ecs:DescribeSecurityGroupAttribute 查询安全组详情。
      ecs:DescribeSecurityGroups 查询安全组列表信息。
    • OSS相关权限。
      权限名称(Action) 权限说明
      oss:PutObject 上传文件或文件夹对象。
      oss:GetObject 获取文件或文件夹对象。
      oss:ListObjects 查询文件列表信息。
  • AliyunEmrEcsDefaultRole权限内容

    默认角色AliyunEmrEcsDefaultRole包含系统权限策略为AliyunEmrECSRolePolicy,OSS相关权限内容如下。

    权限名称(Action) 权限说明
    oss:PutObject 上传文件或文件夹对象。
    oss:GetObject 获取文件或文件夹对象。
    oss:ListObjects 查询文件列表信息。
    oss:DeleteObject 删除某个文件。
    oss:AbortMultipartUpload 终止MultipartUpload事件。
    说明 您可以根据自身权限需求,为该角色添加权限策略。