AWS EMR内置Ranger插件使用的IAM Role及其设计策略

已于 2024-05-28 12:30:43 修改
阅读量854 收藏 1
点赞数
分类专栏: 大数据专题 数据安全:身份认证 & 权限控制 付费专栏 文章标签: aws emr ranger role iam
于 2022-06-17 14:56:12 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/bluishglc/article/details/125328696
版权
本文详细介绍了AWS EMR在启用内置Ranger插件时涉及的IAM Role策略。标准EMR集群中,EC2节点有一个默认Role,而启用Ranger插件需要创建三个特定Role:一个用于获取证书,一个赋予Hive和Spark权限,另一个用于非Ranger服务,以实现细粒度权限控制。核心思想是通过分离权限,提高安全性。
摘要由CSDN通过智能技术生成

AWS EMR提供三种内置的Ranger插件,分别是:S3(EMRFS),Spark,Hive,如果要启用这些插件,需要创建三个特定的IAM Role,以便相关组件能获得适当的权限。对这三种Role的介绍可参考官方文档:https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-ranger-iam.html 本文主要是解释一下三种Role之间的关系。

在创建标准EMR集群时,如果你有留意的话,应该会注意到EMR会自动创建并分配给各个EC2节点一个默认的IAM Role,这个Role叫做:EMR_EC2_DefaultRole,如果你查看一下这个Role的policies就会发现,这个默认的Role拥有很大的权限,包括对S3和Glue Data Catalog的全局读写权限,对于不做细粒度权限控制的EMR集群来说,这样做是没有问题的。当然,你可以以该Role为模板创建新的Role,删减或添加一些policies,例如限制EMR仅可以使用部分的S3桶。

如果打算启用EMR内置的Ranger插件,就会如前面文档所述,将要涉及到三个Role,

了解本专栏 订阅专栏 解锁全文
Laurence 
关注
专栏目录
订阅专栏
terraform-aws-iam-role使用预定义的主体创建IAM角色
02-13
用途:在AWS中提供IAM角色。 基本原理:将标准和约束应用于IAM角色。 要求 没有要求。 提供者 姓名 版本 ws 不适用 输入项 姓名 描述 类型 默认 必需的 描述 IAM角色说明 any 不适用 是的 inline_policies 要...
aws ec2的iam role深度解析
blogzhoubo的博客
06-27 4995
Aws ec2 iam role   访问aws的各种service api的时候,都要先进行身份认证,有下面几种情况。 1.通过aws console web界面访问 用户名,口令,MFA(可选)   2.aws cli  需要在~/.aws目录下的credentials文件里面配置 aws_access_key_id aws_secret_access_key   3....
关于AWS IAM Role如何配置临时token访问S3 小结
BAStriver的博客
05-18 4128
1. 这篇文章主要是想记录一下如何通过token本地访问、测试S3而不是直接使用IAM User的Access keys。简而言之就是通过StsClient assumeRole获取临时的credentials然后生成S3Client。 详细的IAM, STS相关的官网文档可以参考这里。 2. 第一步先在这里创建一个IAM User。 1) 输入UserName,并且编程接口,然后下一步直接Next不赋予权限,Tag可以忽略。 2) Review界面如图: 3. 然后创建IAM Role.
AWS IAM 基本概念
最新发布
wumingxiaoyao的博客
07-27 1231
介绍 AWS IAM 基本概念,在 AWS 环境中,ADFS 可以用来实现身份联合,允许用户使用他们在企业的 Active Directory 中的凭据来登录 AWS 管理控制台或进行程序访问。这样,企业可以保持对用户身份的集中管理,同时允许用户访问 AWS 资源而无需为他们创建单独的 AWS IAM 用户。
iam role使用场景_使用IAM和RBAC保护Amazon EKS集群
weixin_26752759的博客
09-15 935
iam role使用场景You may have heard people refer to Kubernetes as API centric. That is, what happens in the cluster revolves around a core component in the control plane (or master node) known as the API S...
Apache Ranger 与 AWS EMR 自动化安装与集成(系列文章)
Laurence的技术博客
01-30 676
本系列文章发表于DZONE,共计五篇,文章针对Apache Ranger 与 AWS EMR 自动化安装与集成给出了完整的解决方案,方案背后是由一个12000+行代码开源项目提供支持,该系列文章同时也是此项目的官方文档。以下是五篇文章的具体信息:Solutions Overview;OpenLDAP + EMR-Native Ranger;Windows AD + EMR-Native Ranger;OpenLDAP + Open-Source Ranger;Windows AD + Open-Sourc
【学习笔记】IAM
weixin_45909424的博客
04-12 851
【学习笔记】IAM 什么是IAM IAM是一种身份管理的机制,核心概念有用户,用户组,策略,和角色。 我们每个人通过注册aws账户,从而成为aws账户的用户。但是一个aws账户只能有一个管理员用户,其他人想要登录同一个aws账户只能以IAM用户的方式登录。管理员可以管理IAM用户,赋予他们权限,也可以创建一个用户组,同一个组的用户权限是一样的。 策略就是权限,用户可以编写策略,把策略加入到用户,用户组,以及角色当中。 角色,是每个用户,实例都可以扮演的,只要扮演了角色,就可以拥有该角色的权限。在创建角色时,
尝试使用AWS EMR Docker映像运行新的Docker容器时出错
04-05
参见https://medium.com/better-programming/understanding-docker-container-exit-codes-5ee79a1d58f6[^]
terraform-aws-iam-role:一个Terraform模块,用于在Amazon Web Services(AWS)上创建身份和访问管理(IAM)角色
04-13
本模块`terraform-aws-iam-role`是专门为在AWS上创建IAM角色而设计的一个Terraform模块。IAM是Amazon Web Services中的一个关键服务,它允许精细控制对AWS资源的访问权限。 IAM角色不同于IAM用户或组,它不直接与...
terraform-aws-glue-iam-role:IAM角色用作胶水服务角色
03-19
role " { source = " dod-iac/glue-iam-role/aws " name = " glue-iam-role " buckets = [ " * " ] keys = [ " * " ] tags = { Automation = " Terraform " }}创建一个IAM角色,用作可以从特定存储桶读取并使用任何...
terraform-aws-iam-role:创建AWS IAM角色的Terraform模块
02-04
当前支持的角色类型为: AWS服务的角色IAM用户的角色外部AWS账户的角色实例配置文件的角色Lambda的角色用法该模块将仅创建IAM角色及其信任关系策略文档。 您需要在模块外部附加自己的权限策略文档。 要使用特定类型...
terraform-aws-iam-role:一个Terraform模块,使用提供的JSON IAM策略文件创建IAM角色
02-09
Terraform-aws-iam-role 一个Terraform模块,使用提供的JSON IAM策略文档创建IAM角色。 警告 如果var.enabled设置为false该模块可以用作因为始终聚合 清单大小 该项目是我们针对DevOps的全面方法的一部分。 它是100%开源的,并根据许可。 从字面上看,我们有,它们都是开源的并且维护良好。 去看一下! 安全与合规 安全扫描是由Bridgecrew提供的。 Bridgecrew是领先的完全托管的云原生解决方案,可提供连续的Terraform安全性和合规性。 基准测试 描述 基础架构安全合规 互联网安全中心,符合KUBERNETES 互联网安全中心,AWS合规 互联网安全中心,符合AZURE 支付卡行业数据安全标准合规性 美国国家标准技术研究院 信息安全管理系统,符合ISO / IEC 27001 服务组织控制
关于 AWS IAM Role 的最佳实践
wangzan18的博客
12-27 3877
一、EC2 针对 EC2 上面的应用程序,不要分配 User Credentials,使用 IAM Role Attachment。可以访问 EC2 的 meatdata 查看赋予的 Role 权限 curl http://169.254.169.254/latest/meta-data/iam/security-credentials/ 二、Software on local laptop 针对...
Ranger中的权限管理(用户,用户组,角色管理)
weixin_45076240的博客
11-18 6776
Ranger中的权限管理  Ranger可以将权限提供给用户,用户组,角色。设置界面如下: 用户管理界面同上:  如图,用户分为内部用户(Internal)和外部用户(External) 内部用户:在ranger中创建,可以登录ranger的管理界面,协助管理员设置策略。 外部用户:从其他系统同步过来的用户(通过Ranger-userSync组件),来源包括但不限于linux系统。外部用户的信息无法修改,和linux系统中的信息同步。 用户组界面: 同用户一样,用户组也分为外部用户组和内部用户组,外
AWS Assume IAM role使用
一叶不知秋
11-12 2014
AWS 要授权给他人访问指定资源有哪几种方式呢? 创建一个 AWS 帐号让别人用,那是 AWS 干的事 在自己帐号下创建一个用户,把 Access Key ID 和 Secret Access Key 告诉别人。可为该用户限定权限,但任何获得那两个 Key 的人都能使用该用户。 创建一个 IAM Role, 并指定谁(帐号或 Role) 能以该 Role 的身份来访问。被 Assume 的 Role 可限定权限和会话有效期。 用 Assume Role 的方式具有更高的安全可控性,还不用维护 Acce
亚马逊云助手小程序来啦!
亚马逊云科技专栏
07-28 1580
服务告警,稍不留神前功弃?下班途中,腾出手来不容易?旅游休假,不想和电脑绑定?亚马逊云助手小程序,拯救你的完美假期!随时随地,轻松管理亚马逊云资源~你可以通过云助手小程序实现:1、免密码登录绑定微信号和 IAM Role 以后,可以在微信小程序中免密码登录亚马逊云计算账户。你的登录过程将由 Amazon Cognito 负责,绝无密码泄露隐患。2、追踪服务费用随时检查你在...
Apache Ranger 与 AWS EMR 自动化安装与集成 (4):OpenLDAP + Open-Source Ranger
Laurence的技术博客
01-30 412
This article was initally published at DZone. In previous 2 articles, we introduced emr-native ranger integration solution, from this article, we turn to introduce open-source ranger integration. This article will discuss “OpenLDAP + Open-Source Ranger”.
AWS IAM基本概念
Blue summer的博客
05-20 3405
IAM Identity and Access Management,身份和访问管理 identity/principal user、role、federated User、application
使用存储桶策略限制AWS S3访问权限到IAM角色
"本文主要介绍了如何使用亚马逊AWS S3存储桶策略将访问权限限制到特定的IAM角色,以便实现精细的权限控制。解决方案的核心在于通过结合IAM策略和S3存储桶策略,使得即使拥有完整S3 API访问权限的实体也只能访问被...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Laurence 

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值