Minimale AWS-beleidsvereisten voor het uitvoeren van een EMR-taak

Ik zou graag een Elastic Mapreduce gebruiken voor gegevens uit de S3-bucket com.test.mybucket , met behulp van het MRJob Python-framework. Ik heb echter veel andere gegevens in S3 en andere EC2-instanties die ik niet wil aanraken. Wat is de minimaal mogelijke reeks toegangsreferenties die een AWS-gebruiker nodig heeft om een ​​volledige taak uit te voeren?

2

1 antwoord

Hier is een voorbeeld:

{
    "Statement": [
        {
            "Action": [
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::com.test.mybucket*"
            ],
            "Effect": "Allow",
            "Sid": "Stmt1320976936189"
        },
        {
            "Action": [
                "elasticmapreduce:*"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow",
            "Sid": "Stmt1322766641851"
        },
        {
            "Action": [
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CancelSpotInstanceRequests",
                "ec2:CreateSecurityGroup",
                "ec2:CreateTags",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeInstances",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSpotInstanceRequests",
                "ec2:ModifyImageAttribute",
                "ec2:ModifyInstanceAttribute",
                "ec2:RequestSpotInstances",
                "ec2:RunInstances",
                "ec2:TerminateInstances"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow",
            "Sid": "Stmt1323200725902"
        }
    ]
}

See also http://docs.amazonwebservices.com/ElasticMapReduce/latest/DeveloperGuide/index.html?environmentconfig_iam.html#ec2-iam-policies

1
toegevoegd