Amazon EMR Serverless bietet Unterstützung für Inline-Laufzeitberechtigungen für Auftragsläufe
Mit Amazon EMR Serverless lassen sich Open-Source-Frameworks für die Big-Data-Analytik ganz einfach ausführen, ohne dass Cluster oder Server konfiguriert, verwaltet und skaliert werden müssen. Heute freuen wir uns, die Unterstützung für die Angabe von Berechtigungen inline beim Einreichen eines Auftragslaufs bekannt zu geben. So können Sie für Anwendungsfälle mit mehreren Mandanten detaillierte, mandantenspezifische Berechtigungsbereiche pro Auftragsläufe definieren.
Wenn Sie einen Auftrag einreichen, der auf EMR Serverless ausgeführt wird, können Sie eine Laufzeitrolle angeben, die der Auftrag beim Aufrufen anderer AWS-Services annehmen kann. In Umgebungen mit mehreren Mandanten, z. B. solchen, die von SaaS-Anbietern verwaltet werden, werden Auftragsläufe häufig im Namen bestimmter Mandanten eingereicht. Um die Sicherheit und die geringsten Berechtigungen zu gewährleisten, ist es notwendig, die Berechtigungen der Laufzeitrolle auf den spezifischen Kontext eines Mandanten für eine bestimmte Jobausführung zu beschränken. Um dies zu erreichen, müssen Sie für jeden Mandanten mit eingeschränkten Berechtigungen eine separate Rolle erstellen. Die Zunahme solcher Rollen kann die Kontolimits von IAM überschreiten und die Verwaltung erschwerend werden. Jetzt können Sie zusätzlich zur Laufzeitrolle eine Inline-Berechtigungsrichtlinie angeben, wenn Sie einen Auftragslauf einreichen. Die effektiven Berechtigungen für einen Auftragslauf sind die Schnittstelle zwischen der Inline-Richtlinie und der Laufzeitrolle. Sie können detaillierte, mandantenspezifische Berechtigungen für einen Auftragslauf in der Inline-Richtlinie definieren, wodurch die Verwaltung einer wachsenden Anzahl von Rollen in mandantenfähigen Umgebungen entfällt und die Richtliniendefinition für mandantenspezifische Workloads einfach angepasst werden kann.
Diese Funktion ist für alle unterstützten EMR-Versionen und in allen Regionen verfügbar, in denen EMR Serverless verfügbar ist. Weitere Informationen finden Sie in der Laufzeit-Richtlinie.