Amazon EMR Serverless にジョブ実行に対するインラインのランタイムアクセス許可のサポートが追加
Amazon EMR Serverless では、クラスターやサーバーを設定、管理、スケールすることなく、オープンソースのビッグデータ分析フレームワークを簡単に実行できます。本日、ジョブ実行の送信時にインラインでアクセス許可を指定できるようになったことを発表します。これにより、マルチテナントのユースケースにおいて、ジョブ実行ごとにテナント固有のアクセス許可の範囲をきめ細かく定義できます。
EMR Serverless でジョブ実行を送信する場合、他の AWS サービスを呼び出すときにジョブ実行が引き受けることができるランタイムロールを指定できます。SaaS プロバイダーが管理する環境などのマルチテナント環境では、ジョブ実行が特定のテナントに代わって送信されることがよくあります。セキュリティと最小特権を確保するには、ランタイムロールのアクセス許可の範囲を、特定のジョブ実行におけるテナントの特定のコンテキストに限定する必要があります。これを実現するには、アクセス許可が制限されたテナントごとに個別のロールを作成する必要があります。このようなロールが増加すると、IAM のアカウント制限が押し上げられるだけでなく、管理が難しくなる場合があります。ジョブ実行を送信するときに、ランタイムロールに加えてインラインのアクセス許可ポリシーを指定できるようになりました。ジョブ実行の有効なアクセス許可は、インラインポリシーとランタイムロールの共通部分です。ジョブ実行に対するテナント固有のきめ細かなアクセス許可をインラインポリシーで定義できるため、マルチテナント環境で増え続けるロールを管理する必要がなくなるほか、テナント固有のワークロードに合わせてポリシー定義を簡単に調整できます。
この機能は、サポートされているすべての EMR リリースと、EMR Serverless が利用可能なすべての地域でご利用いただけます。詳細については、ランタイムポリシーをご覧ください。