В Бессерверную конфигурацию Amazon EMR добавлена поддержка встроенных разрешений во время выполнения заданий
Бессерверная конфигурация Amazon EMR позволяет легко запускать платформы аналитики больших данных с открытым исходным кодом без настройки и масштабирования кластеров или серверов и управления ими. Сегодня мы рады объявить о поддержке встроенного указания разрешений при отправке задания. Это позволяет точно определить конкретные области разрешений для конкретного клиента каждого выполняемого задания в многопользовательских примерах использования.
При отправке задания, выполняемого в бессерверной конфигурации EMR, можно назначить ему роль среды выполнения. Эту роль задание будет использовать для вызова других сервисов AWS. В многопользовательских средах, например в средах, управляемых поставщиками SaaS, задания часто отправляются от имени конкретных клиентов. Чтобы обеспечить безопасность и наименьшие привилегии, следует ограничить полномочия роли среды выполнения конкретным контекстом клиента в рамках данного запуска задания. Для этого необходимо создать для каждого клиента отдельную роль с ограниченными разрешениями. Однако создание многочисленных ролей IAM может быстро исчерпать лимит аккаунта, а самими ролями будет трудно управлять. Теперь при отправке задания на выполнение можно указать встроенную политику разрешений в дополнение к роли среды выполнения. В результате разрешения задания будут одновременно определяться этими политикой и ролью. Для выполнения задания во встроенной политике можно определить детальные разрешения для конкретного клиента. Это устраняет необходимость управления растущим числом ролей в многопользовательских средах, а также позволяет легко адаптировать определение политики для рабочих нагрузок конкретных клиентов.
Эта функция доступна для всех поддерживаемых релизов EMR и во всех регионах, где предоставляется бессерверная конфигурация EMR. Подробнее см. в разделе Политика среды выполнения.