本文介绍在E-MapReduce控制台上,通过创建集群时在基础配置页面的高级设置区域设置ECS应用角色,实现以免密的方式访问同账号下的其它资源。例如,对象存储OSS和日志服务SLS。

背景信息

您在创建集群时可以使用自定义的角色,通过给该角色不同的权限策略,以限制集群访问外部资源的权限。例如,您可以进行如下操作:
  • 指定集群只能访问指定OSS的数据目录。
  • 指定集群访问指定的外部资源。

前提条件

操作流程

  1. 步骤一:新建权限策略
  2. 步骤二:创建RAM角色
  3. 步骤三:创建集群并访问外部资源

步骤一:新建权限策略

  1. 进入新建自定义权限策略页面。
    1. 使用云账号登录RAM控制台
    2. 在RAM访问控制页面,选择权限管理 > 权限策略
    3. 权限策略页面,单击创建权限策略
  2. 新建自定义权限策略页面,配置以下信息。
    参数 描述
    策略名称 本示例为test-emr。
    配置模式 选择脚本配置
    策略内容 添加如下策略。
    {
        "Version": "1",
        "Statement": [
            {
                "Action": [
                    "oss:GetObject",
                    "oss:ListObjects"
                ],
                "Resource": [
                    "acs:oss:*:*:emr-logs2",
                    "acs:oss:*:*:emr-logs2/*"
                ],
                "Effect": "Allow"
            }
        ]
    }
    说明 策略中涉及的元素如下所示:
    • Action:是指对具体资源的操作。本示例是OSS的读取和查询目录的权限。
    • Resource:是指被授权的具体对象。本示例是访问test-emr的OSS Bucket及其中的内容。
    更多权限策略的基本元素,请参见权限策略基本元素
  3. 单击确定

步骤二:创建RAM角色

  1. 在RAM访问控制页面,选择身份管理 > 角色
  2. 角色页面,单击创建角色
  3. 创建RAM角色。
    1. 单击阿里云服务
    2. 单击下一步
    3. 配置角色面板,配置以下信息。
      参数 描述
      角色名称 本示例为test-emr。
      选择授信服务 选择云服务器
    4. 单击完成