本文介绍在E-MapReduce控制台上,通过创建集群时在高级设置区域设置ECS应用角色,实现以免密的方式访问同账号下的其他资源,例如对象存储OSS和日志服务SLS。
背景信息
您在创建集群时可以使用自定义的角色,通过给该角色不同的权限策略,以限制集群访问外部资源的权限。例如,您可以进行如下操作:
- 指定集群只能访问指定OSS的数据目录。
- 指定集群访问指定的外部资源。
EMR默认角色为AliyunEmrEcsDefaultRole,详情请参见基于MetaService免AccessKey访问阿里云资源。
操作流程
步骤一:新建权限策略
步骤二:创建RAM角色
- 使用云账号登录RAM控制台。
- 创建RAM角色。
- 修改授信服务。
- 添加相应权限。
- 在RAM角色管理页面,单击刚创建的RAM角色名称所在行的添加权限。
- 在添加权限页面,单击自定义策略,添加新建的权限策略。
- 单击确定。
- 单击完成。
步骤三:创建集群并访问外部资源
常见问题
- Q:创建集群时提示NoPermission。
A:您可以参照如下方式排查解决。
- 您创建集群使用的用户是否有创建集群和更换ECS应用角色的权限,如果该RAM用户权限为AliyunEMRDevelopAccess可以修改为AliyunEMRFullAccess。
- 创建集群时ECS应用角色名称是否填写正确。
- 授信策略是否修改为emr.aliyuncs.com。
- Q:HDFS无法访问OSS路径A:您可以参照如下方式排查解决。
- 确认访问的OSS Bucket是否和集群在一个地域(Region),如果不在同一地域(Region),在访问链接中需要添加相应的Endpoint。
- 确认访问的OSS Bucket是否包含在新建的权限策略中,如果没有,需要修改权限策略。
- 确认是否在OSS控制台上设置了该Bucket的相关权限。如果设置了相关权限,您可以在OSS控制台上取消相关权限的设置,通过设置权限策略中的Action内容来设置相关权限。
在文档使用中是否遇到以下问题
更多建议
匿名提交