EMR 3.32之后版本和EMR 4.5之后版本,将Metaservice服务替换为ECS应用角色,在EMR集群创建和扩容时自动分配给EMR集群中的每个ECS实例。在EMR集群之上运行的应用程序通过该角色来获得与其他云服务交互的权限,实现以免AccessKey的方式访问阿里云资源,避免了在配置文件中暴露AccessKey的风险。
前提条件
权限内容
默认角色AliyunECSInstanceForEMRRole包含系统权限策略为AliyunECSInstanceForEMRRolePolicy,OSS相关权限内容如下。
| 权限名称(Action) | 权限说明 |
|---|---|
| oss:PutObject | 上传文件或文件夹对象。 |
| oss:GetObject | 获取文件或文件夹对象。 |
| oss:ListObjects | 查询文件列表信息。 |
| oss:DeleteObject | 删除某个文件。 |
| oss:AbortMultipartUpload | 终止MultipartUpload事件。 |
注意 请谨慎编辑和删除默认角色AliyunEmrEcsDefaultRole,否则会造成集群创建失败或作业运行失败。
使用ECS应用角色获取临时凭证
基于STS临时凭证可以获取本账号下其他云资源的访问权限,详情请参见使用实例RAM角色访问其他云产品。