阿里云账号角色授权

阿里云E-MapReduce服务(EMR on ECS)在运行时需要具备访问其他阿里云资源及执行相关操作的权限。本文将为您介绍首次使用E-MapReduce服务时,阿里云账号需同意系统自动创建E-MapReduce服务所需的默认角色。

背景信息

阿里云E-MapReduce为阿里云账号提供默认角色和默认权限策略。权限策略由阿里云创建和维护,因此如果服务要求发生变化,策略会自动更新。

首次使用E-MapReduce服务时,您需要使用阿里云账号为E-MapReduce服务授权名为AliyunEMRDefaultRole、AliyunECSInstanceForEMRRole或AliyunEmrEcsDefaultRole的服务角色。授权成功后,您可以在RAM控制台上查看角色,并为角色挂载策略。角色详细信息,请参见RAM角色概览

重要
  • E-MapReduce不同版本需要授权的服务角色名称不同:

    • EMR-3.32.0及之前版本和EMR-4.5.0及之前版本:AliyunEmrEcsDefaultRole

    • EMR-3.32.0之后版本和EMR-4.5.0之后版本:AliyunECSInstanceForEMRRole

  • 首次使用E-MapReduce服务时,用户必须通过阿里云账号或RAM管理员用户完成默认角色授权。否则,RAM用户和阿里云账号将无法使用E-MapReduce服务。

  • 如果删除服务角色,请确保使用该角色的资源已经释放,否则会影响资源的正常使用。

  • 如果只授权了部分角色,E-MapReduce控制台会提醒授权,只有在全部角色授权完成之后才可以创建集群。

授权流程

  1. 使用阿里云账号登录E-MapReduce控制台

  2. 依赖检测页面单击去授权

    image

  3. 云资源访问授权页面,单击页面下方的同意授权

  4. 在RAM访问控制页面查看系统创建成功的角色。

    image

默认角色

下表列出了与E-MapReduce关联的默认角色。

属性

默认角色

描述

系统策略

EMR服务角色

AliyunEMRDefaultRole

允许E-MapReduce服务在配置资源和执行服务级别操作时调用其他阿里云服务。所有集群都需要该角色,且不能更改。

详情请参见EMR服务角色

AliyunEMRRolePolicy

AliyunEMRManagedCostRole 

首次使用弹性成本分析功能时会使用该角色。该角色可以查看您在账单管理中的账单详情。

AliyunEMRManagedCostRolePolicy

ECS应用角色(EMR 3.32及之前版本和EMR 4.5及之前版本)

AliyunEmrEcsDefaultRole

集群实例上运行的应用程序进程在调用其他阿里云服务时将使用该角色。在创建集群时既可以使用该服务角色,也可以使用自定义的角色。

AliyunEmrEcsDefaultRole角色,详情请参见ECS应用角色(EMR 3.32及之前版本和EMR 4.5及之前版本)

AliyunEMRECSRolePolicy

ECS应用角色(EMR 3.32之后版本和EMR 4.5之后版本)

AliyunECSInstanceForEMRRole

集群实例上运行的应用程序进程在调用其他阿里云服务时将使用该角色。在创建集群时既可以使用该服务角色,也可以使用自定义的角色。

AliyunECSInstanceForEMRRole角色,详情请参见ECS应用角色(EMR 3.32之后、EMR 4.5之后版本以及EMR 5.x系列版本)

AliyunECSInstanceForEMRRolePolicy

ECS应用角色(EMR Studio默认使用)

AliyunECSInstanceForEMRStudioRole

EMR Studio使用此角色来访问您在其他云产品中的资源。

当您的账号未授权该角色,首次创建EMR Studio集群时会弹出授权该角色窗口,请使用阿里云账号授权该角色。

AliyunECSInstanceForEMRStudioRolePolicy

后续操作

您已成功完成阿里云账号角色授权了,可以创建集群以使用E-MapReduce服务。建议您创建RAM用户管理E-MapReduce服务,请参见创建RAM用户为RAM用户授权,创建具备协作开发权限的RAM用户(子账号)并赋予必要权限。