服务(相关)角色是由腾讯云服务预定义,经用户授权后弹性 MapReduce (简称:EMR)即可通过扮演服务相关角色对用户资源进行访问操作。本文档介绍具体服务相关角色的使用场景及授权流程。
默认服务角色授权(必选)
使用 EMR 产品服务时需要访问云上 CVM、CBS、TencentDB 等服务,在首次进行产品购买时需要授权创建默认服务角色 EMR_QCSRole。当该角色授予成功后,弹性 MapReduce 才能调用相关服务(TKE、COS 等)创建集群和保存日志等。
注意
首次开通弹性 MapReduce 服务时,必须使用主账号或具有 QcloudCamRoleFullAccess 权限的协作者以及子用户完成角色授权流程,否则子账号和主账号均不能使用弹性 MapReduce。
角色授权流程
1. 当用户创建集群或创建按需执行计划时,若为 EMR 服务授予 EMR_QCSRole 角色失败,会有如下提示。可单击前往访问管理,进行角色授权。
2. 单击同意授权,会自动创建服务角色 EMR_QCSRole 并关联相关策略。
3. 授权完成后,用户需刷新弹性 MapReduce 的控制台或购买页,刷新后即可正常操作。更多 EMR_QCSRole 相关的详细策略信息,可登录 访问管理控制台 查看。
COS 访问角色授权(可选)
在创建或使用 EMR 集群时,若需要对 COS(对象存储)进行数据的直接写入或计算,为保证数据安全需要授予 EMR 通过临时密钥方式对 COS 资源进行读写,需要授权创建 EMR 服务相关角色 EMR_QCSLinkedRoleInApplicationDataAccess 绑定 QcloudAccessForEMRLinkedRoleInApplicationDataAccess 预设策略。
COS 桶访问授权特别说明:
1. 自2023年8月20日新增用户或存量用户修改授权策略,账号COS权限默认授权服务相关角色EMR_QCSLinkedRoleInApplicationDataAcces。
2. 存量用户当前授权策略为服务角色 EMR_QCSRole 中绑定 QcloudAccessForEMRRoleInApplicationDataAccess 策略。若需使用服务相关角色,请授权并在集群实例信息页集群COS服务角色手动绑定 EMR_QCSLinkedRoleInApplicationDataAccess 服务相关角色。
3. 当服务相关角色和服务角色均已授权时,默认使用服务相关角色,集群实例信息授权策略中,对象存储显示已授权,且集群 COS 服务角色回显展示 EMR_QCSLinkedRoleInApplicationDataAccess 角色。
角色授权流程
1. 在集群列表页面单击需要管理的集群 ID/名称,进入实例信息页面,会检查是否绑定 EMR 服务相关角色 EMR_QCSLinkedRoleInApplicationDataAccess。
2. 若不存在 EMR 服务相关角色 EMR_QCSLinkedRoleInApplicationDataAccess ,会提示当前集群未授权账号COS权限,可单击授权进行授权绑定。
3. 授权完成后,用户需刷新弹性 MapReduce 的控制台或购买页,刷新后即可正常操作。
4. 更多 EMR_QCSLinkedRoleInApplicationDataAccess 相关的详细策略信息参见 服务相关角色 。
自定义集群 COS 服务角色授权(可选)
系统默认使用 EMR服务相关角色 EMR_QCSLinkedRoleInApplicationDataAccess 访问对象存储(COS)资源,若需要精细化指定集群访问对应的 COS 资源权限,用户可根据需要设置自定义服务角色。
说明:
集群 COS 服务角色默认回显展示当前已绑定的角色身份,且当前集群使用该角色身份对 COS 资源进行读写。
自定义权限策略流程
1. 登录 访问管理控制台,单击新建自定义策略,在弹出的“选择创建策略方式”页面中选择按策略语法创建。
2. 在“按策略语法创建”页面,选择模板类型为空白模板。
3. 设置语法策略如下:
{"version": "2.0","statement": [{"action": "cos:*","effect": "allow","resource": "qcs::cos::uid/appId:bucketName/*"}]}
其中 appId 为主账号 AppID,bucketName 为想要授权的 bucket 名称。生成一个名为 TestPolicy 的策略,客户可自定义该名称。
创建自定义角色流程
1. 在 访问管理控制台,单击新建角色,在弹出的“选择角色载体”页面中选择腾讯云产品服务,进入“新建自定义角色”页面,选择产品服务为“弹性 MapReduce (emr)”。
2. 绑定步骤1中生成的策略,此处为 TestPolicy,客户可根据想要授权的策略进行绑定。
3. 标记角色的标签键和标签值,单击下一步。
4. 生成名称为 EMRCosRole 的自定义角色,客户可自定义该名称。
绑定角色到 EMR 集群流程
在 EMR 控制台 中选中对应的集群,单击集群 ID/名称进入实例详情,在实例信息 > 基础配置 > 自定义服务角色中,单击设置。设置“自定义服务角色为”步骤2中生成的自定义角色,此处为 EMRCosRole,用户可自定义该名称。
说明:
1. 请确保集群 COS 服务角色中绑定的自定义服务角色包含访问 COS 具体操作权限,若绑定角色未包含访问 COS 的具体操作权限,将无法访问 COS 。
2. 查询自定义服务角色或修改自定义服务角色中预设权限策略可前往访问管理。
