首次使用EMR时,需要使用火山引擎账号为EMR服务授权名为 ServicefRoleForEMR 和 VEECSforEMRRole服务角色,该角色允许EMR服务在配置资源或执行服务级别操作时调用其他火山引擎服务。例如,服务角色用于在EMR集群初始化中创建ECS实例。
名称(Action) | 说明 |
|---|---|
ecs:CreateInstances | 调用 CreateInstances 接口创建一台或多台云服务器实例。 |
ecs:CreateScheduledInstances | 调用 CreateScheduledInstances 接口创建云服务器实例预约单。 |
ecs:DescribeScheduledInstances | 调用 DescribeScheduledInstances 接口查询云服务器实例预约单。 |
ecs:DeleteScheduledInstance | 调用 DeleteScheduledInstance 接口删除云服务器实例预约单。 |
ecs:DescribeAvailableResource | 查询云服务器可用区资源 |
ecs:RunInstances | 调用 RunInstances 接口创建一台或多台云服务器实例。 |
ecs:DescribeInstances | 调用 DescribeInstances 接口获取实例信息。 |
ecs:StartInstance | 调用 StartInstance 接口启动一台实例。 |
ecs:StopInstance | 调用 StopInstance 接口关闭一台实例。 |
ecs:DeleteInstance | 调用 StopInstance 接口删除一台实例。 |
ecs:DeleteInstances | 调用 StopInstances 接口删除多台实例。 |
ecs:BindAssumeRole | 调用 BindAssumeRole 接口为多台实例绑定角色。 |
ecs:AssociateInstancesIamRole | 调用 AssociateInstancesIamRole 接口为多台实例绑定角色。 |
ecs:UnbindAssumeRole | 调用 UnbindAssumeRole 接口为多台实例解绑角色。 |
ecs:ListAssumeRoles | 调用 ListAssumeRoles 接口查询实例已绑定角色。 |
ecs:ModifyInstanceChargeType | 调用 ModifyInstanceChargeType 接口将指定实例的计费模式由“按量计费”变更为“包年包月计费” |
ecs:DescribeInstanceTypes | 查询实例规格列表 |
ecs:ModifyInstanceAttribute | 调用 ModifyInstanceAttribute 接口修改一台云服务器实例的信息。 |
ecs:ReplaceSystemVolume | 调用 ReplaceSystemVolume 为一台ECS实例重装系统。 |
ecs:CreateTags | 调用 CreateTags 接口为一个或多个资源添加用户标签 |
ecs:DeleteTags | 调用 DeleteTags 接口为一个或多个资源删除用户标签 |
ecs:CreateDeploymentSet | 调用 CreateDeploymentSet 接口在指定地域内创建一个部署集。 |
ecs:DescribeDeploymentSets | 调用 DescribeDeploymentSets 接口查询部署集的属性。 |
ecs:DescribeDeploymentSetSupportedInstanceTypeFamily | 调用 DescribeDeploymentSetSupportedInstanceTypeFamily 接口查询支持部署集的实例规格族。 |
ecs:DeleteDeploymentSet | 调用 DeleteDeploymentSet 接口删除一个部署集。 |
ecs:DescribeSystemEvents | 调用 DescribeSystemEvents 接口查询实例的系统事件信息。 |
ecs:ModifyInstanceSpec | 修改实例规格 |
ecs:DescribeZones | 调用 DescribeZones 接口查询一个地域下的可用区信息。 |
ecs:DescribeImages | 调用 DescribeImages 接口查询镜像信息。 |
storage_ebs:ServiceCreateVolumePreorder | 创建云盘创建预购单 |
storage_ebs:ServiceExtendVolumePreorder | 创建云盘扩容预购单 |
storage_ebs:ServiceTerminateVolumePreorder | 创建云盘退订预购单 |
storage_ebs:ListVolumeTypes | 查询云盘规格类型 |
storage_ebs:DescribeVolumes | 查询云盘属性 |
storage_ebs:InnerCreateTags | 添加云盘标签 |
storage_ebs:DeleteTag | 删除云盘标签 |
Volc_Observe:ListAlertGroup | 查看高级组 |
Volc_Observe:GetMetricData | 查询指标数据 |
vpc:AllocateEipAddress | 创建弹性公网地址 |
vpc:AssociateEipAddress | 分配弹性公网地址 |
vpc:CreateVpc | 创建Vpc |
vpc:CreateSubnet | 创建子网 |
vpc:CreateSecurityGroup | 创建安全组 |
vpc:ConvertEipAddressBillingType | 转发弹性公网地址计费类型 |
vpc:DescribeEipAddresses | 查询弹性公网地址属性 |
vpc:DescribeSecurityGroupAttributes | 查询安全组属性 |
vpc:DescribeVpcAttributes | 查询Vpc属性 |
vpc:DescribeSubnetAttributes | 查询子网属性 |
vpc:ReleaseEipAddress | 释放弹性公网地址 |
vpc:DisassociateEipAddress | 解绑弹性公网地址 |
vpc:InnerCreateEipAddressPreOrder | 创建弹性公网地址创建预购单 |
vpc:InnerConvertEipAddressBillingTypePreOrder | 创建弹性公网地址计费转换预购单 |
vpc:CreateHaVip | 创建高可用虚拟地址 |
vpc:ModifyHaVipAttributes | 修改高可用虚拟地址属性 |
vpc:DeleteHaVip | 删除高可用虚拟地址 |
vpc:AssociateHaVip | 绑定高可用虚拟地址 |
vpc:DisassociateHaVip | 解绑高可用虚拟地址 |
vpc:DescribeHaVips | 描述高可用虚拟地址 |
vpc:AuthorizeSecurityGroupIngress | 调用AuthorizeSecurityGroupIngress,为指定安全组增加一条入方向的规则。 |
vpc:RevokeSecurityGroupIngress | 调用RevokeSecurityGroupIngress,删除一条安全组入方向规则,可同时撤销安全组入方向的权限设置。 |
vpc:DescribeSecurityGroupAttribute | 查询安全组属性 |
vpc:TagResources | 调用TagResources接口,为资源添加用户标签。 |
vpc:UntagResources | 调用TagResources接口,为资源删除用户标签。 |
vpc:DescribeVpcs | 调用DescribeVpcs接口,查询满足指定条件的VPC |
vpc:DescribeSubnets | 调用DescribeSubnets,查询指定子网的列表。 |
vpc:DescribeSecurityGroups | 调用DescribeSecurityGroups,查询安全组的基本信息。 |
iam:GetUser | 查询用户信息。 |
iam:ListUsers | 获取账号内全部用户列表。 |
iam:GetGroup | 查询用户组详情。 |
iam:ListGroups | 获取用户组列表。 |
iam:GetRole | 查询角色详情 |
iam:ListRoles | 获取角色列表。 |
iam:GetPolicy | 查询策略详情。 |
iam:ListPolicies | 获取账号内的全部策略列表。 |
iam:ListProjects | 获取账号内的项目列表 |
iam:ListProjectResources | 获取项目内的资源列表 |
iam:ListProjectIdentities | 获取项目授权对象列表 |
iam:MoveProjectResource | 移动项目资源 |
iam:CreateRole | 创建角色 |
iam:ListAttachedRolePolicies | 获取角色关联权限 |
dataleap:StudioReleaseEngine | 通知dataleap集群释放 |
rds_mysql:DescribeDBInstanceConnection | 描述数据库链接 |
rds_mysql:CreateDatabase | 创建数据库 |
rds_mysql:GrantAccountPrivilege | 获取数据库账号权限 |
rds_mysql:CreateAccount | 创建数据库账号 |
rds_mysql:ListAccounts | 查询数据库账号 |
rds_mysql:ListDatabases | 查询数据库 |
rds_mysql:CreateDBInstanceIPList | 创建数据库白名单列表 |
rds_mysql:ModifyDBInstanceIPList | 修改数据库白名单列表 |
rds_mysql:DeleteDBInstanceIPList | 删除数据库白名单列表 |
rds_mysql:ModifyInstanceParams | 修改数据库属性 |
rds_mysql:ListDBInstances | 查询数据库列表 |
rds_mysql:ListDBInstanceIPLists | 查询数据库白名单列表 |
rds_mysql:DescribeDBInstance | 查询数据库实例 |
rds_mysql:DescribeDBInstanceDetail | 查询数据库实例详情 |
rds_mysql:DeleteDatabase | 删除数据库 |
rds_mysql:DeleteAccount | 删除数据库账号 |
rds_mysql:CreateAllowList | 创建数据库白名单 |
rds_mysql:DescribeAllowLists | 查询数据库白名单 |
rds_mysql:DescribeAllowListDetail | 查询数据库白名单详情 |
rds_mysql:ModifyAllowList | 修改数据库白名单 |
rds_mysql:AssociateAllowList | 管理数据库白名单 |
rds_mysql:DisassociateAllowList | 解绑数据库白名单 |
rds_mysql:DeleteAllowList | 删除数据库白名单 |
rds_mysql:UpgradeAllowListVersion | 升级数据库白名单版本 |
cfs:ListFs | 查询大数据文件存储 |
dbw:DataCloseSession | 关闭数据库会话 |
dbw:DataConnectInstance | 创建数据库会话 |
tos:GetObject | 获取桶对象 |
tos:GetObjectVersion | 获取桶对象版本 |
tos:GetBucketTagging | 获取桶标签 |
tos:PutBucketTagging | 添加桶标签 |
该角色在EMR集群创建和扩容时,自动分配给EMR集群中的每个ECS实例,以实现免密的方式访问同账号下的其他资源,如对象存储TOS、日志服务TLS等,避免在配置文件中暴露Accesskey的风险。
名称(Action) | 说明 |
|---|---|
tos:PutObject | 上传文件或文件夹对象。 |
tos:GetObject | 获取文件或文件夹对象。 |
tos:ListObjects | 查询文件列表信息。 |
tos:DeleteObject | 删除某个文件。 |
创建集群时可以指定该ECS应用角色,当前默认是VEECSforEMRRole,您也可以使用在访问控制中自定义的角色,通过给角色不同的权限策略,以限制集群访问外部资源的权限,例如,您可以进行如下操作: