IAM 역할을 임시로 사용

Question

EC2 및 EMR에서 IAM 역할을 사용하는 데 관한 질문이 있습니다. 여기 내 현재 설치 :

특정 IAM 역할 (이 역할을 '관리자'라고 부름)로 시작한 EC2 시스템이 있습니다. 내 워크 플로는이 컴퓨터에서 S3에 파일을 업로드 한 다음 특정 IAM 역할 ('러너'역할)이있는 EMR 클러스터를 만드는 것입니다. EMR 클러스터는 관리 컴퓨터에서 S3에 업로드 된 파일에서 작동합니다. 관리자는 모든 AWS 서비스의 모든 API에 대한 권한을 가진 역할입니다. Runner는 EMR, EC2 및 S3의 모든 API에 액세스 할 수 있습니다.

EMR 클러스터가 어떤 이유로 S3에로드 된 입력 파일에 액세스 할 수 없습니다. s3에서 '액세스 거부'예외가 계속 발생합니다.

하나의 IAM 역할에서 s3에 쓰고 다른 IAM 역할에서 읽는 것이 문제의 원인입니다.

여기에 무엇이 잘못되었거나 이것이 심지어 지원되는 유스 케이스인지에 대한 아이디어가 있으면 감사하겠습니다.

감사합니다. 나는에 링크 된 포스트에서 볼 수 있듯이

Answer 1

http://blogs.aws.amazon.com/security/post/TxPOJBY6FE360K/IAM-policies-and-Bucket-Policies-and-ACLs-Oh-My-Controlling-Access-to-S3-Resourc

S3 객체는 세 가지 방법으로 보호됩니다.

1. IAM 역할에는 S3 개체를 읽을 수있는 권한이 필요합니다.
2. S3 버킷 정책은 개체에 대한 IAM 역할 액세스를 허용해야합니다.
3. 특정 개체의 S3 ACL은 해당 개체에 대한 IAM 역할 액세스도 허용해야합니다.