翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# サービスとリソースへの Amazon EMR アクセス許可の IAM AWS サービスロールを設定する
<a name="emr-iam-roles"></a>

Amazon EMR およびアプリケーション (Hadoop や Spark など) は、実行時に AWS の他のリソースにアクセスしてアクションを実行するための権限が必要です。Amazon EMR 内の各クラスターは、Amazon EC2 *インスタンスプロファイル*向けの*サービスロール*およびロールが必要です。詳細については、「*IAM ユーザーガイド*」の「[IAMロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)」および「[インスタンスプロファイルの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html)」を参照してください。これらのロールにアタッチされている IAM ポリシーにより、クラスターはユーザーに代わって AWS の他のサービスとやり取りできます。

クラスターで Amazon EMR の自動スケーリングを使用する場合は、追加のロール (Auto Scaling ロール) が必要になります。EMR Notebooks を使用する場合は、EMR Notebooks AWS のサービスロールが必要です。

Amazon EMR は、各ロールのアクセス許可を決定するデフォルトのロールとデフォルトの管理ポリシーを提供します。管理ポリシーは によって作成および管理されるため AWS、サービス要件が変更されると自動的に更新されます。「*IAM ユーザーガイド*」の「[AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies.html)」を参照してください。

アカウントで初めてクラスターやノートブックを作成する場合、Amazon EMR のロールはまだありません。ロールを作成すると、IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) でロール、ロールにアタッチされたポリシー、およびポリシーで許可または拒否されるアクセス許可を確認できます。Amazon EMR で作成および使用するデフォルトのロールを指定できます。また、独自のロールを作成して、これをクラスターの作成時に個別に指定してアクセス許可をカスタマイズできます。さらに、 AWS CLIを使用してクラスターを作成するときに使用するデフォルトのロールを指定できます。詳細については、「[Amazon EMR で IAM ロールをカスタマイズする](emr-iam-roles-custom.md)」を参照してください。

## Amazon EMR にサービスロールを渡すアクセス許可のアイデンティティベースのポリシーの変更
<a name="emr-iam-roles-passrole"></a>

Amazon EMR のフルアクセス許可のデフォルトの管理ポリシーには、次を含む `iam:PassRole` セキュリティ設定が組み込まれています。
+ 特定のデフォルトの Amazon EMR ロール専用の `iam:PassRole` アクセス許可。
+ `iam:PassedToService` `elasticmapreduce.amazonaws.com`や などの指定された AWS サービスでのみポリシーを使用できるようにする 条件`ec2.amazonaws.com`。

IAM コンソールで [AmazonEMRFullAccessPolicy\_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRFullAccessPolicy_v2) および [AmazonEMRServicePolicy\_v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2) ポリシーの JSON バージョンを表示できます。v2 管理ポリシーを使用して新しいクラスターを作成することが推奨されます。

## サービスロールの概要
<a name="emr-iam-roles-summary"></a>

次の表は、Amazon EMR に関連する IAM サービスロールを簡単に参照できる一覧です。


| 関数 | デフォルトロール | 説明 | デフォルト管理ポリシー | 
| --- | --- | --- | --- | 
| [Amazon EMR のサービスロール (EMR ロール)](emr-iam-role.md) | `EMR_DefaultRole_V2` | リソースをプロビジョニングし、 AWS サービスレベルのアクションを実行するときに、Amazon EMR がユーザーに代わって他の サービスを呼び出すことを許可します。このロールは、すべてのクラスターに必須です。 | `AmazonEMRServicePolicy_v2` スポットインスタンスをリクエストするには、サービスリンクロールが必要です。このロールが存在しない場合、Amazon EMR サービスロールには、作成するためのアクセス許可が必要です。ない場合はアクセス許可エラーが発生します。スポットインスタンスをリクエストする場合は、このポリシーを更新して、このサービスにリンクされたロールの作成を許可するステートメントを含める必要があります。詳細については、「*Amazon EC2 ユーザーガイド*」の「[Amazon EMR のサービスロール (EMR ロール)](emr-iam-role.md)」および「[スポットインスタンスリクエスト向けのサービスにリンクされたロール](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/spot-requests.html#service-linked-roles-spot-instance-requests)」を参照してください。  | 
| [クラスター EC2 インスタンスのサービスロール (EC2 インスタンスプロファイル)](emr-iam-role-for-ec2.md) | `EMR_EC2_DefaultRole` | クラスターインスタンスで Hadoop エコシステム上で実行されるアプリケーションプロセスは、他の AWS サービスを呼び出すときにこのロールを使用します。EMRFS を使用して Amazon S3 のデータにアクセスする場合は、Amazon S3 のデータの場所に応じて引き受ける各種ロールを指定できます。例えば、複数のチームが単一の Amazon S3 データ「ストレージアカウント」にアクセスできます。詳細については、「[Amazon S3 への EMRFS リクエストの IAM ロールを設定する](emr-emrfs-iam-roles.md)」を参照してください。このロールは、すべてのクラスターに必須です。 | `AmazonElasticMapReduceforEC2Role`。詳細については、「[クラスター EC2 インスタンスのサービスロール (EC2 インスタンスプロファイル)](emr-iam-role-for-ec2.md)」を参照してください。 | 
| [Amazon EMR の自動スケーリングのサービスロール (Auto Scaling ロール)](emr-iam-role-automatic-scaling.md) | `EMR_AutoScaling_DefaultRole` | 動的なスケーリング環境用の追加のアクションを許可します。Amazon EMR でオートスケーリングを使用するクラスターでのみ必須です。詳細については、「[カスタムポリシーによる自動スケーリングを Amazon EMR のインスタンスグループに使用する](emr-automatic-scaling.md)」を参照してください。 | `AmazonElasticMapReduceforAutoScalingRole`。 詳細については、「」を参照してください[Amazon EMR の自動スケーリングのサービスロール (Auto Scaling ロール)](emr-iam-role-automatic-scaling.md)。 | 
| [EMR Notebooks のサービスロール](emr-managed-notebooks-service-role.md) | `EMR_Notebooks_DefaultRole` | EMR ノートブックが他の AWS リソースにアクセスしてアクションを実行するために必要なアクセス許可を提供します。EMR Notebooks を使用する場合にのみ必須です。 | `AmazonElasticMapReduceEditorsRole`。詳細については、「[EMR Notebooks のサービスロール](emr-managed-notebooks-service-role.md)」を参照してください。<br />`S3FullAccessPolicy` もデフォルトでアタッチされます。このポリシーの内容は次のとおりです。  JSON   

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "*"
      ],
      "Sid": "AllowS3"
    }
  ]
}
```     | 
| [サービスにリンクされたロール](using-service-linked-roles.md) | `AWSServiceRoleForEMRCleanup` | Amazon EMR では､サービスにリンクされたロールが自動的に作成されます。Amazon EMR のサービスが Amazon EC2 リソースをクリーンアップできなくなった場合、Amazon EMR はこのロールを使用してクリーンアップできます。クラスターでスポットインスタンスを使用している場合、[Amazon EMR のサービスロール (EMR ロール)](emr-iam-role.md) にアタッチされているアクセス許可ポリシーは、サービスにリンクされたロールの作成を許可する必要があります。詳細については、「[Amazon EMR でのサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。 | `AmazonEMRCleanupPolicy` | 

**Topics**
+ [Amazon EMR にサービスロールを渡すアクセス許可のアイデンティティベースのポリシーの変更](#emr-iam-roles-passrole)
+ [サービスロールの概要](#emr-iam-roles-summary)
+ [Amazon EMR で使用される IAM サービスロール](emr-iam-service-roles.md)
+ [Amazon EMR で IAM ロールをカスタマイズする](emr-iam-roles-custom.md)
+ [Amazon S3 への EMRFS リクエストの IAM ロールを設定する](emr-emrfs-iam-roles.md)
+ [AWS Glue Data Catalog への Amazon EMR アクセスにリソースベースのポリシーを使用する](emr-iam-roles-glue.md)
+ [AWS サービスを直接呼び出すアプリケーションで IAM ロールを使用する](emr-iam-roles-calling.md)
+ [ユーザーおよびグループによるロールの作成および変更を許可する](emr-iam-roles-create-permissions.md)