我在 AWS 上有一个 HDP 集群,我也有一个 s3(在其他帐户中),我的 hadoop 版本是 Hadoop 3.1.1.3.0.1.0-187
现在我想从 s3(在不同帐户中)读取并处理,然后将结果写入我的 s3(与集群相同的帐户)。
但是按照 HDP 指南Here 的说法,我只能配置我的帐户或其他帐户的一个密钥。
但在我的情况下,我想配置两个帐户密钥,那么该怎么做呢?
由于某些安全原因,其他帐户无法更改存储桶策略以添加在我的帐户中创建的 IAM 角色,因此我尝试如下访问
但是当我尝试从 spark write 访问我的帐户 s3 时仍然出现以下错误
com.amazonaws.services.s3.model.AmazonS3Exception:状态代码:400,AWS 服务:Amazon S3
【问题讨论】:
标签: amazon-web-services apache-spark amazon-s3
您需要使用 EC2 实例配置文件角色。它是附加到您的实例的 IAM 角色:https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html
您首先创建一个具有允许 s3 访问权限的角色。然后您将该角色附加到您的 HDP 集群(EC2 自动扩展组和 EMR 都可以实现)。您不需要 IAM 访问密钥配置,尽管 AWS 仍然在后台为您执行此操作。这是 s3 “出站”访问部分。
第二步,设置桶策略允许跨账户访问:https://docs.aws.amazon.com/AmazonS3/latest/dev/example-walkthroughs-managing-access-example2.html 您需要为不同账户中的每个存储桶执行此操作。这基本上是“入站”s3 访问权限部分。
如果您的任何部分访问(即您的实例配置文件角色的权限、S3 存储桶 ACL、存储桶策略、公共访问阻止设置等)在权限链中被拒绝,您将遇到 400。 “入站”端有更多层。因此,如果您不是 IAM 专家,请尝试从非常开放的政策(使用“*”通配符)开始,然后缩小范围。
【讨论】:
如果我没听错的话
HDP3 有一个默认的身份验证链,按顺序
fs.s3a.bucket.NAME.access.key, fs.s3a.bucket.NAME.secret.key
fs.s3a.access.key, fs.s3a.secret.key
AWS_ACCESS_KEY 和AWS_SECRET_KEY
您需要在这里尝试的是仅为外部源(在 core-site.xml 的所有节点上的 JCEKS 文件中,或在 spark 默认值中)设置一些每个存储桶的机密。例如,如果外部桶是s3a://external,你会有
spark.hadoop.fs.s3a.bucket.external.access.key AKAISOMETHING spark.hadoop.fs.s3a.bucket.external.secret.key SECRETSOMETHING
HDP3/Hadoop 3 可以毫无问题地处理同一个 JCEKS 文件中的 >1 个密钥。 HADOOP-14507。我的代码。旧版本允许您将 username:secret 放在 URI 中,但这是一个安全问题(所有内容都会记录这些 URI,因为它们不被视为敏感),该功能现在已从 Hadoop 中删除。坚持使用每个存储桶秘密的 JCEKs 文件,为您自己的数据回退到 IAM 角色
请注意,您可以修改身份验证列表以进行排序和行为:如果您添加使用 TemporaryAWSCredentialsProvider,那么它也将支持会话密钥,这通常很方便。
<property>
<name>fs.s3a.aws.credentials.provider</name>
<value>
org.apache.hadoop.fs.s3a.TemporaryAWSCredentialsProvider,
org.apache.hadoop.fs.s3a.SimpleAWSCredentialsProvider,
com.amazonaws.auth.EnvironmentVariableCredentialsProvider,
org.apache.hadoop.fs.s3a.auth.IAMInstanceCredentialsProvider
</value>
</property>
【讨论】: