IAM角色到期时:
- 当您需要IAM角色更长时间时,IAM角色过期的逻辑是什么。我真的看不见
- 在处理时,如何在没有严重故障的情况下获得IAM角色的扩展?
- 我参加了IAM课程,但觉得这个问题没有得到很好的解决
- 例如,用于跨账户访问的大规模长期运行的AWS EMR Spark数据管道?
- 如果Spark数据管道已经完成了从S3读取的阶段,并且该角色过期,那么如果您随后不保存到S3,这可能无关紧要
EMR中使用的实例角色会自动续订:
应用程序通过与角色关联的安全凭据被授予您为角色定义的操作和资源的权限。这些安全凭据是临时的,我们会自动轮换它们。我们在旧凭据到期前至少五分钟提供新凭据。
在AWS SDK中查找com.amazonaws.auth.InstanceProfileCredentialsProvider;这是由客户端调用以获取IAM凭据的。它生成一个线程com.amazonaws.auth.EC2CredentialsFetcher,该线程向提供这些详细信息的特殊169.x.x.x HTTP服务器进行HTTP请求。每个创建s3客户端(或s3a,在ASF构建中(的spark工作人员都将实例化InstanceProfileCredentialsProvider,之后所有东西都将"实例化";只是工作;
IAM角色过去总是在1小时后过期;任何持续65分钟以上的作业都会触发刷新。
试试看。