Designer Cloud und EMR serverlos in AWS
Befolgen Sie diese Anleitung, um das Designer Cloud-Modul für die Verarbeitung personenbezogener Daten in AWS bereitzustellen.
Voraussetzung
Bevor Sie das Designer Cloud-Modul bereitstellen, müssen Sie die folgenden Schritte auf der AWS-Konto und VPC für private Daten einrichten-Seite ausführen...
Die für Alteryx One Platform dedizierte VPC wurde wie beschrieben im Abschnitt VPC erstellen konfiguriert.
Dem Dienstkonto angehängtes Dienstkonto und Basis-IAM-Richtlinie, wie im Abschnitt IAM konfigurieren beschrieben.
Lösen Sie die Bereitstellung der Verarbeitung privater Daten aus, wie im Abschnitt Bereitstellung der Handhabung privater Daten auslösen beschrieben.
Kontoeinrichtung
Schritt 1: IAM konfigurieren
Schritt 1a: Designer Cloud-IAM-Richtlinie erstellen
Anmerkung
AAC_DesignerCloud_SA_Policy ist ein Beispiel für einen Richtliniennamen. Sie können einen beliebigen Namen für die Richtlinie wählen, der Name muss jedoch mit AAC_DesignerCloud beginnen.
Sie müssen eine benutzerdefinierte IAM-Richtlinie erstellen. Nennen Sie sie AAC_DesignerCloud_SA_Policy und verwenden Sie das folgende Richtliniendokument. Wir empfehlen, die JSON-Registerkarte anstelle des visuellen Editors zu verwenden. Alteryx One erfordert einige -Berechtigungen für die Ausführung. Beim Erstellen der Richtlinie werden einige Sicherheitswarnungen angezeigt.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEqualsIfExists": {
"iam:PassedToService": [
"ec2.amazonaws.com",
"ec2.amazonaws.com.cn"
]
}
}
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"eks:*",
"iam:CreateServiceLinkedRole",
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey",
"kms:Encrypt",
"kms:GetKeyPolicy",
"kms:GetKeyRotationStatus",
"kms:ListGrants",
"kms:ListResourceTags",
"kms:ListRetirableGrants",
"kms:PutKeyPolicy",
"kms:RetireGrant",
"kms:RevokeGrant",
"kms:ScheduleKeyDeletion",
"kms:TagResource",
"kms:UntagResource"
],
"Resource": [
"arn:aws:eks:*:*:addon/*/*/*",
"arn:aws:eks:*:*:cluster/*",
"arn:aws:eks:*:*:nodegroup/*/*/*",
"arn:aws:eks:*:*:identityproviderconfig/*/*/*/*",
"arn:aws:eks:*:*:access-entry/*/*/*",
"arn:aws:kms:*:*:key/*",
"arn:aws:iam::*:role/*"
]
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateOpenIDConnectProvider",
"iam:CreatePolicy",
"iam:CreatePolicyVersion",
"iam:CreateRole",
"iam:DeleteOpenIDConnectProvider",
"iam:DeletePolicy",
"iam:DeletePolicyVersion",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:GetOpenIDConnectProvider",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetUser",
"iam:GetUserPolicy",
"iam:ListAttachedRolePolicies",
"iam:ListAttachedUserPolicies",
"iam:ListGroupsForUser",
"iam:ListInstanceProfilesForRole",
"iam:ListPolicyTags",
"iam:ListPolicyVersions",
"iam:ListRolePolicies",
"iam:PassRole",
"iam:PutRolePolicy",
"iam:TagOpenIDConnectProvider",
"iam:TagPolicy",
"iam:TagRole",
"iam:UntagOpenIDConnectProvider",
"iam:UntagPolicy",
"iam:UntagRole",
"iam:UpdateOpenIDConnectProviderThumbprint",
"iam:UpdateRole",
"iam:UpdateAssumeRolePolicy"
],
"Resource": [
"arn:aws:iam::*:policy/*",
"arn:aws:iam::*:oidc-provider/*",
"arn:aws:iam::*:user/*",
"arn:aws:iam::*:role/*"
]
},
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": [
"autoscaling:*",
"ec2:*",
"eks:CreateCluster",
"eks:ListClusters",
"eks:DescribeAddonVersions",
"elasticloadbalancing:*",
"iam:GetAccountName",
"iam:ListAccountAliases",
"iam:ListRoles",
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:GetInstanceProfile",
"iam:TagInstanceProfile",
"iam:UntagInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:AddRoleToInstanceProfile",
"kms:CreateKey",
"logs:CreateLogGroup",
"logs:DeleteLogGroup",
"logs:DescribeLogGroups",
"logs:ListTagsLogGroup",
"logs:PutRetentionPolicy",
"logs:TagResource",
"logs:UntagResource",
"logs:TagLogGroup",
"logs:UntagLogGroup",
"logs:ListTagsForResource",
"networkmanager:Describe*",
"networkmanager:Get*",
"networkmanager:List*",
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:DeleteBucketPolicy",
"s3:DeleteBucketWebsite",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:DeleteObjectVersionTagging",
"s3:GetAccelerateConfiguration",
"s3:GetBucketAcl",
"s3:GetBucketCORS",
"s3:GetBucketLocation",
"s3:GetBucketLogging",
"s3:GetBucketObjectLockConfiguration",
"s3:GetBucketOwnershipControls",
"s3:GetBucketPolicy",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketRequestPayment",
"s3:GetBucketTagging",
"s3:GetBucketVersioning",
"s3:GetBucketWebsite",
"s3:GetEncryptionConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectVersion",
"s3:GetObjectVersionAcl",
"s3:GetObjectVersionAttributes",
"s3:GetObjectVersionForReplication",
"s3:GetObjectVersionTagging",
"s3:GetObjectVersionTorrent",
"s3:GetReplicationConfiguration",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketVersions",
"s3:PutAccelerateConfiguration",
"s3:PutBucketAcl",
"s3:PutBucketCORS",
"s3:PutBucketLogging",
"s3:PutBucketObjectLockConfiguration",
"s3:PutBucketOwnershipControls",
"s3:PutBucketPolicy",
"s3:PutBucketPublicAccessBlock",
"s3:PutBucketRequestPayment",
"s3:PutBucketTagging",
"s3:PutBucketVersioning",
"s3:PutBucketWebsite",
"s3:PutEncryptionConfiguration",
"s3:PutLifecycleConfiguration",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectVersionAcl",
"s3:PutObjectVersionTagging",
"sts:GetCallerIdentity",
"memorydb:CreateSubnetGroup",
"memorydb:CreateUser",
"memorydb:CreateAcl",
"memorydb:CreateCluster",
"memorydb:TagResource",
"memorydb:DescribeSubnetGroups",
"memorydb:DescribeUsers",
"memorydb:DescribeACLs",
"memorydb:DescribeClusters",
"memorydb:ListTags",
"memorydb:DeleteUser",
"memorydb:DeleteSubnetGroup",
"memorydb:DeleteAcl",
"memorydb:DeleteCluster",
"memorydb:UpdateAcl",
"memorydb:UpdateCluster",
"memorydb:UpdateSubnetGroup",
"memorydb:UpdateUser"
],
"Resource": "*"
},
{
"Sid": "VisualEditor4",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": "arn:aws:secretsmanager:*:*:secret:*"
}
]
}Schritt 1b: IAM-Richtlinie taggen
Versehen Sie die in Schritt 1a erstellte benutzerdefinierte IAM-Richtlinie mit Tags.
Tag-Name | Wert |
|---|---|
AACResource | aac_sa_custom_policy |
Schritt 1c: IAM-Richtlinie anhängen
Verbinden Sie die IAM-Richtlinie AAC_DesignerCloud_SA_Policy mit dem auf der Seite AWS-Konto und VPC für private Daten einrichten erstellten aac_automation_sa-Dienstkonto.
Schritt 2: Subnetz konfigurieren
Anmerkung
Designer Cloud teilt eine Subnetzkonfiguration mit Machine Learning, Auto Insights und App Builder. Wenn Sie mehr als eine dieser Anwendungen bereitstellen, müssen Sie die Subnetze nur einmal konfigurieren.
Designer Cloud in einer Umgebung zur Verarbeitung privater Daten erfordert bis zu fünf Subnetzgruppe. Jede Gruppe enthält drei einzelne Subnetze, die jeweils in einer anderen Verfügbarkeitszone liegen.
eks_control-Gruppe (erforderlich): Die EKS-Steuerungsebene verwendet dieses Subnetz, um eingehende Auftragsausführungsanforderungen zu akzeptieren.
eks_node-Gruppe (erforderlich): Der EKS-Cluster verwendet dieses Subnetz zur Ausführung von Alteryx Softwareaufträgen (z. B. Konnektivität, Konvertierung, Verarbeitung und Veröffentlichung).
public-Gruppe (erforderlich): Diese Gruppe führt keine Dienste aus, aber die
eks_node-Gruppe verwendet sie für den ausgehenden Datenverkehr aus dem Cluster.private-Gruppe (erforderlich): Diese Gruppe führt private Dienste für die Verarbeitung privater Daten aus.
option-Gruppe (optional): Verwenden Sie diese Gruppe, wenn Sie EMR-Verarbeitung in Ihrer privaten Datenverarbeitungsumgebung aktivieren. EMR-Dienste werden nicht im Cluster ausgeführt, aber der IP-Bereich ist für die Interaktion mit den serverlosen AWS-EMR-Endpunkten erforderlich.
Schritt 2a: Subnetze in der VPC erstellen
Konfigurieren Sie Subnetze in der aac-vpc-VPC.
Erstellen Sie Subnetze und taggen Sie sie gemäß dem folgenden Beispiel. Sie können die CIDRs und Subnetzwerte an Ihre Netzwerkarchitektur anpassen.
Die großen Adressräume sind für eine vollständig skaliertes Cluster ausgelegt. Sie können bei Bedarf einen kleineren Adressenspeicher wählen, was aber bei hohen Verarbeitungslasten zu Skalierungsproblemen führen könnte.
Wichtig
Sie müssen Subnetze mit Tag-Name und Tag-Wert, wie in der Tabelle angegeben, taggen.
CIDRs | Subnetzname | Subnetz | AZ | Tag-Name | Tag-Wert | Hinweis |
|---|---|---|---|---|---|---|
10.64.0.0/18 | eks_node | 10.64.0.0/21 | AZa | AACSubnet | eks_node | |
eks_node | 10.64.8.0/21 | AZb | AACSubnet | eks_node | ||
eks_node | 10.64.16.0/21 | AZc | AACSubnet | eks_node | ||
10.64.24.0/21 | ERSATZTEIL | |||||
10.64.32.0/19 | ERSATZTEIL (kann später für blaues/grünes Upgrade konfiguriert werden) | |||||
10.10.0.0/21 | eks_control | 10.10.0.0/27 | AZa | AACSubnet | eks_control | |
eks_control | 10.10.0.32/27 | AZb | AACSubnet | eks_control | ||
eks_control | 10.10.0.64/27 | AZc | AACSubnet | eks_control | ||
10.10.0.96/27 | ERSATZTEIL | |||||
öffentlich | 10.10.0.128/27 | AZa | AACSubnet | öffentlich | ||
öffentlich | 10.10.0.160/27 | AZb | AACSubnet | öffentlich | ||
öffentlich | 10.10.0.192/27 | AZc | AACSubnet | öffentlich | ||
10.10.0.224/27 | ERSATZTEIL | |||||
privat | 10.10.1.0/25 | AZa | AACSubnet | privat | ||
privat | 10.10.1.128/25 | AZb | AACSubnet | privat | ||
privat | 10.10.2.0/25 | AZc | AACSubnet | privat | ||
10.10.1.128/25 | ERSATZTEIL | |||||
Option | 10.10.4.0/24 | AZa | AACSubnet | Option | ||
Option | 10.10.5.0/24 | AZa | AACSubnet | Option | ||
Option | 10.10.6.0/24 | AZa | AACSubnet | Option | ||
10.10.7.0/24 | ERSATZTEIL |
Schritt 2b: Subnetzroutentabellen
Erstellen Sie die Routentabelle für Ihre Subnetze.
Anmerkung
Diese Routentabelle dient als Beispiel.
Subnetzname | Routenziel | Ziel | Kommentare |
|---|---|---|---|
eks_node | /18 CIDR-Block /21 CIDR-Block <S3 prefix id> 0.0.0.0/0 | Lokal Lokal <vpce endpoint id> <gateway-id> | Konfigurieren Sie die gleichen Routen für alle drei AZs-Subnetz-Routentabellen. |
eks_control | /18 CIDR-Block /21 CIDR-Block <S3 prefix id> 0.0.0.0/0 | Lokal Lokal <vpce endpoint id> <gateway-id> | Konfigurieren Sie die gleichen Routen für alle drei AZs-Subnetz-Routentabellen. |
öffentlich | /18 CIDR-Block /21 CIDR-Block 0.0.0.0/0 | Lokal Lokal <gateway-id> | Konfigurieren Sie die gleichen Routen für alle drei AZs-Subnetz-Routentabellen. |
privat | /18 CIDR-Block /21 CIDR-Block <S3 prefix id> 0.0.0.0/0 | Lokal Lokal <vpce endpoint id> <gateway-id> | Konfigurieren Sie die gleichen Routen für alle drei AZs-Subnetz-Routentabellen. 0.0.0.0/0 sollte auf das öffentliche Netzwerk ausgedehnt werden. |
Option | /18 CIDR-Block /21 CIDR-Block <S3 prefix id> 0.0.0.0/0 | lokal lokal <vpce endpoint id> <gateway-id> | Konfigurieren Sie die gleichen Routen für alle drei AZs-Subnetz-Routentabellen. 0.0.0.0/0 sollte auf das öffentliche Netzwerk ausgedehnt werden. |
Anmerkung
Ihr <gateway id> könnte je nach Netzwerkarchitektur entweder ein pro AZ erstelltes NAT-Gateway oder ein Transit-Gateway sein. Erstellen Sie bei einem NAT-Gateway ein NAT-Gateway pro AZ für öffentliche Subnetze.
Verarbeitung privater Daten
Achtung
Das Ändern oder Entfernen von Public-Cloud-Ressourcen, die von Alteryx One bereitgestellt wurden, nachdem die Handhabung privater Daten eingerichtet wurde, kann zu Inkonsistenzen führen. Diese Inkonsistenzen können zu Fehlern bei der Auftragsausführung oder bei der Deprovisionierung der Einrichtung für die Handhabung privater Daten führen.
Schritt 1: Designer Cloud-Bereitstellung auslösen
Die Bereitstellung der Designer Cloud wird von der Admin-Konsole in Alteryx One ausgelöst. Sie benötigen zum Anzeigen Arbeitsbereich-Administrator-Berechtigungen.
Wählen Sie auf der Alteryx One-Startseite oben rechts das Kreissymbol mit Ihren Initialen aus. Wählen Sie Admin-Konsole im Menü aus.
Wählen Sie im linken Navigationsmenü die Option Handhabung privater Daten aus.
Wählen Sie Sie das Designer Cloud-Kontrollkästchen und dann Aktualisieren aus.
Die Auswahl von Aktualisieren löst die Bereitstellung des Clusters und der Ressourcen im AWS-Konto aus. Dadurch wird eine Reihe von Validierungsprüfungen durchgeführt, um die korrekte Konfiguration des AWS-Kontos zu überprüfen.
Anmerkung
Der Bereitstellungsprozess dauert bis zum Abschluss etwa 35–40 Minuten.
Nach Abschluss der Bereitstellung können Sie die erstellten Ressourcen (z. B. EC2-Instanzen und Knotengruppen) über die AWS-Konsole anzeigen. Es ist sehr wichtig, dass Sie sie nicht selbst ändern. Manuelle Änderungen können zu Problemen mit der Funktionalität der Verarbeitung personenbezogener Daten führen.
Schritt 2: Vertrauensbeziehung der benutzerdefinierten Rolle anhängen
Anmerkung
Dieser Schritt ist nur erforderlich, wenn Sie bei der Konfiguration des privaten Datenspeichers eine Rolle mit Berechtigungen verwendet haben, die auf mehrere Konten angewendet werden kann. Wenn Sie für diesen Schritt einen Zugriffsschlüssel verwendet haben, können Sie diesen Schritt überspringen.
Wichtig
Sie müssen auf den erfolgreichen Abschluss von Schritt 1 warten, bevor Sie mit diesem Schritt fortfahren.
Wenn Ihr privater Datenspeicher eine kontenübergreifende Rolle verwendet, dann müssen Sie diese Rolle aktualisieren, um Ihrer neuen Kubernetes-Clusterrolle eine Vertrauensbeziehung hinzuzufügen und damit Ihre neue Umgebung zur Verarbeitung privater Daten aus Ihrem privaten Datenspeicher lesen/schreiben kann:
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<accountid>:role/aac-<xxxx-xxxxxxxxxxxx>-cluster-role"
},
"Action": "sts:AssumeRole"
}Anmerkung
Ersetzen Sie AWS Principal durch die ARN der IAM-Rolle, die durch den Bereitstellungsprozess für die Verarbeitung privater Daten erstellt wurde.
<accountid>: AWS-Kontonummer, für die die Handhabung der Umgebung für die Verarbeitung privater Daten bereitgestellt wurde.
<xxxx-xxxxxxxxxxxx>: Letzte zwei Segmente der Umgebungs-ID für die Verarbeitung personenbezogener Daten. Sie finden diese ID in der Admin-Benutzeroberfläche, nachdem die Umgebung zur Verarbeitung privater Daten erfolgreich bereitgestellt wurde.
Beispielszenario:
Konto-ID: 123456789012
ID der Umgebung für die Verarbeitung personenbezogener Daten: b2a65fbd-95dc-490a-b69b-a1dc92df224e
Rollen-ARN: arn:aws:iam::123456789012:role/aac-b69b-a1dc92df224e-cluster-role
Weitere Informationen finden Sie unter https://docs.aws.amazon.com/directoryservice/latest/admin-guide/edit_trust.html.
Schritt 3: KMS-Schlüsselrichtlinie aktualisieren
Nachdem Sie die Verarbeitung privater Daten erfolgreich erstellt haben, wird Ihrem Konto eine benutzerdefinierte Rolle mit dem Namen credential-service-role hinzugefügt. Diese Rolle ermöglicht es dem Kubernetes-Anmeldedatendienstkonto, private Datenzugriffsanmeldedaten aus dem Schlüsseltresor abzurufen.
Aktualisieren Sie jetzt die Richtlinie des in AWS-Konto und VPC für private Daten einrichten – Schritt 5: Einen symmetrischen Schlüssel für den sicheren Tresor erstellen erstellten KMS-Schlüssels, um der benutzerdefinierten Rolle credential-service-role benutzerdefinierte Berechtigungen zuzulassen.
Gehen Sie zu Schlüsselverwaltungsdienste und wählen Sie AWS-Konto und VPC für private Daten einrichten aus.
Wählen Sie Schlüsselrichtlinie und dann Bearbeiten aus.
Löschen Sie die Standardberechtigung und aktualisieren Sie sie wie folgt:
{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<account id>:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<account id>:role/credential-service-role" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" } ] }Anmerkung
<accountID>ist die AWS-Kontonummer, bei der die Handhabung der Umgebung für die Verarbeitung privater Daten bereitgestellt wurde.Wählen Sie Änderungen speichern aus.
Schritt 4: EMR serverlos (optional)
Konfigurieren Sie EMR serverlos, wenn Sie die Spark-/EMR-Verarbeitung verwenden.
EMR aktivieren
Melden Sie sich bei der Alteryx One an.
Wählen Sie im Menü Profil die Option Admin-Konsole aus.
Wählen Sie im linken Navigationsbereich die Option Handhabung privater Daten.
Wählen Sie Spark-Verarbeitung (EMR) aus.
Wählen Sie Aktualisieren aus.
Für S3-Verbindung erstellte benutzerdefinierte Rolle aktualisieren
Fügen Sie die benutzerdefinierte Richtlinie und die benutzerdefinierte Rolle aus AWS S3 als privater Datenspeicher mit diesen Berechtigungen und Vertrauensbeziehungen für EMR serverlos hinzu:
Benutzerdefiniertes Richtliniendokument anhängen
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EMRServerlessAccess",
"Effect": "Allow",
"Action": [
"emr-serverless:CreateApplication",
"emr-serverless:UpdateApplication",
"emr-serverless:DeleteApplication",
"emr-serverless:ListApplications",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication",
"emr-serverless:StopApplication",
"emr-serverless:StartJobRun",
"emr-serverless:CancelJobRun",
"emr-serverless:ListJobRuns",
"emr-serverless:GetJobRun"
],
"Resource": "*"
},
{
"Sid": "AllowNetworkInterfaceCreationViaEMRServerless",
"Effect": "Allow",
"Action": "ec2:CreateNetworkInterface",
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:subnet/*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "ops.emr-serverless.amazonaws.com"
}
}
},
{
"Sid":"AllowEMRServerlessServiceLinkedRoleCreation",
"Effect":"Allow",
"Action":"iam:CreateServiceLinkedRole",
"Resource":"arn:aws:iam:::role/aws-service-role/ops.emr-serverless.amazonaws.com/AWSServiceRoleForAmazonEMRServerless"
},
{
"Sid": "AllowPassingRuntimeRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam:::role/aac--emr-serverless-spark-execution",
"Condition": {
"StringLike": {
"iam:PassedToService": "emr-serverless.amazonaws.com"
}
}
},
{
"Sid": "S3ResourceBucketAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucket",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::aac--emr-logs",
"arn:aws:s3:::aac--emr-logs/*"
]
}
]
}Vertrauensbeziehung der benutzerdefinierten Rolle anhängen
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam:::role/aac--emr-serverless-spark-execution"
},
"Action": "sts:AssumeRole"
},
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "emr-serverless.amazonaws.com"
},
"Action": "sts:AssumeRole"
}Anmerkung
Wenn Sie die Verarbeitung privater Daten löschen, ersetzt AWS die Vertrauensbeziehung der ARN aac-<xxxx-xxxxxxxxxxxx>-cluster-role durch einen Zugriffsschlüssel. Sie müssen die Vertrauensbeziehung auch aus der Benutzeroberfläche löschen.
Anmerkung
Ersetzen Sie AWS Principal durch die ARN der IAM-Rolle, die durch den Bereitstellungsprozess für die Verarbeitung privater Daten erstellt wurde.
<accountid>: AWS-Kontonummer, für die die Handhabung der Umgebung für die Verarbeitung privater Daten bereitgestellt wurde.
<xxxx-xxxxxxxxxxxx>: Letzte zwei Segmente der Umgebungs-ID für die Verarbeitung personenbezogener Daten. Sie finden diese ID in der Admin-Benutzeroberfläche, nachdem die Umgebung zur Verarbeitung privater Daten erfolgreich bereitgestellt wurde.
Beispielszenario:
Konto-ID: 123456789012
ID der Umgebung für die Verarbeitung personenbezogener Daten: b2a65fbd-95dc-490a-b69b-a1dc92df224e
Rollen-ARN: arn:aws:iam::123456789012:role/aac-b69b-a1dc92df224e-emr-serverless-spark-execution
ARN für S3: arn:aws:s3:::aac-aac-b69b-a1dc92df224e-emr-logs