Мой кластер подключен к AWS Microsoft AD (скажем, в учетной записи AWS A) для управления идентификацией.
В этой AD я прикрепил роль кросс-аккаунта, которая дает пользователю AD доступ к сервисам AWS (например, к корзине s3) в учетной записи AWS B из веб-входа.
в основном он принимает роль в учетной записи B, которая дает доступ к корзине S3 учетной записи B.
Я пытался получить доступ к корзине S3 учетной записи B из NIFI в моем кластере.
Я вошел в систему NIFI от пользователя AD.
Я попытался создать AwsCredentialsProviderService в процессоре NIFI PutS3Object и получил роль, которая имеет доступ к кросс-аккаунту (роль учетной записи A) в AssumeRoleARN. Но он продолжает давать мне ниже ошибки
2019-07-05 14:32:54,242 ERROR [Timer-Driven Process Thread-1] o.a.nifi.processors.aws.s3.PutS3Object PutS3Object[id=c1e58db9-016b-1000-2b58-cc1f4bca459d] Failed to put StandardFlowFileRecord[uuid=78e10136-54b3-43c9-80ce-aa6941f9b369,claim=StandardContentClaim [resourceClaim=StandardResourceClaim[id=1562332079542-1, container=default, section=1], offset=132610, length=1],offset=0,name=65700097-8e40-4380-8324-12a589c865e8,size=1] to Amazon S3 due to com.amazonaws.services.securitytoken.model.AWSSecurityTokenServiceException: Access denied (Service: AWSSecurityTokenService; Status Code: 403; Error Code: AccessDenied; Request ID: c661e963-9f31-11e9-8f7e-450c08697371): com.amazonaws.services.securitytoken.model.AWSSecurityTokenServiceException: Access denied (Service: AWSSecurityTokenService; Status Code: 403; Error Code: AccessDenied; Request ID: c661e963-9f31-11e9-8f7e-450c08697371)
com.amazonaws.services.securitytoken.model.AWSSecurityTokenServiceException: Access denied (Service: AWSSecurityTokenService; Status Code: 403; Error Code: AccessDenied; Request ID: c661e963-9f31-11e9-8f7e-450c08697371)
Я дал роль в CredentialService, как
ARN: AWS: РМКО :: счет-A-ID:. Роль / тест / hdpadmin
Может кто-нибудь помочь мне в этом? Недостаточно примеров для выполнения роли NIFI.