Stellen Sie EMR über einen VPC Schnittstellenendpunkt eine Connect zu Amazon her - Amazon EMR
Erstellen Sie eine VPC Endpunktrichtlinie für Amazon EMR

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Stellen Sie EMR über einen VPC Schnittstellenendpunkt eine Connect zu Amazon her

Sie können über einen VPC Schnittstellenendpunkt eine direkte Verbindung zu Amazon EMR herstellen (AWS PrivateLink) in Ihrer Virtual Private Cloud (VPC), anstatt eine Verbindung über das Internet herzustellen. Wenn Sie einen VPC Schnittstellenendpunkt verwenden, EMR erfolgt die Kommunikation zwischen Ihnen VPC und Amazon ausschließlich innerhalb der AWS Netzwerk. Jeder VPC Endpunkt wird durch eine oder mehrere Elastic Network-Schnittstellen (ENIs) mit privaten IP-Adressen in Ihren VPC Subnetzen repräsentiert.

Der VPC Schnittstellenendpunkt verbindet Sie VPC direkt mit Amazon EMR ohne Internet-Gateway, NAT Gerät, VPN Verbindung oder AWS Direct Connect Verbindung. Die Instances in Ihrem System benötigen VPC keine öffentlichen IP-Adressen, um mit Amazon zu kommunizieren EMRAPI.

Um Amazon EMR über Ihren nutzen zu könnenVPC, müssen Sie eine Verbindung von einer Instance herstellen, die sich innerhalb des Netzwerks befindet, VPC oder Ihr privates Netzwerk mit Ihrem verbinden, VPC indem Sie ein Amazon Virtual Private Network verwenden (VPN) oder AWS Direct Connect. Informationen zu Amazon VPN finden Sie unter VPNVerbindungen im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch. Für Informationen über AWS Direct Connect, siehe Eine Verbindung herstellen in der AWS Direct Connect Benutzerleitfaden.

Sie können einen VPC Schnittstellen-Endpunkt für die Verbindung mit Amazon erstellen, EMR indem Sie AWS Konsole oder AWS Command Line Interface (AWS CLI) Befehle. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts.

Wenn Sie nach dem Erstellen eines VPC Schnittstellenendpunkts private DNS Hostnamen für den Endpunkt aktivieren, wird der EMR Standard-Amazon-Endpunkt zu Ihrem VPC Endpunkt aufgelöst. Der Standardendpunkt für Servicenamen für Amazon EMR hat das folgende Format.

elasticmapreduce.Region.amazonaws.com

Wenn Sie private DNS Hostnamen nicht aktivieren, VPC stellt Amazon einen DNS Endpunktnamen bereit, den Sie im folgenden Format verwenden können.

VPC_Endpoint_ID.elasticmapreduce.Region.vpce.amazonaws.com

Weitere Informationen finden Sie unter VPC Schnittstellenendpunkte (AWS PrivateLink) im VPCAmazon-Benutzerhandbuch.

Amazon EMR unterstützt das Aufrufen all seiner APIAktionen in IhremVPC.

Sie können VPC Endpunktrichtlinien an einen VPC Endpunkt anhängen, um den Zugriff für IAM Prinzipale zu kontrollieren. Sie können einem VPC Endpunkt auch Sicherheitsgruppen zuordnen, um den eingehenden und ausgehenden Zugriff auf Grundlage des Ursprungs und Ziels des Netzwerkverkehrs zu steuern, z. B. anhand eines Bereichs von IP-Adressen. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Dienste mit VPC Endpunkten.

Sie können eine Richtlinie für VPC Amazon-Endgeräte für Amazon erstellenEMR, um Folgendes festzulegen:

  • Prinzipal, der Aktionen ausführen/nicht ausführen kann

  • Aktionen, die ausgeführt werden können

  • Ressourcen, für die Aktionen ausgeführt werden können

Weitere Informationen finden Sie unter Steuern des Zugriffs auf Dienste mit VPC Endpunkten im VPCAmazon-Benutzerhandbuch.

Beispiel — VPC Endpunktrichtlinie zur Verweigerung jeglichen Zugriffs von einem bestimmten AWS Konto

Die folgende VPC Endpunktrichtlinie verweigert AWS Konto 123456789012 jeglicher Zugriff auf Ressourcen, die den Endpunkt verwenden.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}
Beispiel — VPC Endpunktrichtlinie, die VPC den Zugriff nur einem bestimmten IAM Prinzipal (Benutzer) erlaubt

Die folgende VPC Endpunktrichtlinie erlaubt vollen Zugriff nur einem Benutzer lijuan in AWS Konto 123456789012. Allen anderen IAM Prinzipalen wird der Zugriff über den Endpunkt verweigert.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/lijuan"
                ]
            }
        }]
}
Beispiel — VPC Endpunktrichtlinie zur Zulassung von schreibgeschützten Vorgängen EMR

Die folgende VPC Endpunktrichtlinie erlaubt nur AWS Konto 123456789012 um die angegebenen EMR Amazon-Aktionen durchzuführen.

Die angegebenen Aktionen entsprechen dem Nur-Lese-Zugriff für Amazon. EMR Alle anderen Aktionen auf dem VPC werden für das angegebene Konto verweigert. Allen anderen Konten wird der Zugriff verweigert. Eine Liste der EMR Amazon-Aktionen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon EMR.

{
    "Statement": [
        {
            "Action": [
                "elasticmapreduce:DescribeSecurityConfiguration",
                "elasticmapreduce:GetBlockPublicAccessConfiguration",
                "elasticmapreduce:ListBootstrapActions",
                "elasticmapreduce:ViewEventsFromAllClustersInConsole",
                "elasticmapreduce:ListSteps",
                "elasticmapreduce:ListInstanceFleets",
                "elasticmapreduce:DescribeCluster",
                "elasticmapreduce:ListInstanceGroups",
                "elasticmapreduce:DescribeStep",
                "elasticmapreduce:ListInstances",
                "elasticmapreduce:ListSecurityConfigurations",
                "elasticmapreduce:DescribeEditor",
                "elasticmapreduce:ListClusters",
                "elasticmapreduce:ListEditors"            
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}
Beispiel — VPC Endpunktrichtlinie, die den Zugriff auf einen bestimmten Cluster verweigert

Die folgende VPC Endpunktrichtlinie ermöglicht vollen Zugriff für alle Konten und Prinzipale, verweigert jedoch jeglichen Zugriff für AWS Konto 123456789012 zu Aktionen, die auf dem EMR Amazon-Cluster mit Cluster-ID ausgeführt wurden j-A1B2CD34EF5G. Andere EMR Amazon-Aktionen, die keine Berechtigungen auf Ressourcenebene für Cluster unterstützen, sind weiterhin zulässig. Eine Liste der EMR Amazon-Aktionen und des entsprechenden Ressourcentyps finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon EMR.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "arn:aws:elasticmapreduce:us-west-2:123456789012:cluster/j-A1B2CD34EF5G",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}