Conéctese a Amazon EMR mediante un VPC punto final de interfaz - Amazon EMR
Crea una política VPC de puntos de conexión para Amazon EMR

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conéctese a Amazon EMR mediante un VPC punto final de interfaz

Puedes conectarte directamente a Amazon EMR mediante un VPCpunto de conexión de interfaz (AWS PrivateLink) en tu nube privada virtual (VPC) en lugar de conectarte a través de Internet. Cuando utilizas un VPC punto final de interfaz, la comunicación entre tú VPC y Amazon EMR se lleva a cabo íntegramente dentro de la AWS red. Cada VPC punto final está representado por una o más interfaces de red elásticas (ENIs) con direcciones IP privadas en sus VPC subredes.

El VPC punto final de la interfaz lo conecta VPC directamente a Amazon EMR sin necesidad de una pasarela de Internet, NAT dispositivo, VPN conexión o AWS Direct Connect conexión. Las instancias VPC tuyas no necesitan direcciones IP públicas para comunicarse con Amazon EMRAPI.

Para usar Amazon EMR a través de suVPC, debe conectarse desde una instancia que esté dentro de VPC o conectar su red privada a la VPC suya mediante una red privada virtual de Amazon (VPN) o AWS Direct Connect. Para obtener información sobre AmazonVPN, consulte VPNlas conexiones en la Guía del usuario de Amazon Virtual Private Cloud. Para obtener más información AWS Direct Connect, consulte Crear una conexión en la Guía del AWS Direct Connect usuario.

Puede crear un VPC punto final de interfaz para conectarse a Amazon EMR mediante la AWS consola o los comandos AWS Command Line Interface (AWS CLI). Para obtener más información, consulte Creación de un punto de conexión de interfaz.

Después de crear un VPC punto de enlace de interfaz, si habilita DNS los nombres de host privados para el punto de enlace, el punto de enlace de Amazon predeterminado EMR pasa a ser su VPC punto de enlace. El punto final del nombre de servicio predeterminado de Amazon EMR tiene el siguiente formato.

elasticmapreduce.Region.amazonaws.com

Si no habilitas DNS los nombres de servidor privados, Amazon VPC proporciona un nombre de DNS punto final que puedes usar en el siguiente formato.

VPC_Endpoint_ID.elasticmapreduce.Region.vpce.amazonaws.com

Para obtener más información, consulte Interface VPC endpoints (AWS PrivateLink) en la Guía del VPC usuario de Amazon.

Amazon EMR admite la realización de llamadas a todas sus APIacciones dentro de tuVPC.

Puedes adjuntar políticas de VPC punto final a un VPC punto final para controlar el acceso de IAM los directores. También puede asociar grupos de seguridad a un VPC punto final para controlar el acceso entrante y saliente en función del origen y el destino del tráfico de la red, como un rango de direcciones IP. Para obtener más información, consulte Controlar el acceso a los servicios con VPC puntos finales.

Puedes crear una política para los VPC puntos de enlace de Amazon EMR para que especifique lo siguiente:

  • La entidad principal que puede o no puede realizar acciones

  • Las acciones que se pueden realizar

  • Los recursos en los que se pueden llevar a cabo las acciones

Para obtener más información, consulta Cómo controlar el acceso a los servicios con VPC puntos de conexión en la Guía del VPC usuario de Amazon.

ejemplo — política VPC de puntos finales para denegar todo acceso desde una cuenta específica AWS

La siguiente política de VPC puntos finales deniega la AWS cuenta 123456789012 todos los accesos a los recursos mediante el punto final.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}
ejemplo — VPC política de puntos finales que permite el VPC acceso únicamente a un IAM principal (usuario) específico

La siguiente política VPC de puntos finales permite el acceso total solo a un usuario lijuan en la AWS cuenta 123456789012. A todos los demás IAM directores se les niega el acceso a través del punto final.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/lijuan"
                ]
            }
        }]
}
ejemplo — política de VPC puntos finales para permitir operaciones de solo lectura EMR

La siguiente política de VPC puntos finales solo permite cuentas AWS 123456789012 para realizar las EMR acciones de Amazon especificadas.

Las acciones especificadas proporcionan el equivalente al acceso de solo lectura para Amazon. EMR VPCSe deniegan todas las demás acciones de la cuenta especificada. A las demás cuentas se les deniega el acceso. Para ver una lista de EMR las acciones de Amazon, consulta Acciones, recursos y claves de condición de Amazon EMR.

{
    "Statement": [
        {
            "Action": [
                "elasticmapreduce:DescribeSecurityConfiguration",
                "elasticmapreduce:GetBlockPublicAccessConfiguration",
                "elasticmapreduce:ListBootstrapActions",
                "elasticmapreduce:ViewEventsFromAllClustersInConsole",
                "elasticmapreduce:ListSteps",
                "elasticmapreduce:ListInstanceFleets",
                "elasticmapreduce:DescribeCluster",
                "elasticmapreduce:ListInstanceGroups",
                "elasticmapreduce:DescribeStep",
                "elasticmapreduce:ListInstances",
                "elasticmapreduce:ListSecurityConfigurations",
                "elasticmapreduce:DescribeEditor",
                "elasticmapreduce:ListClusters",
                "elasticmapreduce:ListEditors"            
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}
ejemplo — política VPC de puntos finales que deniega el acceso a un clúster específico

La siguiente política VPC de puntos finales permite el acceso total a todas las cuentas y entidades principales, pero deniega cualquier acceso a las AWS cuentas 123456789012 a las acciones realizadas en el EMR clúster de Amazon con el ID del clúster j-A1B2CD34EF5G. Aún se permiten otras EMR acciones de Amazon que no admiten permisos a nivel de recursos para clústeres. Para ver una lista de EMR las acciones de Amazon y el tipo de recurso correspondiente, consulta Acciones, recursos y claves de condición de Amazon EMR.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "arn:aws:elasticmapreduce:us-west-2:123456789012:cluster/j-A1B2CD34EF5G",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}