Connexion à Amazon EMR à l'aide d'un point de terminaison d'un VPC d'interface - Amazon EMR
Créez une politique de point de terminaison d'un VPC pour Amazon EMR.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connexion à Amazon EMR à l'aide d'un point de terminaison d'un VPC d'interface

Vous pouvez vous connecter directement à Amazon EMR à l'aide d'un point de terminaison VPC d'interface (AWS PrivateLink) dans votre Virtual Private Cloud (VPC) au lieu de vous connecter via Internet. Lorsque vous utilisez un point de terminaison VPC d'interface, la communication entre votre VPC et Amazon EMR s'effectue entièrement au sein du réseau. AWS Chaque point de terminaison VPC est représenté par une ou plusieurs interfaces réseau élastiques (ENIs) avec des adresses IP privées dans vos sous-réseaux VPC.

Le point de terminaison VPC de l'interface connecte votre VPC directement à Amazon EMR sans passerelle Internet, périphérique NAT, connexion VPN ou connexion. AWS Direct Connect Les instances de votre VPC ne nécessitent pas d'adresses IP publiques pour communiquer avec l'API Amazon EMR.

Pour utiliser Amazon EMR via votre VPC, vous devez vous connecter à partir d'une instance située dans le VPC ou connecter votre réseau privé à votre VPC à l'aide d'un réseau privé virtuel (VPN) Amazon ou du AWS Direct Connect. Pour obtenir des informations sur Amazon VPN, consultez la rubrique Connexions VPN du Guide de l'utilisateur Amazon Virtual Private Cloud. Pour plus d'informations AWS Direct Connect, voir Création d'une connexion dans le Guide de AWS Direct Connect l'utilisateur.

Vous pouvez créer un point de terminaison VPC d'interface pour vous connecter à Amazon EMR à l'aide de la AWS console ou AWS Command Line Interface des commandes ().AWS CLI Pour plus d'informations, consultez Création d'un point de terminaison d'interface.

Une fois que vous avez créé un point de terminaison d'un VPC d'interface, si vous activez les noms d'hôte DNS privés pour le point de terminaison, le point de terminaison Amazon EMR par défaut est résolu par votre point de terminaison de VPC. Le point de terminaison par défaut du nom de service Amazon EMR a le format suivant.

elasticmapreduce.Region.amazonaws.com

Si vous n'activez pas les noms d'hôte DNS privés, Amazon VPC fournit un nom de point de terminaison DNS que vous pouvez utiliser au format suivant.

VPC_Endpoint_ID.elasticmapreduce.Region.vpce.amazonaws.com

Pour de plus amples informations, consultez Points de terminaison VPC (AWS PrivateLink) dans le Guide de l’utilisateur Amazon VPC.

Amazon EMR prend en charge l'exécution d'appels en direction de toutes ses actions d'API à l'intérieur de votre VPC.

Vous pouvez attacher des politiques de point de terminaison d'un VPC au point de terminaison d'un VPC pour contrôler l'accès des principaux IAM. Vous pouvez également associer des groupes de sécurité à un point de terminaison VPC pour contrôler l'accès entrant et sortant en fonction de l'origine et de la destination du trafic réseau, comme une plage d'adresses IP. Pour plus d'informations, veuillez consulter Contrôler l'accès aux services avec les points de terminaison d'un VPC.

Vous pouvez créer une politique pour les points de terminaison de VPC Amazon pour Amazon EMR dans laquelle vous pouvez spécifier :

  • Principal qui peut ou ne peut pas effectuer des actions

  • Les actions qui peuvent être effectuées.

  • Les ressources sur lesquelles les actions peuvent être exécutées.

Pour plus d’informations, consultez Contrôle de l’accès aux services avec points de terminaison d’un VPC dans le Guide de l’utilisateur Amazon VPC.

Exemple — Politique de point de terminaison VPC interdisant tout accès depuis un compte spécifié AWS

La politique de point de terminaison VPC suivante refuse au AWS compte 123456789012 tout accès aux ressources utilisant le point de terminaison.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}
Exemple – Politique du point de terminaison d'un VPC pour autoriser l'accès VPC uniquement à un principal (utilisateur) IAM spécifié

La politique de point de terminaison VPC suivante autorise un accès complet uniquement à l'utilisateur inscrit lijuan dans AWS le compte. 123456789012 Toutes les autres entités IAM se voient refuser l'accès à l'aide du point de terminaison.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/lijuan"
                ]
            }
        }]
}
Exemple – Stratégie de point de terminaison d'un VPC pour autoriser les opérations EMR en lecture seule

La politique de point de terminaison VPC suivante autorise uniquement le AWS compte 123456789012 à effectuer les actions Amazon EMR spécifiées.

Les actions spécifiées fournissent l'équivalent d'un accès en lecture seule pour Amazon EMR. Toutes les autres actions sur le VPC sont refusées pour le compte spécifié. Tous les autres comptes se voient refuser tout accès. Pour obtenir la liste des actions Amazon EMR, consultez Actions, ressources et clés de condition pour Amazon EMR.

{
    "Statement": [
        {
            "Action": [
                "elasticmapreduce:DescribeSecurityConfiguration",
                "elasticmapreduce:GetBlockPublicAccessConfiguration",
                "elasticmapreduce:ListBootstrapActions",
                "elasticmapreduce:ViewEventsFromAllClustersInConsole",
                "elasticmapreduce:ListSteps",
                "elasticmapreduce:ListInstanceFleets",
                "elasticmapreduce:DescribeCluster",
                "elasticmapreduce:ListInstanceGroups",
                "elasticmapreduce:DescribeStep",
                "elasticmapreduce:ListInstances",
                "elasticmapreduce:ListSecurityConfigurations",
                "elasticmapreduce:DescribeEditor",
                "elasticmapreduce:ListClusters",
                "elasticmapreduce:ListEditors"            
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}
Exemple – Stratégie de point de terminaison d'un VPC refusant l'accès à un cluster spécifié

La politique de point de terminaison VPC suivante autorise un accès complet à tous les comptes et à tous les principaux, mais refuse tout accès du AWS compte 123456789012 aux actions effectuées sur le cluster Amazon EMR avec l'ID de cluster. j-A1B2CD34EF5G D'autres actions Amazon EMR qui ne prennent pas en charge les autorisations au niveau des ressources pour les clusters sont toujours autorisées. Pour obtenir la liste des actions Amazon EMR et leur type de ressource correspondant, veuillez consulter Actions, Ressources et Clés de condition pour Amazon EMR.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "arn:aws:elasticmapreduce:us-west-2:123456789012:cluster/j-A1B2CD34EF5G",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}