Connect ke Amazon EMR di EKS Menggunakan VPC endpoints - Amazon EMR
Buat Kebijakan VPC Endpoint untuk Amazon EMR di EKS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Connect ke Amazon EMR di EKS Menggunakan VPC endpoints

Anda dapat terhubung langsung ke Amazon EMR di EKS menggunakan VPC endpoints AWS PrivateLink Ketika Anda menggunakan VPC endpoint antarmuka, komunikasi antara VPC dan Amazon EMR di EKS dilakukan sepenuhnya dalam jaringan AWS. Masing-masing VPC endpoint diwakili oleh satu Antarmuka jaringan elastis (ENI) dengan alamat IP privat di subnet VPC Anda.

Antarmuka VPC endpoint menghubungkan VPC Anda langsung ke Amazon EMR di EKS tanpa gateway internet, perangkat NAT, koneksi VPN, atau Koneksi Direct Connect AWS. Instans dalam VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi dengan API Amazon EMR di EKS.

Anda dapat membuat VPC endpoint antarmuka untuk terhubung ke Amazon EMR di EKS menggunakan perintah AWS Management Console atau AWS Command Line Interface (AWS CLI). Untuk informasi selengkapnya, lihat Membuat Titik Akhir Antarmuka.

Setelah Anda membuat antarmuka VPC endpoint, jika Anda mengaktifkan nama host DNS privat untuk titik akhir, titik akhir Amazon EMR di EKS default menyelesaikan ke VPC endpoint Anda. Titik akhir nama layanan default untuk Amazon EMR di EKS adalah dalam format berikut.

emr-containers.Region.amazonaws.com

Jika Anda tidak mengaktifkan nama host DNS privat, Amazon VPC menyediakan nama titik akhir DNS yang dapat Anda gunakan dalam format berikut.

VPC_Endpoint_ID.emr-containers.Region.vpce.amazonaws.com

Untuk informasi selengkapnya, lihat Antarmuka (AWSPrivateLink) di Panduan Pengguna Amazon VPC. Amazon EMR di EKS mendukung panggilan ke semua Tindakan API di dalam VPC Anda.

Anda dapat melampirkan kebijakan VPC endpoint ke VPC endpoint untuk mengontrol akses untuk prinsipal IAM. Anda juga dapat mengasosiasi grup keamanan dengan VPC endpoint untuk mengontrol akses masuk dan keluar berdasarkan asal dan tujuan lalu lintas jaringan, seperti rentang alamat IP. Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan VPC Endpoints.

Buat Kebijakan VPC Endpoint untuk Amazon EMR di EKS

Anda dapat membuat kebijakan untuk Amazon VPC endpoint untuk Amazon EMR di EKS untuk menentukan hal berikut:

  • Prinsip-prinsip yang dapat atau tidak dapat melakukan tindakan

  • Tindakan yang dapat dilakukan

  • Sumber daya yang dapat digunakan untuk mengambil tindakan

Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan VPC Endpoint dalam Panduan Pengguna Amazon VPC.

contoh Kebijakan VPC Endpoint untuk Menolak Semua Akses dari Akun AWS Tertentu

Kebijakan VPC endpoint berikut mneolak akun AWS 123456789012 semua akses ke sumber daya menggunakan titik akhir.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}
contoh Kebijakan VPC Endpoint untuk Mengizinkan Akses VPC Hanya ke Prinsipal IAM (Pengguna) Tertentu

Kebijakan VPC endpoint berikut memungkinkan akses penuh hanya ke pengguna IAM lijuan di akun AWS 123456789012. Semua prinsipal IAM lain ditolak aksesnya menggunakan titik akhir.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/lijuan"
                ]
            }
        }
    ]
}
contoh Kebijakan VPC Endpoint untuk Mengizinkan Operasi Read-Only Amazon EMR di EKS

Kebijakan VPC endpoint berikut hanya mengizinkan akun AWS 123456789012 untuk melakukan tindakan Amazon EMR di EKS khusus.

Tindakan yang ditentukan memberikan akses setara dengan read-only untuk Amazon EMR di EKS. Semua tindakan lain pada VPC ditolak untuk akun yang ditentukan. Semua akun lain ditolak akses apa pun. Untuk daftar tindakan Amazon EMR di EKS, lihat Kunci Tindakan, Sumber Daya, dan Kondisi untuk Amazon EMR di EKS.

{
    "Statement": [
        {
            "Action": [
                "emr-containers:DescribeJobRun",
                "emr-containers:DescribeVirtualCluster",
                "emr-containers:ListJobRuns",
                "emr-containers:ListTagsForResource",
                "emr-containers:ListVirtualClusters"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}
contoh Kebijakan VPC Endpoint Menolak Akses ke Klaster Virtual Tertentu

Kebijakan VPC endpoint berikut memungkinkan akses penuh untuk semua akun dan prinsipal, namun menolak akses apa pun untuk akun AWS 123456789012 untuk tindakan yang dilakukan pada klaster virtual dengan ID klaster A1B2CD34EF5G. Amazon EMR lainnya pada tindakan EKS yang tidak mendukung izin tingkat sumber daya untuk klaster virtual masih diizinkan. Untuk daftar tindakan Amazon EMR di EKS dan jenis sumber daya terkait, lihat Kunci Tindakan, Sumber Daya, dan Kondisi untuk Amazon EMR di EKS - di AWS Identity and Access ManagementPanduan Pengguna.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "arn:aws:emr-containers:us-west-2:123456789012:/virtualclusters/A1B2CD34EF5G",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}