Kebijakan Amazon S3 minimum untuk subnet privat - Amazon EMR

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan Amazon S3 minimum untuk subnet privat

Untuk subnet privat, setidaknya Anda harus menyediakan kemampuan bagi Amazon EMR agar dapat mengakses repositori Amazon Linux. Kebijakan subnet privat ini adalah bagian dari kebijakan VPC endpoint untuk mengakses Amazon S3. Dengan Amazon EMR 5.25.0 atau lebih baru, untuk mengaktifkan akses sekali klik ke server riwayat Spark persisten, Anda harus mengizinkan Amazon EMR untuk mengakses bucket sistem yang mengumpulkan log peristiwa Spark. Jika Anda mengaktifkan pencatatan log, berikan izin PUT ke aws157-logs-* bucket. Untuk informasi selengkapnya, lihat Akses sekali klik ke Spark Server Riwayat persisten.

Anda dapat menentukan batasan kebijakan yang memenuhi kebutuhan bisnis sesuai keinginan Anda. Misalnya, Anda dapat menentukan Wilayah packages.us-east-1.amazonaws.com untuk menghindari nama bucket Amazon S3 yang ambigu. Contoh kebijakan berikut memberikan izin untuk mengakses repositori Amazon Linux dan bucket sistem Amazon EMR untuk mengumpulkan log peristiwa Spark. Ganti MyRegiondengan Wilayah tempat bucket log Anda berada, misalnya. us-east-1

Untuk informasi selengkapnya tentang penggunaan kebijakan IAM dengan titik akhir Amazon VPC, lihat Kebijakan Titik Akhir untuk Amazon S3.

{
   "Version": "2008-10-17",
   "Statement": [
       {
           "Sid": "AmazonLinuxAMIRepositoryAccess",
           "Effect": "Allow",
           "Principal": "*",
           "Action": "s3:GetObject",
           "Resource": [
           	"arn:aws:s3:::packages.MyRegion.amazonaws.com/*",
           	"arn:aws:s3:::repo.MyRegion.amazonaws.com/*",
           	"arn:aws:s3:::repo.MyRegion.emr.amazonaws.com/*"
           ]
       },
       {
           "Sid": "EnableApplicationHistory",
           "Effect": "Allow",
           "Principal": "*",
           "Action": [
               "s3:Put*",
               "s3:Get*",
               "s3:Create*",
               "s3:Abort*",
               "s3:List*"
           ],
           "Resource": [
           	"arn:aws:s3:::prod.MyRegion.appinfo.src/*"
           ]
       }
   ]
}

Contoh kebijakan berikut memberikan izin yang diperlukan untuk mengakses repositori Amazon Linux 2. AMI Amazon Linux 2 adalah default.

{
   "Statement": [
       {
           "Sid": "AmazonLinux2AMIRepositoryAccess",
           "Effect": "Allow",
           "Principal": "*",
           "Action": "s3:GetObject",
           "Resource": [
           	"arn:aws:s3:::amazonlinux.MyRegion.amazonaws.com/*",
           	"arn:aws:s3:::amazonlinux-2-repos-MyRegion/*"
           ]
       }
   ]
}