Connessione ad Amazon EMR su EKS utilizzando un endpoint VPC di interfaccia - Amazon EMR

Connessione ad Amazon EMR su EKS utilizzando un endpoint VPC di interfaccia

Puoi connetterti direttamente ad Amazon EMR su EKS utilizzando endpoint VPC di interfaccia (AWS PrivateLink) nel tuo cloud privato virtuale (VPC, Virtual Private Cloud) invece di connetterti tramite Internet. Quando usi un endpoint VPC di interfaccia, la comunicazione tra il VPC e Amazon EMR su EKS avviene interamente all'interno della rete AWS. Ogni endpoint VPC è rappresentato da una o più interfacce di rete elastiche (ENI) con indirizzi IP privati nelle sottoreti del VPC.

L'endpoint VPC di interfaccia connette il tuo VPC direttamente ad Amazon EMR su EKS senza alcun gateway Internet, un dispositivo NAT, una connessione VPN o una connessione Direct Connect AWS. Le istanze presenti nel tuo VPC non richiedono indirizzi IP pubblici per comunicare con l'API Amazon EMR su EKS.

Puoi creare un endpoint VPC di interfaccia per connetterti ad Amazon EMR su EKS utilizzando i comandi della AWS Management Console o della AWS Command Line Interface (AWS CLI). Per ulteriori informazioni, consulta Creazione di un endpoint di interfaccia.

Se dopo aver creato un endpoint VPC di interfaccia abiliti nomi host DNS privati per l'endpoint, l'endpoint Amazon EMR su EKS predefinito restituisce il tuo endpoint VPC. L'endpoint del nome del servizio predefinito per Amazon EMR su EKS è nel formato seguente.

emr-containers.Region.amazonaws.com

Se non abiliti nomi host DNS privati, Amazon VPC fornisce un nome di endpoint DNS che puoi utilizzare nel formato seguente:

VPC_Endpoint_ID.emr-containers.Region.vpce.amazonaws.com

Per ulteriori informazioni, consulta Endpoint VPC di interfaccia (AWS PrivateLink) nella Guida per l'utente di Amazon VPC. Amazon EMR su EKS supporta l'esecuzione di chiamate a tutte le sue operazioni API all'interno del VPC.

Puoi collegare le policy di endpoint VPC a un endpoint VPC per controllare l'accesso per le entità principali IAM. Puoi inoltre associare i gruppi di sicurezza a un endpoint VPC per controllare l'accesso in ingresso e in uscita in base all'origine e alla destinazione del traffico di rete, ad esempio un intervallo di indirizzi IP. Per ulteriori informazioni, consulta Controllo dell'accesso ai servizi con endpoint VPC.

Creazione di una policy di endpoint VPC per Amazon EMR su EKS

Puoi creare una policy per gli endpoint VPC di Amazon per Amazon EMR su EKS per specificare quanto segue:

  • L'entità che può o non può eseguire operazioni

  • Le operazioni che possono essere eseguite

  • Le risorse sui cui si possono eseguire operazioni

Per ulteriori informazioni, consulta Controllo degli accessi ai servizi con endpoint VPC nella Guida per l'utente di Amazon VPC.

Esempio Policy di endpoint VPC per negare tutti gli accessi da un account AWS specificato

La seguente policy di endpoint VPC nega all'account AWS 123456789012 l'accesso completo alle risorse utilizzando l'endpoint.

{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }

Esempio Policy di endpoint VPC per consentire l'accesso VPC solo a un'entità principale IAM (utente) specificata

La seguente policy di endpoint VPC consente l'accesso completo solo all'utente lijuan nell'account AWS 123456789012. A tutte le altre entità principali IAM viene negato l'accesso utilizzando l'endpoint.

{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/lijuan" ] } } ] }

Esempio Policy di endpoint VPC per consentire operazioni Amazon EMR su EKS di sola lettura

La seguente policy di endpoint VPC consente solo all'account AWS 123456789012 di eseguire le operazioni Amazon EMR su EKS specificate.

Le operazioni specificate forniscono l'accesso di sola lettura equivalente per Amazon EMR su EKS. Tutte le altre operazioni sul VPC vengono negate per l'account specificato. A tutti gli altri account viene negato l'accesso. Per l'elenco delle operazioni Amazon EMR su EKS, consulta Operazioni, risorse e chiavi di condizione per Amazon EMR su EKS.

{ "Statement": [ { "Action": [ "emr-containers:DescribeJobRun", "emr-containers:DescribeVirtualCluster", "emr-containers:ListJobRuns", "emr-containers:ListTagsForResource", "emr-containers:ListVirtualClusters" ], "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }

Esempio Policy di endpoint VPC per negare l'accesso a un cluster virtuale specificato

La seguente policy di endpoint VPC consente l'accesso completo per tutti gli account ed entità principali, ma nega l'accesso per l'account AWS 123456789012 alle operazioni eseguite nel cluster virtuale con ID cluster A1B2CD34EF5G. Altre operazioni Amazon EMR su EKS che non supportano le autorizzazioni a livello di risorsa per i cluster virtuali sono comunque consentite. Per un elenco delle operazioni Amazon EMR su EKS e dei tipi di risorse corrispondenti, consulta Operazioni, risorse e chiavi di condizione per Amazon EMR su EKS.

{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "arn:aws:emr-containers:us-west-2:123456789012:/virtualclusters/A1B2CD34EF5G", "Principal": { "AWS": [ "123456789012" ] } } ] }