Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Connect ad Amazon EMR utilizzando un VPC endpoint di interfaccia
Puoi connetterti direttamente ad Amazon EMR utilizzando un'interfaccia VPC endpoint (AWS PrivateLink) nel tuo Virtual Private Cloud (VPC) invece di connetterti tramite Internet. Quando utilizzi un VPC endpoint di interfaccia, la comunicazione tra te VPC e Amazon EMR avviene interamente all'interno della AWS rete. Ogni VPC endpoint è rappresentato da una o più interfacce di rete elastiche (ENIs) con indirizzi IP privati nelle sottoreti. VPC
L'VPCendpoint di interfaccia ti connette VPC direttamente ad Amazon EMR senza un gateway Internet, un NAT dispositivo, una VPN connessione o una AWS Direct Connect connessione. Le tue istanze VPC non necessitano di indirizzi IP pubblici per comunicare con Amazon EMRAPI.
Per utilizzare Amazon EMR tramite il tuoVPC, devi connetterti da un'istanza che si trova all'interno di VPC o connettere la tua rete privata alla tua VPC utilizzando una rete privata virtuale Amazon (VPN) o AWS Direct Connect. Per informazioni su AmazonVPN, consulta VPNle connessioni nella Amazon Virtual Private Cloud User Guide. Per informazioni su AWS Direct Connect, consulta Creazione di una connessione nella Guida AWS Direct Connect per l'utente.
Puoi creare un VPC endpoint di interfaccia per connetterti ad Amazon EMR utilizzando i comandi AWS console o AWS Command Line Interface (AWS CLI). Per ulteriori informazioni, consulta Creazione di un endpoint di interfaccia.
Dopo aver creato un VPC endpoint di interfaccia, se abiliti DNS i nomi host privati per l'endpoint, l'endpoint Amazon predefinito si risolve nel tuo EMR endpoint. VPC L'endpoint del nome di servizio predefinito per Amazon EMR è nel seguente formato.
elasticmapreduce.Region.amazonaws.com
Se non abiliti DNS i nomi host privati, Amazon VPC fornisce un nome di DNS endpoint che puoi utilizzare nel seguente formato.
VPC_Endpoint_ID.elasticmapreduce.Region.vpce.amazonaws.com
Per ulteriori informazioni, consulta Interface VPC endpoints (AWS PrivateLink) nella Amazon VPC User Guide.
Amazon EMR supporta l'esecuzione di chiamate a tutte le sue APIazioni all'interno del tuoVPC.
Puoi collegare le policy VPC degli endpoint a un VPC endpoint per controllare l'accesso dei principali. IAM È inoltre possibile associare gruppi di sicurezza a un VPC endpoint per controllare l'accesso in entrata e in uscita in base all'origine e alla destinazione del traffico di rete, ad esempio un intervallo di indirizzi IP. Per ulteriori informazioni, vedere Controllo dell'accesso ai servizi con gli endpoint. VPC
Crea una policy VPC sugli endpoint per Amazon EMR
Puoi creare una policy per Amazon VPC Endpoints for Amazon EMR per specificare quanto segue:
-
Il principale che può o non può eseguire azioni
-
Le azioni che possono essere eseguite
-
Le risorse sui cui si possono eseguire le azioni
Per ulteriori informazioni, consulta Controllare l'accesso ai servizi con VPC endpoint nella Amazon VPC User Guide.
Esempio — politica VPC degli endpoint per negare tutti gli accessi da un account specifico AWS
La seguente policy sugli VPC endpoint nega l'account AWS 123456789012 tutti gli accessi alle risorse tramite l'endpoint.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
Esempio — politica dell'VPCendpoint per consentire VPC l'accesso solo a un IAM principale specificato (utente)
La seguente policy per gli VPC endpoint consente l'accesso completo solo a un utente lijuan nell'account AWS 123456789012. A tutti gli altri IAM principali viene negato l'accesso tramite l'endpoint.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/lijuan" ] } }] }
Esempio — politica VPC degli endpoint per consentire operazioni di sola lettura EMR
La seguente policy sugli VPC endpoint consente solo l'account AWS 123456789012 per eseguire le EMR azioni Amazon specificate.
Le azioni specificate forniscono l'equivalente dell'accesso in sola lettura per Amazon. EMR Tutte le altre azioni su VPC sono negate per l'account specificato. A tutti gli altri account viene negato l'accesso. Per un elenco delle EMR azioni Amazon, consulta Azioni, risorse e chiavi di condizione per Amazon EMR.
{ "Statement": [ { "Action": [ "elasticmapreduce:DescribeSecurityConfiguration", "elasticmapreduce:GetBlockPublicAccessConfiguration", "elasticmapreduce:ListBootstrapActions", "elasticmapreduce:ViewEventsFromAllClustersInConsole", "elasticmapreduce:ListSteps", "elasticmapreduce:ListInstanceFleets", "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups", "elasticmapreduce:DescribeStep", "elasticmapreduce:ListInstances", "elasticmapreduce:ListSecurityConfigurations", "elasticmapreduce:DescribeEditor", "elasticmapreduce:ListClusters", "elasticmapreduce:ListEditors" ], "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
Esempio — politica VPC degli endpoint che nega l'accesso a un cluster specifico
La seguente policy sugli VPC endpoint consente l'accesso completo a tutti gli account e i principali, ma nega qualsiasi accesso all'account AWS 123456789012 alle azioni eseguite sul EMR cluster Amazon con ID cluster j-A1B2CD34EF5G. Sono comunque consentite altre EMR azioni di Amazon che non supportano le autorizzazioni a livello di risorsa per i cluster. Per un elenco delle EMR azioni Amazon e del tipo di risorsa corrispondente, consulta Azioni, risorse e chiavi di condizione per Amazon EMR.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "arn:aws:elasticmapreduce:us-west-2:123456789012:cluster/j-A1B2CD34EF5G", "Principal": { "AWS": [ "123456789012" ] } } ] }
