Policy Amazon S3 minima per sottorete privata - Amazon EMR

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Policy Amazon S3 minima per sottorete privata

Per le sottoreti private, devi offrire ad Amazon EMR almeno la possibilità di accedere ai repository Amazon Linux. Questa policy della sottorete privata fa parte delle policy endpoint VPC per accedere ad Amazon S3. Con Amazon EMR 5.25.0 o versioni successive, per abilitare l'accesso con un clic a Spark History Server persistente, devi consentire ad Amazon EMR di accedere al bucket di sistema che raccoglie i log di eventi Spark. Se abiliti la registrazione, fornisci le autorizzazioni PUT a un bucket aws157-logs-*. Per ulteriori informazioni, consulta Accesso con un clic a Spark History Server persistente.

Spetta a te determinare le restrizioni della policy che soddisfano le esigenze aziendali. Ad esempio, è possibile specificare la Regione packages.us-east-1.amazonaws.com per evitare un nome di bucket Amazon S3 ambiguo. La seguente policy di esempio fornisce le autorizzazioni per accedere ai repository Amazon Linux e al bucket di sistema Amazon EMR per la raccolta dei log di eventi Spark. Sostituisci MyRegioncon la regione in cui risiedono i tuoi bucket di log, ad esempio. us-east-1

Per ulteriori informazioni sull'utilizzo delle policy IAM con gli endpoint Amazon VPC, consulta Policy dell'endpoint per Amazon S3.

{
   "Version": "2008-10-17",
   "Statement": [
       {
           "Sid": "AmazonLinuxAMIRepositoryAccess",
           "Effect": "Allow",
           "Principal": "*",
           "Action": "s3:GetObject",
           "Resource": [
           	"arn:aws:s3:::packages.MyRegion.amazonaws.com/*",
           	"arn:aws:s3:::repo.MyRegion.amazonaws.com/*",
           	"arn:aws:s3:::repo.MyRegion.emr.amazonaws.com/*"
           ]
       },
       {
           "Sid": "EnableApplicationHistory",
           "Effect": "Allow",
           "Principal": "*",
           "Action": [
               "s3:Put*",
               "s3:Get*",
               "s3:Create*",
               "s3:Abort*",
               "s3:List*"
           ],
           "Resource": [
           	"arn:aws:s3:::prod.MyRegion.appinfo.src/*"
           ]
       }
   ]
}

La policy di seguito fornisce le autorizzazioni necessarie per accedere ai repository Amazon Linux 2. L'AMI Amazon Linux 2 è l'impostazione predefinita.

{
   "Statement": [
       {
           "Sid": "AmazonLinux2AMIRepositoryAccess",
           "Effect": "Allow",
           "Principal": "*",
           "Action": "s3:GetObject",
           "Resource": [
           	"arn:aws:s3:::amazonlinux.MyRegion.amazonaws.com/*",
           	"arn:aws:s3:::amazonlinux-2-repos-MyRegion/*"
           ]
       }
   ]
}