プライベートサブネットの Amazon S3 の最小ポリシー - Amazon EMR

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

プライベートサブネットの Amazon S3 の最小ポリシー

プライベートサブネットの場合、少なくとも Amazon EMR が Amazon Linux リポジトリにアクセスするための機能を提供する必要があります。このプライベートサブネットポリシーは、Amazon S3 にアクセスするための VPC エンドポイントポリシーの一部です。Amazon EMR 5.25.0 以降では、永続 Spark 履歴サーバーへのワンクリックアクセスを有効にするには、Spark イベントログを収集するシステムバケットへのアクセスをAmazon EMR に許可する必要があります。ロギングを有効にする場合は、PUT 権限をaws157-logs-*バケット。詳細については、「」を参照してください。永続 Spark 履歴サーバーへのワンクリックアクセス

ビジネスニーズに合ったポリシー制限は、お客様が決定します。たとえば、リージョンを指定できます。packages.us-east-1.amazonaws.com曖昧な Amazon S3 バケット名を避けることができます。以下のポリシー例では、Spark イベントログを収集するための Amazon Linux リポジトリおよび Amazon EMR システムバケットにアクセスするためのアクセス権限を提供します。置換MyRegionログバケットが存在するリージョン (など)us-east-1

Amazon VPC エンドポイントで IAM ポリシーを使用する方法については、「」を参照してください。Amazon S3 のエンドポイントポリシー

{ "Version": "2008-10-17", "Statement": [ { "Sid": "AmazonLinuxAMIRepositoryAccess", "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::packages.MyRegion.amazonaws.com/*", "arn:aws:s3:::repo.MyRegion.amazonaws.com/*", "arn:aws:s3:::repo.MyRegion.emr.amazonaws.com/*" ] }, { "Sid": "EnableApplicationHistory", "Effect": "Allow", "Principal": "*", "Action": [ "s3:Put*", "s3:Get*", "s3:Create*", "s3:Abort*", "s3:List*" ], "Resource": [ "arn:aws:s3:::prod.MyRegion.appinfo.src/*" ] } ] }

次の例のポリシーでは、Amazon Linux 2 のリポジトリへのアクセスに必要なアクセス権限を提供します。Amazon Linux 2 AMI がデフォルトです。

{ "Statement": [ { "Sid": "AmazonLinux2AMIRepositoryAccess", "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::amazonlinux.MyRegion.amazonaws.com/*", "arn:aws:s3:::amazonlinux-2-repos-MyRegion/*" ] } ] }