프라이빗 서브넷에 대한 최소 Amazon S3 정책

프라이빗 서브넷의 경우 최소한 Amazon EMR에서 Amazon Linux 리포지토리에 액세스할 수 있는 기능을 제공해야 합니다. 이 프라이빗 서브넷 정책은 Amazon S3에 액세스하기 위한 VPC 엔드포인트 정책의 일부입니다. Amazon EMR 5.25.0 이상에서 영구 Spark 기록 서버에 대한 원클릭 액세스를 활성화하려면 Amazon EMR에서 Spark 이벤트 로그를 수집하는 시스템 버킷에 액세스할 수 있도록 허용해야 합니다. 로깅을 활성화하는 경우 aws157-logs-* 버킷에 PUT 권한을 제공합니다. 자세한 내용은 영구 Spark 기록 서버에 대한 원클릭 액세스를 참조하세요.

비즈니스 요구를 충족하는 정책 제한은 사용자가 결정합니다. 예를 들어 모호한 Amazon S3 버킷 이름을 피하기 위해 packages.us-east-1.amazonaws.com 리전을 지정할 수 있습니다. 다음 예제 정책은 Spark 이벤트 로그를 수집하기 위해 Amazon Linux 리포지토리 및 Amazon EMR 시스템 버킷에 액세스할 수 있는 권한을 제공합니다. 예를 MyRegion들어 로그 버킷이 있는 지역으로 바꾸십시오. us-east-1

Amazon VPC 엔드포인트에서 IAM 정책 사용에 대한 자세한 내용은 Amazon S3에 대한 엔드포인트 정책을 참조하세요.

{
   "Version": "2008-10-17",
   "Statement": [
       {
           "Sid": "AmazonLinuxAMIRepositoryAccess",
           "Effect": "Allow",
           "Principal": "*",
           "Action": "s3:GetObject",
           "Resource": [
           	"arn:aws:s3:::packages.MyRegion.amazonaws.com/*",
           	"arn:aws:s3:::repo.MyRegion.amazonaws.com/*",
           	"arn:aws:s3:::repo.MyRegion.emr.amazonaws.com/*"
           ]
       },
       {
           "Sid": "EnableApplicationHistory",
           "Effect": "Allow",
           "Principal": "*",
           "Action": [
               "s3:Put*",
               "s3:Get*",
               "s3:Create*",
               "s3:Abort*",
               "s3:List*"
           ],
           "Resource": [
           	"arn:aws:s3:::prod.MyRegion.appinfo.src/*"
           ]
       }
   ]
}

다음 예제 정책에서는 Amazon Linux 2 리포지토리에 액세스하는 데 필요한 권한을 제공합니다. Amazon Linux 2 AMI가 기본값입니다.

{
   "Statement": [
       {
           "Sid": "AmazonLinux2AMIRepositoryAccess",
           "Effect": "Allow",
           "Principal": "*",
           "Action": "s3:GetObject",
           "Resource": [
           	"arn:aws:s3:::amazonlinux.MyRegion.amazonaws.com/*",
           	"arn:aws:s3:::amazonlinux-2-repos-MyRegion/*"
           ]
       }
   ]
}