프라이빗 서브넷에 대한 최소 Amazon S3 정책

프라이빗 서브넷의 경우, 최소한 Amazon이 Amazon Linux EMR 리포지토리에 액세스할 수 있는 기능을 제공해야 합니다. 이 프라이빗 서브넷 정책은 Amazon S3에 액세스하기 위한 VPC 엔드포인트 정책의 일부입니다. Amazon EMR 5.25.0 이상에서는 영구 Spark 기록 서버에 클릭 한 번으로 액세스할 수 있도록 하려면 Amazon이 Spark 이벤트 로그를 수집하는 시스템 EMR 버킷에 액세스할 수 있도록 허용해야 합니다. 로깅을 활성화하는 경우 버킷에 권한을 제공하십시오PUT. aws157-logs-* 자세한 내용은 영구 Spark 기록 서버에 대한 원클릭 액세스를 참조하세요.

비즈니스 요구를 충족하는 정책 제한은 사용자가 결정합니다. 예를 들어 모호한 Amazon S3 버킷 이름을 피하기 위해 packages.us-east-1.amazonaws.com 리전을 지정할 수 있습니다. 다음 예제 정책은 Spark 이벤트 로그를 수집하기 위한 Amazon Linux 리포지토리와 Amazon EMR 시스템 버킷에 액세스할 수 있는 권한을 제공합니다. Replace MyRegion 예를 들어 로그 버킷이 있는 지역을 예로 들 수 있습니다. us-east-1

Amazon VPC 엔드포인트에서 IAM 정책을 사용하는 방법에 대한 자세한 내용은 Amazon S3의 엔드포인트 정책을 참조하십시오.

{
   "Version": "2008-10-17",
   "Statement": [
       {
           "Sid": "AmazonLinuxAMIRepositoryAccess",
           "Effect": "Allow",
           "Principal": "*",
           "Action": "s3:GetObject",
           "Resource": [
           	"arn:aws:s3:::packages.MyRegion.amazonaws.com/*",
           	"arn:aws:s3:::repo.MyRegion.amazonaws.com/*",
           	"arn:aws:s3:::repo.MyRegion.emr.amazonaws.com/*"
           ]
       },
       {
           "Sid": "EnableApplicationHistory",
           "Effect": "Allow",
           "Principal": "*",
           "Action": [
               "s3:Put*",
               "s3:Get*",
               "s3:Create*",
               "s3:Abort*",
               "s3:List*"
           ],
           "Resource": [
           	"arn:aws:s3:::prod.MyRegion.appinfo.src/*"
           ]
       }
   ]
}

다음 예제 정책에서는 Amazon Linux 2 리포지토리에 액세스하는 데 필요한 권한을 제공합니다. 아마존 리눅스 AMI 2가 기본값입니다.

{
   "Statement": [
       {
           "Sid": "AmazonLinux2AMIRepositoryAccess",
           "Effect": "Allow",
           "Principal": "*",
           "Action": "s3:GetObject",
           "Resource": [
           	"arn:aws:s3:::amazonlinux.MyRegion.amazonaws.com/*",
           	"arn:aws:s3:::amazonlinux-2-repos-MyRegion/*"
           ]
       }
   ]
}