As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Conecte-se à Amazon EMR usando um VPC endpoint de interface
Você pode se conectar diretamente à Amazon EMR usando um VPCendpoint de interface (AWS PrivateLink) em sua Virtual Private Cloud (VPC) em vez de se conectar pela Internet. Quando você usa um VPC endpoint de interface, a comunicação entre você VPC e a Amazon EMR é conduzida inteiramente dentro da AWS rede. Cada VPC endpoint é representado por uma ou mais interfaces de rede elástica (ENIs) com endereços IP privados em suas VPC sub-redes.
O VPC endpoint da interface conecta você VPC diretamente à Amazon EMR sem um gateway de internet, NAT dispositivo, VPN conexão ou AWS Direct Connect conexão. As instâncias em seu VPC não precisam de endereços IP públicos para se comunicar com a Amazon EMRAPI.
Para usar a Amazon EMR por meio do seuVPC, você deve se conectar a partir de uma instância que esteja dentro da VPC ou conectar sua rede privada à sua VPC usando uma Amazon Virtual Private Network (VPN) ou AWS Direct Connect. Para obter informações sobre a AmazonVPN, consulte VPNas conexões no Guia do usuário da Amazon Virtual Private Cloud. Para obter informações sobre AWS Direct Connect, consulte Criação de uma conexão no Guia AWS Direct Connect do usuário.
Você pode criar um VPC endpoint de interface para se conectar à Amazon EMR usando o AWS console ou os comandos AWS Command Line Interface (AWS CLI). Para obter mais informações, consulte Creating an interface endpoint (Criação de um endpoint de interface).
Depois de criar um VPC endpoint de interface, se você habilitar DNS nomes de host privados para o endpoint, o endpoint padrão da Amazon será resolvido para seu EMR endpoint. VPC O endpoint de nome de serviço padrão para a Amazon EMR está no seguinte formato.
elasticmapreduce.
Region
.amazonaws.com
Se você não habilitar DNS nomes de host privados, a Amazon VPC fornecerá um nome de DNS endpoint que você pode usar no seguinte formato.
VPC_Endpoint_ID
.elasticmapreduce.Region
.vpce.amazonaws.com
Para obter mais informações, consulte VPCEndpoints de interface (AWS PrivateLink) no Guia do VPC usuário da Amazon.
A Amazon EMR oferece suporte para fazer chamadas para todas as suas APIações dentro do seuVPC.
Você pode anexar políticas de VPC endpoint a um VPC endpoint para controlar o acesso dos principais. IAM Você também pode associar grupos de segurança a um VPC endpoint para controlar o acesso de entrada e saída com base na origem e no destino do tráfego de rede, como uma variedade de endereços IP. Para obter mais informações, consulte Controle do acesso a serviços com VPC endpoints.
Crie uma política de VPC endpoint para a Amazon EMR
Você pode criar uma política para VPC endpoints da Amazon EMR para especificar o seguinte:
-
O principal que pode ou não executar ações
-
As ações que podem ser executadas
-
Os recursos nos quais as ações podem ser executadas
Para obter mais informações, consulte Controle do acesso a serviços com VPC endpoints no Guia do VPC usuário da Amazon.
exemplo — política de VPC endpoint para negar todo o acesso de uma conta especificada AWS
A política de VPC endpoint a seguir nega à AWS conta 123456789012
todo o acesso aos recursos usando o endpoint.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "
123456789012
" ] } } ] }
exemplo — política de VPC endpoint para permitir VPC acesso somente a um IAM principal especificado (usuário)
A política de VPC endpoint a seguir permite acesso total somente à AWS conta 123456789012
de um usuáriolijuan
. Todos os outros principais do IAM terão acesso negado usando o endpoint.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "arn:aws:iam::
123456789012
:user/lijuan
" ] } }] }
exemplo — política VPC de endpoint para permitir operações somente de leitura EMR
A política de VPC endpoint a seguir permite que somente 123456789012
a AWS conta execute as EMR ações especificadas da Amazon.
As ações especificadas fornecem o equivalente ao acesso somente de leitura para a Amazon. EMR Todas as outras ações no VPC são negadas para a conta especificada. Todas as outras contas terão acesso negado. Para obter uma lista de EMR ações da Amazon, consulte Ações, recursos e chaves de condição para a Amazon EMR.
{ "Statement": [ { "Action": [ "elasticmapreduce:DescribeSecurityConfiguration", "elasticmapreduce:GetBlockPublicAccessConfiguration", "elasticmapreduce:ListBootstrapActions", "elasticmapreduce:ViewEventsFromAllClustersInConsole", "elasticmapreduce:ListSteps", "elasticmapreduce:ListInstanceFleets", "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups", "elasticmapreduce:DescribeStep", "elasticmapreduce:ListInstances", "elasticmapreduce:ListSecurityConfigurations", "elasticmapreduce:DescribeEditor", "elasticmapreduce:ListClusters", "elasticmapreduce:ListEditors" ], "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "
123456789012
" ] } } ] }
exemplo — política VPC de endpoint negando acesso a um cluster especificado
A política de VPC endpoint a seguir permite acesso total a todas as contas e diretores, mas nega qualquer acesso da AWS conta 123456789012
às ações realizadas no cluster da Amazon com o ID do EMR cluster. j-A1B2CD34EF5G
Outras EMR ações da Amazon que não oferecem suporte a permissões em nível de recursos para clusters ainda são permitidas. Para obter uma lista das EMR ações da Amazon e seus tipos de recursos correspondentes, consulte Ações, recursos e chaves de condição para a Amazon EMR.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "arn:aws:elasticmapreduce:
us-west-2
:123456789012
:cluster/j-A1B2CD34EF5G
", "Principal": { "AWS": [ "123456789012
" ] } } ] }