As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Conecte-se à Amazon EMR usando um VPC endpoint de interface
Você pode se conectar diretamente à Amazon EMR usando um VPC endpoint de interface (AWS PrivateLink) em sua nuvem privada virtual (VPC) em vez de se conectar pela Internet. Quando você usa um VPC endpoint de interface, a comunicação entre você VPC e a Amazon EMR é conduzida inteiramente dentro do AWS rede. Cada VPC endpoint é representado por uma ou mais interfaces de rede elástica (ENIs) com endereços IP privados em suas VPC sub-redes.
O VPC endpoint da interface conecta você VPC diretamente à Amazon EMR sem um gateway de internet, NAT dispositivo, VPN conexão ou AWS Direct Connect conexão. As instâncias na sua VPC não precisam de endereços IP públicos para se comunicar com a Amazon EMRAPI.
Para usar a Amazon EMR por meio de vocêVPC, você deve se conectar a partir de uma instância que esteja dentro da VPC ou conectar sua rede privada à sua VPC usando uma Amazon Virtual Private Network (VPN) ou AWS Direct Connect. Para obter informações sobre a AmazonVPN, consulte VPNas conexões no Guia do usuário da Amazon Virtual Private Cloud. Para obter mais informações sobre AWS Direct Connect, consulte Criação de uma conexão no AWS Direct Connect Guia do usuário.
Você pode criar um VPC endpoint de interface para se conectar à Amazon EMR usando o AWS console ou AWS Command Line Interface (AWS CLI) comandos. Para obter mais informações, consulte Creating an interface endpoint (Criação de um endpoint de interface).
Depois de criar um VPC endpoint de interface, se você habilitar DNS nomes de host privados para o endpoint, o endpoint padrão da Amazon será resolvido para seu EMR endpoint. VPC O endpoint de nome de serviço padrão para a Amazon EMR está no seguinte formato.
elasticmapreduce.Region.amazonaws.com
Se você não habilitar DNS nomes de host privados, a Amazon VPC fornecerá um nome de DNS endpoint que você pode usar no seguinte formato.
VPC_Endpoint_ID.elasticmapreduce.Region.vpce.amazonaws.com
Para obter mais informações, consulte VPC Endpoints de interface (AWS PrivateLink) no Guia do VPC usuário da Amazon.
A Amazon EMR oferece suporte para fazer chamadas para todas as suas APIações dentro do seuVPC.
Você pode anexar políticas de VPC endpoint a um VPC endpoint para controlar o acesso dos principais. IAM Você também pode associar grupos de segurança a um VPC endpoint para controlar o acesso de entrada e saída com base na origem e no destino do tráfego de rede, como uma variedade de endereços IP. Para obter mais informações, consulte Controle do acesso a serviços com VPC endpoints.
Crie uma política de VPC endpoint para a Amazon EMR
Você pode criar uma política para VPC endpoints da Amazon EMR para especificar o seguinte:
-
O principal que pode ou não executar ações
-
As ações que podem ser executadas
-
Os recursos nos quais as ações podem ser executadas
Para obter mais informações, consulte Controle do acesso a serviços com VPC endpoints no Guia do VPC usuário da Amazon.
exemplo — política VPC de endpoint para negar todo o acesso de um determinado AWS conta
A seguinte política de VPC endpoint nega AWS conta 123456789012 todo o acesso aos recursos usando o endpoint.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
exemplo — política de VPC endpoint para permitir VPC acesso somente a um IAM principal especificado (usuário)
A política de VPC endpoint a seguir permite acesso total somente ao usuário a. lijuan em AWS conta 123456789012. Todos os outros IAM diretores têm acesso negado usando o endpoint.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/lijuan" ] } }] }
exemplo — política VPC de endpoint para permitir operações somente de leitura EMR
A política de VPC endpoint a seguir permite apenas AWS conta 123456789012 para realizar as EMR ações especificadas da Amazon.
As ações especificadas fornecem o equivalente ao acesso somente de leitura para a Amazon. EMR Todas as outras ações no VPC são negadas para a conta especificada. Todas as outras contas terão acesso negado. Para obter uma lista de EMR ações da Amazon, consulte Ações, recursos e chaves de condição para a Amazon EMR.
{ "Statement": [ { "Action": [ "elasticmapreduce:DescribeSecurityConfiguration", "elasticmapreduce:GetBlockPublicAccessConfiguration", "elasticmapreduce:ListBootstrapActions", "elasticmapreduce:ViewEventsFromAllClustersInConsole", "elasticmapreduce:ListSteps", "elasticmapreduce:ListInstanceFleets", "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups", "elasticmapreduce:DescribeStep", "elasticmapreduce:ListInstances", "elasticmapreduce:ListSecurityConfigurations", "elasticmapreduce:DescribeEditor", "elasticmapreduce:ListClusters", "elasticmapreduce:ListEditors" ], "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
exemplo — política VPC de endpoint negando acesso a um cluster especificado
A política de VPC endpoint a seguir permite acesso total a todas as contas e diretores, mas nega qualquer acesso a AWS conta 123456789012 às ações realizadas no EMR cluster da Amazon com o ID do cluster j-A1B2CD34EF5G. Outras EMR ações da Amazon que não oferecem suporte a permissões em nível de recursos para clusters ainda são permitidas. Para obter uma lista das EMR ações da Amazon e seus tipos de recursos correspondentes, consulte Ações, recursos e chaves de condição para a Amazon EMR.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "arn:aws:elasticmapreduce:us-west-2:123456789012:cluster/j-A1B2CD34EF5G", "Principal": { "AWS": [ "123456789012" ] } } ] }
