Política mínima do Amazon S3 para uma sub-rede privada - Amazon EMR

Política mínima do Amazon S3 para uma sub-rede privada

Para sub-redes privadas, você precisará ao menos fornecer a capacidade para o Amazon EMR acessar repositórios do Amazon Linux. A política de sub-rede privada faz parte das políticas de endpoint da VPC para acessar o Amazon S3. Com o Amazon EMR 5.25.0 ou versões posteriores, para habilitar o acesso com um clique ao servidor de histórico persistente do Spark, você deve permitir o acesso do Amazon EMR ao bucket do sistema que coleta logs de eventos do Spark. Se você habilitar o registro em log, forneça permissões PUT para um bucket aws157-logs-*. Para obter mais informações, consulte One-click access to persistent Spark History Server.

Cabe a você determinar as restrições da política que atendam às suas necessidades comerciais. Por exemplo, é possível especificar a região packages.us-east-1.amazonaws.com para evitar um nome ambíguo de bucket do Amazon S3. A política de exemplo a seguir fornece permissões para acessar repositórios do Amazon Linux e o bucket do sistema Amazon EMR para coleta de logs de eventos do Spark. Substitua MyRegion pela região onde os buckets de log residem, por exemplo, us-east-1.

Para obter mais informações sobre o uso de políticas do IAM com endpoints da Amazon VPC, consulte Endpoint policies for Amazon S3.

{
   "Version": "2008-10-17",
   "Statement": [
       {
           "Sid": "AmazonLinuxAMIRepositoryAccess",
           "Effect": "Allow",
           "Principal": "*",
           "Action": "s3:GetObject",
           "Resource": [
           	"arn:aws:s3:::packages.MyRegion.amazonaws.com/*",
           	"arn:aws:s3:::repo.MyRegion.amazonaws.com/*",
           	"arn:aws:s3:::repo.MyRegion.emr.amazonaws.com/*"
           ]
       },
       {
           "Sid": "EnableApplicationHistory",
           "Effect": "Allow",
           "Principal": "*",
           "Action": [
               "s3:Put*",
               "s3:Get*",
               "s3:Create*",
               "s3:Abort*",
               "s3:List*"
           ],
           "Resource": [
           	"arn:aws:s3:::prod.MyRegion.appinfo.src/*"
           ]
       }
   ]
}

O exemplo de política a seguir fornece as permissões necessárias para acessar repositórios do Amazon Linux 2. A AMI do Amazon Linux 2 é o padrão.

{
   "Statement": [
       {
           "Sid": "AmazonLinux2AMIRepositoryAccess",
           "Effect": "Allow",
           "Principal": "*",
           "Action": "s3:GetObject",
           "Resource": [
           	"arn:aws:s3:::amazonlinux.MyRegion.amazonaws.com/*",
           	"arn:aws:s3:::amazonlinux-2-repos-MyRegion/*"
           ]
       }
   ]
}