Política mínima do Amazon S3 para uma sub-rede privada
Para sub-redes privadas, você precisará ao menos fornecer a capacidade para o Amazon EMR acessar repositórios do Amazon Linux. A política de sub-rede privada faz parte das políticas de endpoint da VPC para acessar o Amazon S3. Com o Amazon EMR 5.25.0 ou versões posteriores, para habilitar o acesso com um clique ao servidor de histórico persistente do Spark, você deve permitir o acesso do Amazon EMR ao bucket do sistema que coleta logs de eventos do Spark. Se você habilitar o registro em log, forneça permissões PUT para um bucket aws157-logs-*
. Para obter mais informações, consulte One-click access to persistent Spark History Server.
Cabe a você determinar as restrições da política que atendam às suas necessidades comerciais. Por exemplo, é possível especificar a região packages.us-east-1.amazonaws.com
para evitar um nome ambíguo de bucket do Amazon S3. A política de exemplo a seguir fornece permissões para acessar repositórios do Amazon Linux e o bucket do sistema Amazon EMR para coleta de logs de eventos do Spark. Substitua MyRegion
pela região onde os buckets de log residem, por exemplo, us-east-1
.
Para obter mais informações sobre o uso de políticas do IAM com endpoints da Amazon VPC, consulte Endpoint policies for Amazon S3.
{ "Version": "2008-10-17", "Statement": [ { "Sid": "AmazonLinuxAMIRepositoryAccess", "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::packages.
MyRegion
.amazonaws.com/*", "arn:aws:s3:::repo.MyRegion
.amazonaws.com/*", "arn:aws:s3:::repo.MyRegion
.emr.amazonaws.com/*" ] }, { "Sid": "EnableApplicationHistory", "Effect": "Allow", "Principal": "*", "Action": [ "s3:Put*", "s3:Get*", "s3:Create*", "s3:Abort*", "s3:List*" ], "Resource": [ "arn:aws:s3:::prod.MyRegion
.appinfo.src/*" ] } ] }
O exemplo de política a seguir fornece as permissões necessárias para acessar repositórios do Amazon Linux 2. A AMI do Amazon Linux 2 é o padrão.
{ "Statement": [ { "Sid": "AmazonLinux2AMIRepositoryAccess", "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::amazonlinux.
MyRegion
.amazonaws.com/*", "arn:aws:s3:::amazonlinux-2-repos-MyRegion
/*" ] } ] }