使用界面 VPC 端點 Connect 至 EKS 上的 Amazon EMR - Amazon EMR

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用界面 VPC 端點 Connect 至 EKS 上的 Amazon EMR

您可以直接連接到 EKS 上的亞馬遜 EMR,使用界面 VPC 端點 (AWSPrivateLink)在您的 Virtual Private Cloud (VPC) 中,而不是透過網際網路連線。在您使用界面 VPC 端點時,VPC 和 Amazon EMR 在 EKS 上進行,則 VPC 和 Amazon EMR 之間的通訊會在AWS網路。每個 VPC 端點都是由一個或多個彈性網路界面 (ENI)和 VPC 子網路中的私有 IP 地址。

界面 VPC 端點可以直接將 VPC 連接至 EKS 上的 Amazon EMR,無需網際網路閘道、NAT 裝置、VPN 連接或AWSDirect Connect 連線。VPC 中的執行個體不需要公有 IP 地址,就能與 Amazon EMR 在 EKS API 上進行通訊。

您可以使用AWS Management Console或者AWS Command Line Interface(AWS CLI) 命令。如需詳細資訊,請參閱「」建立界面端點

在建立界面 VPC 端點之後,如果您啟用端點的私有 DNS 主機名稱,則 EKS 端點上的預設 Amazon EMR 會解析為您的 VPC 端點。EKS 上 Amazon EMR 的預設服務名稱端點會採用下列格式。

emr-containers.Region.amazonaws.com

如果您未啟用私有 DNS 主機名稱,Amazon VPC 會以下列格式提供您可以使用的 DNS 端點名稱。

VPC_Endpoint_ID.emr-containers.Region.vpce.amazonaws.com

如需詳細資訊,請參閱「」界面 VPC 端點 (AWSPrivateLink)(位於 Amazon VPC 使用者指南)。EKS 上的 Amazon EMR 支援呼叫其所有API 動作在您的 VPC 中。

您可以將 VPC 端點政策連接至某個 VPC 端點,以控制 IAM 委託人的存取情況。您也可以將安全群組與 VPC 端點建立關聯,藉以根據網路流量的來源和目的地 (例如 IP 位址範圍) 來控制輸入和輸出存取。如需詳細資訊,請參閱使用 VPC 端點控制服務的存取

在 EKS 上為 Amazon EMR 建立 VPC 端點政策

您可以為 EKS 上的 Amazon EMR 的 Amazon VPC 端點建立政策,以指定下列各項:

  • 可執行或不可執行動作的委託人

  • 可執行的動作

  • 可在其中執行動作的資源

如需詳細資訊,請參閱「」使用 VPC 端點控制對服務的存取(位於 Amazon VPC 使用者指南)。

範例 VPC 來拒絕所有來自指定AWS帳戶

下列 VPC 端點政策拒絕 AWS 帳戶 123456789012 對使用該端點之資源的任何存取。

{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }

範例 可用來僅允許來自指定 IAM 委託人 (用户) 之 VPC 存取的 VPC 端點政策

下列 VPC 端點政策可用來僅允許 IAM 用户完全存取麗娟在AWS帳戶123456789012。所有其他 IAM 委託人均無法存取該端點。

{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/lijuan" ] } } ] }

範例 可用來允許唯讀 Amazon EMR 的 VPC 端點政策

下列 VPC 端點政策可用來僅允許AWS帳戶123456789012以便在 EKS 上執行指定的亞馬遜 EMR 操作。

所指定的動作會為 EKS 上的 Amazon EMR 提供唯讀存取權的相等權限。拒絕指定的帳戶存取在該 VPC 上的所有其他動作。拒絕所有其他帳戶的任何存取。如需 Amazon EMR KS 動作的清單,請參Amazon EMR 的動作、資源和條件金鑰

{ "Statement": [ { "Action": [ "emr-containers:DescribeJobRun", "emr-containers:DescribeVirtualCluster", "emr-containers:ListJobRuns", "emr-containers:ListTagsForResource", "emr-containers:ListVirtualClusters" ], "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }

範例 拒絕指定虛擬集存取的 VPC 端點政策

以下 VPC 終端節點策略允許對所有帳户和委託人進行完全訪問,但拒絕AWS帳戶123456789012設置為在具有羣集 ID 的虛擬羣集上執行的操作四分之三十五克。仍然允許其他不支援虛擬集資源層級許可的 Amazon EMR 動作。如需 Amazon EMR S 動作及其對應資源類型的清單,請參Amazon EMR 的動作、資源和條件金鑰

{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "arn:aws:emr-containers:us-west-2:123456789012:/virtualclusters/A1B2CD34EF5G", "Principal": { "AWS": [ "123456789012" ] } } ] }