EMR使用界面VPC端點 Connect 到 Amazon - Amazon EMR
為 Amazon 創建VPC端點政策 EMR

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

EMR使用界面VPC端點 Connect 到 Amazon

您可以EMR使用界面VPC端點直接連接到 Amazon(AWS PrivateLink)在您的虛擬私有雲(VPC)中,而不是通過互聯網連接。當您使用界面VPC端點時,您VPC和 Amazon EMR 之間的通信完全在 AWS 網絡。每個VPC端點都由一或多個彈性網路介面 (ENIs) 表示,在VPC子網路中具有私有 IP 位址。

界面VPC端點EMR無需互聯網閘道,NAT設備,連VPC接或直接將您的 Amazon VPN 連接到亞馬遜 AWS Direct Connect 連接。您中的實例VPC不需要公共 IP 地址即可與 Amazon 進行通信EMRAPI。

若要EMR透過 Amazon 使用VPC,您必須從位於內部的執行個體連線,VPC或使用 Amazon 虛擬私人網路將您VPC的私有網路連接到您的網路 (VPN) 或 AWS Direct Connect。 如需 Amazon 的相關資訊VPN,請參閱 Amazon Virtual Private Cloud 使用者指南中的VPN連線。如需相關資訊 AWS Direct Connect,請參閱在中建立連線 AWS Direct Connect 使用者指南

您可以創建一個接口VPC端點來連接到 Amazon EMR 使用 AWS 控制台或 AWS Command Line Interface (AWS CLI) 指令。如需詳細資訊,請參閱建立介面端點

建立介面VPC端點後,如果您為端點啟用私有DNS主機名稱,則預設 Amazon EMR 端點會解析為您的VPC端點。Amazon EMR 的預設服務名稱端點格式如下。

elasticmapreduce.Region.amazonaws.com

如果您未啟用私人DNS主機名稱,Amazon 會VPC提供您可以使用以下格式的DNS端點名稱。

VPC_Endpoint_ID.elasticmapreduce.Region.vpce.amazonaws.com

如需詳細資訊,請參閱介面VPC端點 (AWS PrivateLink)Amazon 用VPC戶指南中。

Amazon EMR 支持撥打其內部的所有API操作VPC。

您可以將VPC端點策略附加到VPC端點,以控制IAM主體的存取。您也可以將安全群組與VPC端點建立關聯,以根據網路流量的來源和目的地 (例如 IP 位址範圍) 來控制輸入和輸出存取。如需詳細資訊,請參閱使用VPC端點控制對服務的存取。

您可以為 Amazon 的 Amazon VPC 端點建立政策,EMR以指定以下內容:

  • 可執行或不可執行動作的委託人

  • 可執行的動作

  • 可在其中執行動作的資源

如需詳細資訊,請參閱 Amazon VPC 使用者指南的使用VPC端點控制對服務的存取。

範例 — VPC 端點策略拒絕來自指定的所有訪問 AWS 帳戶

以下VPC端點策略拒絕 AWS 帳戶 123456789012 所有使用端點對資源的訪問。

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}
範例 — 僅允許VPC存取指定IAM主體 (使用者) 的VPC端點策略

下列VPC端點策略僅允許使用者完整存取 lijuan in AWS 帳戶 123456789012。 使用端點拒絕所有其他IAM主體存取。

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/lijuan"
                ]
            }
        }]
}
範例 — 允許只讀EMR操作的VPC端點策略

下列VPC端點策略僅允許 AWS 帳戶 123456789012 執行指定的 Amazon EMR 操作。

指定的動作為 Amazon 提供相當於唯讀存取的權限EMR。針對指定帳戶拒絕的所VPC有其他動作。拒絕所有其他帳戶的任何存取。如需 Amazon EMR 動作的清單,請參閱 Amazon 的動作、資源和條件金鑰EMR

{
    "Statement": [
        {
            "Action": [
                "elasticmapreduce:DescribeSecurityConfiguration",
                "elasticmapreduce:GetBlockPublicAccessConfiguration",
                "elasticmapreduce:ListBootstrapActions",
                "elasticmapreduce:ViewEventsFromAllClustersInConsole",
                "elasticmapreduce:ListSteps",
                "elasticmapreduce:ListInstanceFleets",
                "elasticmapreduce:DescribeCluster",
                "elasticmapreduce:ListInstanceGroups",
                "elasticmapreduce:DescribeStep",
                "elasticmapreduce:ListInstances",
                "elasticmapreduce:ListSecurityConfigurations",
                "elasticmapreduce:DescribeEditor",
                "elasticmapreduce:ListClusters",
                "elasticmapreduce:ListEditors"            
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}
範例 — 拒絕存取指定叢集的VPC端點原則

下列VPC端點策略允許所有帳戶和主體的完整存取權,但拒絕的任何存取 AWS 帳戶 123456789012 到具有叢集 ID 的 Amazon EMR 叢集上執行的動作 j-A1B2CD34EF5G。 仍然允許其他不支援叢集資源層級許可的 Amazon EMR 動作。如需 Amazon EMR 動作及其對應資源類型的清單,請參閱 Amazon 的動作、資源和條件金鑰EMR

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "arn:aws:elasticmapreduce:us-west-2:123456789012:cluster/j-A1B2CD34EF5G",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}