存取 Amazon S3 之私有子網路的範例政策 - Amazon EMR

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

存取 Amazon S3 之私有子網路的範例政策

對於私有子網路,您EMR至少必須提供 Amazon 存取 Amazon Linux 儲存庫的能力。此私有子網路政策是存取 Amazon S3 的VPC端點政策的一部分。使用 Amazon EMR 5.25.0 或更新版本,若要啟用對永久 Spark 歷史記錄伺服器的一鍵式存取,您必須允許 Amazon 存EMR取收集 Spark 事件日誌的系統儲存貯體。如果您啟用記錄功能,請提供aws157-logs-*值區的PUT權限。如需詳細資訊,請參閱持續性 Spark 歷史記錄伺服器的一鍵式存取功能

您必須決定符合業務需求的政策限制。下列範例政策提供存取 Amazon Linux 儲存庫的許可,以及用於收集 Spark 事件日誌的 Amazon EMR 系統儲存貯體。它顯示了值區的一些示例資源名稱。

如需將IAM政策與 Amazon VPC 端點搭配使用的詳細資訊,請參閱 Amazon S3 的端點政策

{
   "Version": "2008-10-17",
   "Statement": [
       {
           "Sid": "AmazonLinuxAMIRepositoryAccess",
           "Effect": "Allow",
           "Principal": "*",
           "Action": "s3:GetObject",
           "Resource": [
           	"arn:aws:s3:::packages.us-east-1.amazonaws.com/*",
           	"arn:aws:s3:::repo.us-east-1.amazonaws.com/*",
           	"arn:aws:s3:::repo.us-east-2.amazonaws.com/*"
           ]
       },
       {
           "Sid": "EnableApplicationHistory",
           "Effect": "Allow",
           "Principal": "*",
           "Action": [
               "s3:Put*",
               "s3:Get*",
               "s3:Create*",
               "s3:Abort*",
               "s3:List*"
           ],
           "Resource": [
           	"arn:aws:s3:::prod.us-east-1.appinfo.src/*"
           ]
       }
   ]
}

下列範例政策提供了存取 Amazon Linux 2 儲存庫所需的許可。Amazon Linux 2 AMI 為預設值。

{
   "Statement": [
       {
           "Sid": "AmazonLinux2AMIRepositoryAccess",
           "Effect": "Allow",
           "Principal": "*",
           "Action": "s3:GetObject",
           "Resource": [
           	"arn:aws:s3:::amazonlinux.us-east-1.amazonaws.com/*",
           	"arn:aws:s3:::amazonlinux-2-repos-us-east-1/*"
           ]
       }
   ]
}