Conexión a Amazon EMR mediante un punto de conexión de VPC de tipo interfaz - Amazon EMR
Creación de una política de punto de conexión de VPC para Amazon EMR

Conexión a Amazon EMR mediante un punto de conexión de VPC de tipo interfaz

Puede conectarse directamente a Amazon EMR mediante un punto de conexión de VPC de tipo interfaz (AWS PrivateLink) en su nube privada virtual (VPC) en lugar de conectarse a través de Internet. Cuando se utiliza un punto de conexión de VPC de tipo interfaz, la comunicación entre su VPC y Amazon EMR se realiza en su totalidad dentro de la red de AWS. Cada punto de conexión de VPC está representado por una o varias Interfaces de red elásticas (ENI) con direcciones IP privadas en las subredes de la VPC.

El punto de conexión de VPC de tipo interfaz conecta directamente la VPC con Amazon EMR sin necesidad de contar con una puerta de enlace de Internet, dispositivos NAT, conexiones de VPN ni conexiones de Direct Connect. Las instancias de la VPC no necesitan direcciones IP públicas para comunicarse con la API de Amazon EMR.

Para utilizar Amazon EMR a través de la VPC, debe conectarse desde una instancia que esté dentro de la VPC o conectar su red privada a la VPC a través de una red privada virtual (VPN) de Amazon o Direct Connect. Para obtener más información sobre Amazon VPN, consulte Conexiones VPN en la Guía del usuario de Amazon Virtual Private Cloud. Para obtener información sobre AWS Direct Connect, consulte Creación de una conexión en la Guía del usuario de Direct Connect.

Puede crear un punto de conexión de VPC de tipo interfaz para conectarse a Amazon EMR mediante la consola de AWS o los comandos de AWS Command Line Interface (AWS CLI). Para obtener más información, consulte Creación de un punto de conexión de interfaz.

Después de crear un punto de conexión de VPC de tipo interfaz, si habilita nombres de host DNS privados para el punto de conexión, el punto de conexión predeterminado de Amazon EMR se resuelve en el punto de conexión de VPC. El punto de conexión del nombre de servicio predeterminado de Amazon EMR tiene el siguiente formato:

elasticmapreduce.Region.amazonaws.com

Si no habilita nombres de host de DNS privados, Amazon VPC proporciona un nombre de punto de conexión de DNS que puede utilizar en el siguiente formato.

VPC_Endpoint_ID.elasticmapreduce.Region.vpce.amazonaws.com

Para obtener más información, consulte Puntos de conexión de VPC de tipo interfaz (AWS PrivateLink) en la Guía del usuario de Amazon VPC.

Amazon EMR permite llamar a todas las acciones de la API en su VPC.

Puede adjuntar políticas de punto de conexión de VPC a un punto de conexión de VPC para controlar el acceso de las entidades principales de IAM. También puede asociar grupos de seguridad con un punto de conexión de VPC para controlar el acceso de entrada y salida en función del origen y el destino del tráfico de red, como un rango de direcciones IP. Para obtener más información, consulte Control del acceso a los servicios con puntos de conexión de VPC.

Puede crear una política para los puntos de conexión de VPC de Amazon para Amazon EMR y especificar lo siguiente:

  • La entidad principal que puede o no puede realizar acciones

  • Las acciones que se pueden realizar

  • Los recursos en los que se pueden llevar a cabo las acciones

Para obtener más información, consulte Control del acceso a los servicios con puntos de conexión de VPC en la Guía del usuario de Amazon VPC.

ejemplo : política de punto de conexión de VPC para denegar el acceso desde una cuenta de AWS especificada.

La siguiente política de punto de conexión de VPC deniega a la cuenta de AWS 123456789012 todo el acceso a los recursos mediante el punto de conexión.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}
ejemplo : política de punto de conexión de VPC para permitir el acceso de VPC solo a una entidad principal de IAM especificada (usuario).

La siguiente política de punto de conexión de VPC permite el acceso pleno solo al usuario lijuan en la cuenta de AWS 123456789012. A las demás entidades principales de IAM se les deniega el acceso a través del punto de enlace.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/lijuan"
                ]
            }
        }]
}
ejemplo : política de punto de conexión de VPC para permitir operaciones de EMR de solo lectura.

La siguiente política de punto de conexión de VPC solo permite a la cuenta de AWS 123456789012 realizar las acciones de Amazon EMR especificadas.

Las acciones especificadas proporcionan el equivalente al acceso de solo lectura para Amazon EMR. Las demás acciones en la VPC se deniegan para la cuenta especificada. A las demás cuentas se les deniega el acceso. Para obtener una lista de acciones de Amazon EMR, consulte Acciones, recursos y claves de condición de Amazon EMR.

{
    "Statement": [
        {
            "Action": [
                "elasticmapreduce:DescribeSecurityConfiguration",
                "elasticmapreduce:GetBlockPublicAccessConfiguration",
                "elasticmapreduce:ListBootstrapActions",
                "elasticmapreduce:ViewEventsFromAllClustersInConsole",
                "elasticmapreduce:ListSteps",
                "elasticmapreduce:ListInstanceFleets",
                "elasticmapreduce:DescribeCluster",
                "elasticmapreduce:ListInstanceGroups",
                "elasticmapreduce:DescribeStep",
                "elasticmapreduce:ListInstances",
                "elasticmapreduce:ListSecurityConfigurations",
                "elasticmapreduce:DescribeEditor",
                "elasticmapreduce:ListClusters",
                "elasticmapreduce:ListEditors"            
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}
ejemplo : política de punto de conexión de VPC que deniega el acceso a un clúster específico.

La siguiente política de punto de conexión de VPC permite el acceso total a todas las cuentas y entidades principales, pero deniega el acceso de la cuenta de AWS 123456789012 a las acciones hechas en el clúster de Amazon EMR con el ID de clúster j-A1B2CD34EF5G. Se siguen permitiendo otras acciones de Amazon EMR que no admiten permisos de recursos para los clústeres. Para obtener una lista de acciones de Amazon EMR y su tipo de recurso correspondiente, consulte Acciones, recursos y claves de condición para Amazon EMR.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "arn:aws:elasticmapreduce:us-west-2:123456789012:cluster/j-A1B2CD34EF5G",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}