Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration de la mise en réseau dans un VPC pour Amazon EMR
<a name="emr-plan-vpc-subnet"></a>

La plupart des clusters sont lancés sur un réseau virtuel à l'aide d'Amazon Virtual Private Cloud (Amazon VPC). Un VPC est un réseau virtuel isolé au sein de votre AWS compte qui est logiquement isolé. AWS Vous pouvez configurer des aspects tels que les plages d'adresses IP privées, les sous-réseaux, les tables de routage et les passerelles réseau. Pour de plus amples informations, consultez le [Guide de l’utilisateur Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/).

&VPC propose les fonctions suivantes :
+ **Traitement des données sensibles**

  Le lancement d'un cluster dans un VPC est similaire au lancement du cluster dans un réseau privé avec des outils supplémentaires, tels que des tables de routage et un réseauACLs, pour définir qui a accès au réseau. Si vous traitez des données sensibles dans votre cluster, vous pouvez profiter du meilleur contrôle des accès que procure le lancement de votre cluster dans un VPC. En outre, vous pouvez choisir de lancer vos ressources dans un sous-réseau privé, dans lequel aucune de ces ressources ne dispose d'une connectivité Internet directe.
+ **Accès aux ressources sur un réseau interne**

  Si votre source de données se trouve sur un réseau privé, il peut s'avérer peu pratique ou indésirable de télécharger ces données AWS pour les importer dans Amazon EMR, soit en raison de la quantité de données à transférer, soit en raison de leur nature sensible. Au lieu de cela, vous pouvez lancer le cluster dans un VPC et connecter votre centre de données à votre VPC via une connexion VPN, ce qui permet au cluster d'accéder aux ressources sur votre réseau interne. Par exemple, si vous avez une base de données Oracle dans votre centre de données, le lancement de votre cluster dans un VPC connecté à ce réseau par VPN permet au cluster d'accéder à la base de données Oracle. 

****Sous-réseaux publics et privés****  
Vous pouvez lancer des clusters Amazon EMR dans des sous-réseaux VPC publics et privés. Cela signifie que vous n'avez pas besoin de connexion Internet pour exécuter un cluster Amazon EMR ; toutefois, vous devrez peut-être configurer la traduction d'adresses réseau (NAT) et des passerelles VPN pour accéder à des services ou à des ressources situés en dehors du VPC, par exemple sur un intranet d'entreprise ou sur des points de terminaison de service public tels que. AWS AWS Key Management Service

**Important**  
Amazon EMR ne prend en charge le lancement de clusters dans des sous-réseaux privés qu'à partir de la version 4.2.

Pour plus d’informations sur la sécurité dans Amazon VPC, veuillez consulter le [Guide de l’utilisateur Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/).

**Topics**
+ [Options Amazon VPC lorsque vous lancez un cluster](emr-clusters-in-a-vpc.md)
+ [Configuration d'un VPC pour héberger des clusters Amazon EMR](emr-vpc-host-job-flows.md)
+ [Lancez des clusters dans un VPC avec Amazon EMR](emr-vpc-launching-job-flows.md)
+ [Exemples de politiques pour les sous-réseaux privés qui accèdent à Amazon S3](private-subnet-iampolicy.md)
+ [Plus de ressources pour en savoir plus sur VPCs](#emr-resources-about-vpcs)

# Options Amazon VPC lorsque vous lancez un cluster
<a name="emr-clusters-in-a-vpc"></a>



Lorsque vous lancez un cluster Amazon EMR au sein d'un VPC, vous pouvez le lancer dans un sous-réseau public, privé ou partagé. Les différences de configuration sont légères mais importantes, en fonction du type de sous-réseau que vous choisissez pour un cluster.

## Sous-réseaux publics
<a name="emr-vpc-public-subnet"></a>

Les clusters EMR dans un sous-réseau public nécessitent une passerelle Internet connectée Cela est dû au fait que les clusters Amazon EMR doivent accéder aux AWS services et à Amazon EMR. Si un service, tel qu'Amazon S3, offre la possibilité de créer un point de terminaison d'un VPC, vous pouvez accéder à ces services à l'aide du point de terminaison au lieu d'accéder à un point de terminaison public via une passerelle Internet. En outre, Amazon EMR ne peut pas communiquer avec des clusters dans des sous-réseaux publics via un périphérique de traduction d'adresses réseau (NAT). C'est pour cette raison qu'une passerelle Internet est obligatoire, mais vous pouvez toujours utiliser une instance NAT ou une passerelle pour le reste du trafic dans les scénarios plus complexes.

Toutes les instances d'un cluster se connectent à Amazon S3 via un point de terminaison d'un VPC ou une passerelle Internet. AWS Les autres services qui ne prennent pas actuellement en charge les points de terminaison VPC utilisent uniquement une passerelle Internet.

Si vous ne souhaitez pas connecter AWS des ressources supplémentaires à la passerelle Internet, vous pouvez lancer ces composants dans un sous-réseau privé que vous créez au sein de votre VPC. 

Les clusters exécutant un sous-réseau public utilisent deux groupes de sécurité : un groupe pour le nœud primaire et un autre pour les nœuds de noyau et de tâche. Pour de plus amples informations, veuillez consulter [Contrôlez le trafic réseau avec des groupes de sécurité pour votre cluster Amazon EMR](emr-security-groups.md).

Le schéma suivant montre l'exécution d'un cluster Amazon EMR dans un VPC à l'aide d'un sous-réseau public. Le cluster peut se connecter à d'autres AWS ressources, telles que les compartiments Amazon S3, via la passerelle Internet.

![\[Cluster sur un VPC\]](http://docs.aws.amazon.com/fr_fr/emr/latest/ManagementGuide/images/vpc_default_v3a.png)


Le schéma suivant montre comment configurer un VPC afin qu'un cluster présent dans le VPC puisse accéder aux ressources de votre propre réseau, par exemple une base de données Oracle.

![\[Configuration d'un VPC et d'un cluster pour accéder aux ressources du VPN\]](http://docs.aws.amazon.com/fr_fr/emr/latest/ManagementGuide/images/vpc_withVPN_v3a.png)


## Sous-réseaux privés
<a name="emr-vpc-private-subnet"></a>

Un sous-réseau privé vous permet de lancer AWS des ressources sans avoir besoin d'une passerelle Internet attachée au sous-réseau. Amazon EMR prend en charge le lancement de clusters dans des sous-réseaux privés avec les versions 4.2.0 ou ultérieures.

**Note**  
Lorsque vous configurez un cluster Amazon EMR dans un sous-réseau privé, nous vous recommandons de configurer également des [points de terminaison VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html) pour Amazon S3. Si votre cluster EMR se trouve dans un sous-réseau privé sans points de terminaison VPC pour Amazon S3, vous devrez payer des frais de passerelle NAT supplémentaires associés au trafic S3, car le trafic entre votre cluster EMR et S3 ne restera pas dans votre VPC.

La différence entre les sous-réseaux privés diffère des sous-réseaux publics pour les raisons suivantes :
+ Pour accéder aux AWS services qui ne fournissent pas de point de terminaison VPC, vous devez toujours utiliser une instance NAT ou une passerelle Internet.
+ Au minimum, vous devez indiquer un chemin vers le compartiment des journaux du service Amazon EMR et vers le répertoire Amazon Linux dans Amazon S3. Pour de plus amples informations, consultez [Exemples de politiques pour les sous-réseaux privés qui accèdent à Amazon S3](private-subnet-iampolicy.md).
+ Si vous utilisez les fonctionnalités EMRFS, vous devez disposer d'un point de terminaison d'un VPC Amazon S3 et d'un acheminement de votre sous-réseau privé vers DynamoDB.
+ Le débogage fonctionne uniquement si vous fournissez une route de votre sous-réseau privé vers un point de terminaison Amazon SQS public.
+ La création d'une configuration de sous-réseau privé avec une passerelle ou une instance NAT dans un sous-réseau public est uniquement prise en charge à l'aide d' AWS Management Console. Le moyen le plus simple d'ajouter et de configurer des instances NAT et des points terminaison d'un VPC Amazon S3 pour les clusters Amazon EMR est d'utiliser la page **Liste des sous-réseaux VPC** dans la console Amazon EMR. Pour configurer les passerelles NAT, consultez la section [Passerelles NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) dans le *Guide de l'utilisateur Amazon VPC*.
+ Vous ne pouvez pas modifier un sous-réseau avec un cluster Amazon EMR existant de public à privé ou inversement. Pour placer un cluster Amazon EMR au sein d'un sous-réseau privé, le cluster doit être démarré dans ce sous-réseau privé. 

Amazon EMR crée et utilise différents groupes de sécurité par défaut pour les clusters d'un sous-réseau privé : ElasticMapReduce -Slave-Private ElasticMapReduce-Master-Private et -. ElasticMapReduce ServiceAccess Pour de plus amples informations, veuillez consulter [Contrôlez le trafic réseau avec des groupes de sécurité pour votre cluster Amazon EMR](emr-security-groups.md).

Pour obtenir la liste complète NACLs de votre cluster, sélectionnez Groupes de **sécurité pour le cluster principal et Groupes** de **sécurité pour Core & Task** sur la page des **détails du cluster** de la console Amazon EMR.

L'image suivante montre comment un cluster Amazon EMR est configuré dans un sous-réseau privé. La seule communication en dehors du sous-réseau est la communication vers Amazon EMR. 

![\[Lancement d'un cluster Amazon EMR dans un sous-réseau privé\]](http://docs.aws.amazon.com/fr_fr/emr/latest/ManagementGuide/images/vpc_with_private_subnet_v3a.png)


L'image suivante représente un exemple de configuration pour un cluster Amazon EMR au sein d'un sous-réseau privé connecté à une instance NAT située dans un sous-réseau public.

![\[Sous-réseau privé avec NAT\]](http://docs.aws.amazon.com/fr_fr/emr/latest/ManagementGuide/images/vpc_private_subnet_nat_v3a.png)


## Sous-réseaux partagés
<a name="emr-vpc-shared-subnet"></a>

Le partage VPC permet aux clients de partager des sous-réseaux avec d'autres AWS comptes au sein de la même organisation. AWS Vous pouvez lancer des clusters Amazon EMR dans des sous-réseaux publics et privés partagés, avec les restrictions suivantes.

Le propriétaire du sous-réseau doit partager un sous-réseau avec vous pour que vous puissiez lancer un cluster Amazon EMR dans celui-ci. Cependant, des sous-réseaux partagés peuvent devenir non partagés ultérieurement. Pour plus d'informations, consultez la section [Utilisation du partage VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html). Lorsqu'un cluster est lancé dans un sous-réseau partagé qui devient ensuite non partagé, vous pouvez observer des comportements spécifiques en fonction de l'état du cluster Amazon EMR lorsque le sous-réseau devient non partagé.
+ Le sous-réseau devient non partagé *avant* que le cluster soit lancé - Si le propriétaire cesse de partager l'Amazon VPC ou le sous-réseau alors que le participant lance un cluster, il se peut que le cluster ne puisse pas démarrer ou soit partiellement initialisé sans mettre en service toutes les instances demandées. 
+ Le sous-réseau devient non partagé*après* que le cluster est lancé - Lorsque le propriétaire cesse de partager un sous-réseau ou un Amazon VPC avec le participant, les clusters du participant ne peuvent pas être redimensionnés pour ajouter de nouvelles instances ou remplacer des instances défectueuses.

Lorsque vous lancez un cluster Amazon EMR, plusieurs groupes de sécurité sont créés. Dans un sous-réseau partagé, le participant au sous-réseau contrôle ces groupes de sécurité. Le propriétaire du sous-réseau peut voir ces groupes de sécurité, mais ne peut pas exécuter d'actions sur ceux-ci. Si le propriétaire du sous-réseau souhaite supprimer ou modifier le groupe de sécurité, le participant qui a créé le groupe de sécurité doit effectuer l'action.

## Contrôlez les autorisations VPC avec IAM
<a name="emr-iam-on-vpc"></a>

Par défaut, tous les utilisateurs peuvent consulter l'ensemble des sous-réseaux du compte, et n'importe quel utilisateur peut lancer un cluster dans n'importe quel sous-réseau. 

Lorsque vous lancez un cluster dans un VPC, vous pouvez utiliser Gestion des identités et des accès AWS (IAM) pour contrôler l'accès aux clusters et restreindre les actions à l'aide de politiques, comme vous le feriez avec les clusters lancés dans Amazon EC2 Classic. Pour plus d'informations sur IAM, consultez le [Guide de l'utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/). 

Vous pouvez également utiliser IAM pour contrôler les personnes autorisées à créer et gérer des sous-réseaux. Par exemple, vous pouvez créer un rôle IAM pour administrer les sous-réseaux, et un second rôle qui peut lancer des clusters mais ne peut pas modifier les paramètres Amazon VPC. *Pour plus d'informations sur l'administration des politiques et des actions dans Amazon EC2 et Amazon VPC, consultez la section Politiques [IAM pour Amazon EC2 dans le guide de l'utilisateur Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-for-amazon-ec2.html).* 

# Configuration d'un VPC pour héberger des clusters Amazon EMR
<a name="emr-vpc-host-job-flows"></a>

Avant de pouvoir lancer des clusters dans un VPC, vous devez créer un VPC et un sous-réseau. Pour les sous-réseaux publics, vous devez créer une passerelle Internet et l'attacher au sous-réseau. Les instructions suivantes expliquent comment créer un VPC capable d'héberger des clusters Amazon EMR. 

**Pour créer un VPC avec des sous-réseaux pour un cluster Amazon EMR**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En haut à droite de la page, choisissez la [Région AWS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html) pour votre VPC.

1. Sélectionnez **Create VPC** (Créer un VPC).

1. Sur la page **Paramètres VPC**, choisissez **VPC et plus**.

1. Sous **Génération automatique des balises de nom**, activez **Générer automatiquement** et entrez un nom pour votre VPC. Cela vous permet d'identifier le VPC et le sous-réseau dans la console Amazon VPC une fois que vous les avez créés.

1. Dans le champ du **bloc IPv4 CIDR**, entrez un espace d'adresse IP privé pour votre VPC afin de garantir une résolution correcte du nom d'hôte DNS ; sinon, vous risquez de rencontrer des défaillances du cluster Amazon EMR. Les plages d'adresses IP suivantes sont incluses : 
   + 10.0.0.0 - 10.255.255.255
   + 172.16.0.0 - 172.31.255.255
   + 192.168.0.0 - 192.168.255.255

1. Sous **Nombre de zones de disponibilité (AZs)**, choisissez le nombre de zones de disponibilité dans lesquelles vous souhaitez lancer vos sous-réseaux.

1. Sous **Nombre de sous-réseaux publics**, choisissez un seul sous-réseau public à ajouter à votre VPC. Si les données utilisées par le cluster sont disponibles sur Internet (par exemple, dans Amazon S3 ou Amazon RDS), vous devez uniquement utiliser un sous-réseau public et vous n'avez pas besoin d'ajouter de sous-réseau privé.

1. Sous **Number of private subnets** (Nombre de sous-réseaux privés), choisissez le nombre de sous-réseaux privés que vous voulez ajouter à votre VPC. Sélectionnez-en une ou plusieurs si les données de votre application sont stockées sur votre propre réseau (par exemple, dans une base de données Oracle). Pour un VPC dans un sous-réseau privé, toutes les instances Amazon EC2 doivent avoir au moins un chemin vers Amazon EMR via l'interface réseau Elastic. Dans la console, ce paramètre est configuré automatiquement.

1. Sous **Passerelles NAT**, choisissez éventuellement d'ajouter des passerelles NAT. Ils ne sont nécessaires que si vous avez des sous-réseaux privés qui doivent communiquer avec Internet.

1. Sous **Points de terminaison d'un VPC**, choisissez éventuellement d'ajouter des points de terminaison pour Amazon S3 à vos sous-réseaux.

1. Vérifiez que les cases **Activer les noms d'hôte DNS** et **Activer la résolution DNS** sont cochées. Pour plus d'informations, consultez [Utilisation de DNS avec votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html).

1. Sélectionnez **Create VPC** (Créer un VPC).

1. Une fenêtre d'état indique la progression de ces tâches. Lorsque le travail est terminé, choisissez **View VPC** pour accéder à la VPCs page **Votre, qui affiche votre** VPC par défaut et le VPC que vous venez de créer. Le VPC que vous avez créé étant un VPC personnalisé, la colonne **Default VPC** indique **No**. 

1. Si vous souhaitez associer votre VPC à une entrée DNS qui n'inclut pas de nom de domaine, accédez aux **Ensembles d'options DHCP**, choisissez **Créer un ensemble d'options DHCP** et omettez un nom de domaine. Après avoir créé votre ensemble d'options, accédez à votre nouveau VPC, choisissez **Modifier le jeu d'options DHCP** dans le menu **Actions**, puis sélectionnez le nouveau jeu d'options. Vous ne pouvez pas modifier le nom de domaine à l'aide de la console une fois que le jeu d'option DNS a été créé. 

   Une bonne pratique concernant Hadoop et les applications connexes consiste à garantir la résolution du nom de domaine complet (FQDN) pour les nœuds. Pour garantir une résolution DNS correcte, configurez un VPC qui inclut un jeu d'options DHCP dont les paramètres sont définis sur les valeurs suivantes :
   + **nom-domaine** = **ec2.internal**

     Utilisez **ec2.internal** si votre région est USA Est (Virginie du Nord). Pour les autres régions, utilisez *region-name***.compute.internal**. Par exemple, dans `us-west-2`, utilisez **us-west-2.compute.internal**. Pour la région AWS GovCloud (ouest des États-Unis), utilisez**us-gov-west-1.compute.internal**.
   + **domain-name-servers** = **AmazonProvidedDNS**

   Pour en savoir plus, consultez [Jeux d'options DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) dans le *Guide de l'utilisateur Amazon VPC*.

1. Une fois le VPC créé, accédez à la page **Sous-réseaux** et notez l'**ID de sous-réseau** de l'un des sous-réseaux de votre nouveau VPC. Vous utilisez ces informations lorsque vous lancez le cluster Amazon EMR dans le VPC.

# Lancez des clusters dans un VPC avec Amazon EMR
<a name="emr-vpc-launching-job-flows"></a>

Une fois que vous disposez d'un sous-réseau configuré pour héberger des clusters Amazon EMR, lancez le cluster dans ce sous-réseau en spécifiant l'identifiant du sous-réseau associé lors de la création du cluster.

**Note**  
Amazon EMR prend en charge les sous-réseaux privés dans les versions 4.2 et supérieures.

Lorsque le cluster est lancé, Amazon EMR ajoute des groupes de sécurité différents si le cluster est lancé dans un sous-réseau VPC public ou privé. Tous les groupes de sécurité autorisent l'entrée sur le port 8443 pour communiquer avec le service Amazon EMR, mais les plages d'adresses IP varient pour les sous-réseaux publics et privés. Amazon EMR gère tous ces groupes de sécurité et devra peut-être ajouter des adresses IP supplémentaires à la AWS gamme au fil du temps. Pour de plus amples informations, veuillez consulter [Contrôlez le trafic réseau avec des groupes de sécurité pour votre cluster Amazon EMR](emr-security-groups.md).

Pour gérer le cluster sur un VPC, Amazon EMR lie un périphérique réseau au nœud primaire et le gère par le biais de ce dispositif. Vous pouvez afficher ce dispositif à l'aide de l'action d'API Amazon EC2 [https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DescribeInstances.html](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DescribeInstances.html). Si vous modifiez ce dispositif, le cluster peut échouer.

------
#### [ Console ]

**Pour lancer un cluster dans un VPC à l'aide de la console**

1. [Connectez-vous au et ouvrez la AWS Management Console console Amazon EMR à l'adresse /emr. https://console.aws.amazon.com](https://console.aws.amazon.com/emr)

1. Sous **EMR sur EC2** dans le volet de navigation de gauche, choisissez **Clusters**, puis **Créer un cluster**.

1. Sous **Mise en réseau**, accédez au champ **Cloud privé virtuel (VPC)**. Entrez le nom de votre VPC ou choisissez **Parcourir** pour sélectionner votre VPC. Vous pouvez également choisir **Créer un VPC** pour créer un VPC que vous pouvez utiliser pour votre cluster.

1. Choisissez toutes les autres options qui s'appliquent à votre cluster.

1. Pour lancer cluster, choisissez **Créer un cluster**.

------
#### [ AWS CLI ]

**Pour lancer un cluster dans un VPC avec AWS CLI**
**Note**  
Il AWS CLI ne permet pas de créer automatiquement une instance NAT et de la connecter à votre sous-réseau privé. Cependant, pour créer un point de terminaison S3 dans votre sous-réseau, vous pouvez utiliser les commandes de l'interface de ligne de commande Amazon VPC. Utilisez la console pour créer des instances NAT et lancer des clusters dans un sous-réseau privé.

Après avoir configuré votre VPC, vous pouvez y lancer des clusters Amazon EMR en utilisant la sous-commande `create-cluster` avec le paramètre `--ec2-attributes`. Utilisez le paramètre `--ec2-attributes` pour spécifier le sous-réseau VPC pour votre cluster.
+ Pour créer un cluster dans un sous-réseau spécifique, tapez la commande suivante, *myKey* remplacez-la par le nom de votre paire de clés Amazon EC2 et *77XXXX03* remplacez-la par votre ID de sous-réseau.

  ```
  aws emr create-cluster --name "Test cluster" --release-label emr-4.2.0 --applications Name=Hadoop Name=Hive Name=Pig --use-default-roles --ec2-attributes KeyName=myKey,SubnetId=subnet-77XXXX03 --instance-type m5.xlarge --instance-count 3
  ```

  Lorsque vous spécifiez le nombre d'instances sans utiliser le paramètre `--instance-groups`, un seul nœud primaire est lancé et les instances restantes sont lancées en tant que nœuds principaux. Tous les nœuds utilisent le type d'instance spécifié dans la commande.
**Note**  
Si vous n'avez pas encore créé le rôle de service Amazon EMR par défaut et le profil d'instance EC2, tapez `aws emr create-default-roles` pour les créer avant de taper la sous-commande `create-cluster`.

------

## Garantir la disponibilité des adresses IP pour un cluster EMR sur EC2
<a name="emr-vpc-launching-job-flows-ip-availability"></a>

Pour garantir qu'un sous-réseau avec suffisamment d'adresses IP libres est disponible lors du lancement, la sélection du sous-réseau EC2 vérifie la disponibilité des adresses IP. Le processus de création utilise un sous-réseau avec le nombre d'adresses IP nécessaire pour lancer les nœuds principaux, principaux et de tâches selon les besoins, même si lors de la création initiale, seuls les nœuds principaux du cluster sont créés. L'EMR vérifie le nombre d'adresses IP requises pour lancer les nœuds principaux et les nœuds de tâche lors de la création, et calcule séparément le nombre d'adresses IP nécessaires pour lancer les nœuds principaux. Le nombre minimum d'instances principales et de tâches ou de nœuds requis est déterminé automatiquement par Amazon EMR.

**Important**  
Si aucun sous-réseau du VPC n'est IPs disponible en quantité suffisante pour accueillir les nœuds essentiels, une erreur est renvoyée et le cluster n'est pas créé.

Dans la plupart des cas de déploiement, il existe un décalage horaire entre chaque lancement des nœuds principaux, principaux et de tâches. En outre, il est possible que plusieurs clusters partagent un sous-réseau. Dans ces cas, la disponibilité des adresses IP peut fluctuer et les lancements ultérieurs de nœuds de tâches, par exemple, peuvent être limités par les adresses IP disponibles.

# Exemples de politiques pour les sous-réseaux privés qui accèdent à Amazon S3
<a name="private-subnet-iampolicy"></a>

Pour les sous-réseaux privés, vous devez au minimum permettre à Amazon EMR d'accéder aux référentiels Amazon Linux. Cette politique de sous-réseau privé fait partie des politiques du point de terminaison d'un VPC pour l'accès à Amazon S3.

Avec Amazon EMR 5.25.0 ou version ultérieure, pour activer l'accès en un clic au serveur d'historique Spark permanent, vous devez autoriser Amazon EMR à accéder au compartiment système qui collecte les journaux d'événements Spark. Si vous activez la journalisation, accordez des autorisations PUT au compartiment suivant : 

```
aws157-logs-${AWS::Region}/*
```

Pour plus d'informations, consultez [Accès en un clic au serveur d'historique Spark permanent](https://docs.aws.amazon.com/emr/latest/ManagementGuide/app-history-spark-UI.html).

Il vous appartient de déterminer les restrictions de stratégie répondant à vos besoins métier. L'exemple de stratégie suivant fournit des autorisations pour accéder aux référentiels Amazon Linux et au compartiment système Amazon EMR pour la collecte des journaux d'événements Spark. Il présente quelques exemples de noms de ressources pour les buckets. 

Pour plus d'informations sur l'utilisation des politiques IAM avec les points de terminaison d'un VPC Amazon, consultez [Politiques de points de terminaison pour Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#vpc-endpoints-policies-s3).

L'exemple de politique suivant contient des exemples de ressources dans la région us-east-1.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AmazonLinuxAMIRepositoryAccess",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::packages.us-east-1.amazonaws.com/*",
        "arn:aws:s3:::repo.us-east-1.amazonaws.com/*"
      ]
    },
    {
      "Sid": "EnableApplicationHistory",
      "Effect": "Allow",
      "Action": [
        "s3:Put*",
        "s3:Get*",
        "s3:Create*",
        "s3:Abort*",
        "s3:List*"
      ],
      "Resource": [
        "arn:aws:s3:::prod.us-east-1.appinfo.src/*"
      ]
    }
  ]
}
```

------

L'exemple de politique suivant fournit les autorisations requises pour accéder aux référentiels Amazon Linux 2 dans la région us-east-1.

```
{
   "Statement": [
       {
           "Sid": "AmazonLinux2AMIRepositoryAccess",
           "Effect": "Allow",
           "Principal": "*",
           "Action": "s3:GetObject",
           "Resource": [
           	"arn:aws:s3:::amazonlinux.us-east-1.amazonaws.com/*",
           	"arn:aws:s3:::amazonlinux-2-repos-us-east-1/*"
           ]
       }
   ]
}
```

L'exemple de politique suivant fournit les autorisations requises pour accéder aux référentiels Amazon Linux 2023 dans la région us-east-1.

```
{       
    "Statement": [                                       
        {                                                        
            "Sid": "AmazonLinux2023AMIRepositoryAccess",
            "Effect": "Allow",           
            "Principal": "*",                    
            "Action": "s3:GetObject",                    
            "Resource": [                                
                 "arn:aws:s3:::al2023-repos-us-east-1-de612dc2/*"
            ]                                            
        }                                                
    ]                                                    
 }
```

## Régions disponibles
<a name="private-subnet-iampolicy-regions"></a>

Le tableau suivant contient une liste de compartiments par région et inclut à la fois un Amazon Resource Name (ARN) pour le référentiel et une chaîne représentant l'ARN du. `appinfo.src` L'ARN, ou Amazon Resource Name, est une chaîne qui identifie une AWS ressource de manière unique.


| Région | Buckets de référentiel | AppInfo seau | 
| --- | --- | --- | 
| USA Est (Ohio) | « arn:aws:s3 : : packages.us-east-2.amazonaws.com/», « arn:aws:s3 : : repo.us-east-2.amazonaws.com/», « arn:aws:s3 : :repo.us-east-2.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.us-east-2.appinfo.src/\$1 » | 
| USA Est (Virginie du Nord) | « arn:aws:s3 : : packages.us-east-1.amazonaws.com/», « arn:aws:s3 : : repo.us-east-1.amazonaws.com/», « arn:aws:s3 : :repo.us-east-1.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.us-east-1.appinfo.src/\$1 » | 
| USA Ouest (Californie du Nord) | « arn:aws:s3 : : packages.us-west-1.amazonaws.com/», « arn:aws:s3 : : repo.us-west-1.amazonaws.com/», « arn:aws:s3 : :repo.us-west-1.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.us-west-1.appinfo.src/\$1 » | 
| USA Ouest (Oregon) | « arn:aws:s3 : : packages.us-west-2.amazonaws.com/», « arn:aws:s3 : : repo.us-west-2.amazonaws.com/», « arn:aws:s3 : :repo.us-west-2.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.us-west-2.appinfo.src/\$1 » | 
| Afrique (Le Cap) | « arn:aws:s3 : : packages.af-south-1.amazonaws.com/», « arn:aws:s3 : : repo.af-south-1.amazonaws.com/», « arn:aws:s3 : :repo.af-south-1.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.af-south-1.appinfo.src/\$1 » | 
| Afrique (Le Cap) | « arn:aws:s3 : : packages.ap-east-1.amazonaws.com/», « arn:aws:s3 : : repo.ap-east-1.amazonaws.com/», « arn:aws:s3 : :repo.ap-east-1.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.ap-east-1.appinfo.src/\$1 » | 
| Asie-Pacifique (Hyderabad) | « arn:aws:s3 : : packages.ap-south-2.amazonaws.com/», « arn:aws:s3 : : repo.ap-south-2.amazonaws.com/», « arn:aws:s3 : :repo.ap-south-2.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.ap-south-2.appinfo.src/\$1 » | 
| Asie-Pacifique (Jakarta) | « arn:aws:s3 : : packages.ap-southeast-3.amazonaws.com/», « arn:aws:s3 : repo.ap-southeast-3.amazonaws.com/», « arn:aws:s3 : :repo.ap-southeast-3.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.ap-southeast-3.appinfo.src/\$1 » | 
| Asie-Pacifique (Malaisie) | « arn:aws:s3 : : packages.ap-southeast-5.amazonaws.com/», « arn:aws:s3 : repo.ap-southeast-5.amazonaws.com/», « arn:aws:s3 : :repo.ap-southeast-5.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.ap-southeast-5.appinfo.src/\$1 » | 
| Asie-Pacifique (Melbourne) | « arn:aws:s3 : : packages.ap-southeast-4.amazonaws.com/», « arn:aws:s3 : repo.ap-southeast-4.amazonaws.com/», « arn:aws:s3 : :repo.ap-southeast-4.emr.amazonaws.com/\$1 » | « arn:aws:s3 : :prod.ap-south-4.appinfo.src/\$1 » | 
| Asie-Pacifique (Mumbai) | « arn:aws:s3 : : packages.ap-south-1.amazonaws.com/», « arn:aws:s3 : : repo.ap-south-1.amazonaws.com/», « arn:aws:s3 : :repo.ap-south-1.emr.amazonaws.com/\$1 » | « arn:aws:s3 : :prod.ap-south-1.appinfo.src/\$1 » | 
| Asie-Pacifique (Osaka) | « arn:aws:s3 : : packages.ap-northeast-3.amazonaws.com/», « arn:aws:s3 : repo.ap-northeast-3.amazonaws.com/», « arn:aws:s3 : :repo.ap-northeast-3.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.ap-northeast-3.appinfo.src/\$1 » | 
| Asie-Pacifique (Séoul) | « arn:aws:s3 : : packages.ap-northeast-2.amazonaws.com/», « arn:aws:s3 : repo.ap-northeast-2.amazonaws.com/», « arn:aws:s3 : :repo.ap-northeast-2.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.ap-northeast-2.appinfo.src/\$1 » | 
| Asie-Pacifique (Singapour) | « arn:aws:s3 : : packages.ap-southeast-1.amazonaws.com/», « arn:aws:s3 : repo.ap-southeast-1.amazonaws.com/», « arn:aws:s3 : :repo.ap-southeast-1.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.ap-southeast-1.appinfo.src/\$1 » | 
| Asie-Pacifique (Sydney) | « arn:aws:s3 : : packages.ap-southeast-2.amazonaws.com/», « arn:aws:s3 : repo.ap-southeast-2.amazonaws.com/», « arn:aws:s3 : :repo.ap-southeast-2.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.ap-southeast-2.appinfo.src/\$1 » | 
| Asie-Pacifique (Tokyo) | « arn:aws:s3 : : packages.ap-northeast-1.amazonaws.com/», « arn:aws:s3 : repo.ap-northeast-1.amazonaws.com/», « arn:aws:s3 : :repo.ap-northeast-1.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.ap-northeast-1.appinfo.src/\$1 » | 
| Canada (Centre) | « arn:aws:s3 : : packages.ca-central-1.amazonaws.com/», « arn:aws:s3 : : repo.ca-central-1.amazonaws.com/», « arn:aws:s3 : :repo.ca-central-1.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.ca-central-1.appinfo.src/\$1 » | 
| Canada Ouest (Calgary) | « arn:aws:s3 : : packages.ca-west-1.amazonaws.com/», « arn:aws:s3 : : repo.ca-west-1.amazonaws.com/», « arn:aws:s3 : :repo.ca-west-1.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.ca-west-1.appinfo.src/\$1 » | 
| Europe (Francfort) | « arn:aws:s3 : : packages.eu-central-1.amazonaws.com/», « arn:aws:s3 : : repo.eu-central-1.amazonaws.com/», « arn:aws:s3 : :repo.eu-central-1.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.eu-central-1.appinfo.src/\$1 » | 
| Europe (Irlande) | « arn:aws:s3 : : packages.eu-west-1.amazonaws.com/», « arn:aws:s3 : : repo.eu-west-1.amazonaws.com/», « arn:aws:s3 : :repo.eu-west-1.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.eu-west-1.appinfo.src/\$1 » | 
| Europe (Londres) | « arn:aws:s3 : : packages.eu-west-2.amazonaws.com/», « arn:aws:s3 : : repo.eu-west-2.amazonaws.com/», « arn:aws:s3 : :repo.eu-west-2.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.eu-west-2.appinfo.src/\$1 » | 
| Europe (Milan) | « arn:aws:s3 : : packages.eu-south-1.amazonaws.com/», « arn:aws:s3 : repo.eu-south-1.amazonaws.com/», « arn:aws:s3 : :repo.eu-south-1.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.eu-south-1.appinfo.src/\$1 » | 
| Europe (Paris) | « arn:aws:s3 : : packages.eu-west-3.amazonaws.com/», « arn:aws:s3 : : repo.eu-west-3.amazonaws.com/», « arn:aws:s3 : :repo.eu-west-3.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.eu-west-3.appinfo.src/\$1 » | 
| Europe (Espagne) | « arn:aws:s3 : : packages.eu-south-2.amazonaws.com/», « arn:aws:s3 : : repo.eu-south-2.amazonaws.com/», « arn:aws:s3 : :repo.eu-south-2.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.eu-south-2.appinfo.src/\$1 » | 
| Europe (Stockholm) | « arn:aws:s3 : : packages.eu-north-1.amazonaws.com/», « arn:aws:s3 : : repo.eu-north-1.amazonaws.com/», « arn:aws:s3 : :repo.eu-north-1.emr.amazonaws.com/\$1 » | « arn:aws:s3 : :prod.eu-north-1.appinfo.src/\$1 » | 
| Europe (Zurich) | « arn:aws:s3 : : packages.eu-central-2.amazonaws.com/», « arn:aws:s3 : : repo.eu-central-2.amazonaws.com/», « arn:aws:s3 : :repo.eu-central-2.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.eu-central-2.appinfo.src/\$1 » | 
| Israël (Tel Aviv) | « arn:aws:s3 : : packages.il-central-1.amazonaws.com/», « arn:aws:s3 : : repo.il-central-1.amazonaws.com/», « arn:aws:s3 : :repo.il-central-1.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.il-central-1.appinfo.src/\$1 » | 
| Moyen-Orient (Bahreïn) | « arn:aws:s3 : : packages.me-south-1.amazonaws.com/», « arn:aws:s3 : : repo.me-south-1.amazonaws.com/», « arn:aws:s3 : :repo.me-south-1.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.me-south-1.appinfo.src/\$1 » | 
| Moyen-Orient (EAU) | « arn:aws:s3 : : packages.me-central-1.amazonaws.com/», « arn:aws:s3 : : repo.me-central-1.amazonaws.com/», « arn:aws:s3 : :repo.me-central-1.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.me-central-1.appinfo.src/\$1 » | 
| Amérique du Sud (São Paulo) | « arn:aws:s3 : : packages.sa-east-1.amazonaws.com/», « arn:aws:s3 : : repo.sa-east-1.amazonaws.com/», « arn:aws:s3 : :repo.sa-east-1.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.sa-east-1.appinfo.src/\$1 » | 
| AWS GovCloud (USA Est) | « arn:aws:s3 : ::packages. us-gov-east-1.amazonaws.com/ », "arn:aws:s3 : ::repo. us-gov-east-1.amazonaws.com/ », "arn:aws:s3 : ::repo. us-gov-east-1.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod. us-gov-east-1. appinfo.src/\$1 » | 
| AWS GovCloud (US-Ouest) | « arn:aws:s3 : ::packages. us-gov-west-1.amazonaws.com/ », "arn:aws:s3 : ::repo. us-gov-west-1.amazonaws.com/ », "arn:aws:s3 : ::repo. us-gov-west-1.emr.amazonaws.com/\$1 » | « arn:aws:s3 : ::prod.me-south-1.appinfo.src/\$1 » | 

## Plus de ressources pour en savoir plus sur VPCs
<a name="emr-resources-about-vpcs"></a>

Consultez les rubriques suivantes pour en savoir plus sur VPCs les sous-réseaux.
+ Sous-réseaux privés dans un VPC
  + [Scénario 2 : VPC avec des sous-réseaux publics et privés (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)
  + [Instances NAT](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_NAT_Instance.html)
  + [Solution haute disponibilité des instances NAT sur Amazon VPC : un exemple](https://aws.amazon.com/articles/2781451301784570)
+ Sous-réseaux publics dans un VPC
  + [Scénario 1 : VPC avec un seul sous-réseau public](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario1.html)
+ Informations générales sur les VPC
  + [Amazon VPC User Guide](https://docs.aws.amazon.com/vpc/latest/userguide/)
  + [Appairage de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html)
  + [Utilisation d'Elastic Network Interfaces avec votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html)
  + [Se connecter en sécurité aux instances Linux s'exécutant dans un VPC privé](https://blogs.aws.amazon.com/security/post/Tx3N8GFK85UN1G6/Securely-connect-to-Linux-instances-running-in-a-private-Amazon-VPC)