View a markdown version of this page

Exemples de politiques pour les sous-réseaux privés qui accèdent à Amazon S3 - Amazon EMR
Seaux requisExemple de stratégie

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples de politiques pour les sous-réseaux privés qui accèdent à Amazon S3

Lorsque vous lancez un cluster Amazon EMR dans un sous-réseau privé, vous devez fournir un itinéraire vers Amazon S3. Par défaut, un point de terminaison de passerelle pour Amazon S3 autorise l'accès à tous les compartiments. Vous pouvez créer une politique de point de terminaison VPC pour restreindre l'accès à des compartiments spécifiques ; dans ce cas, vous devrez ajouter des déclarations de politique autorisant l'accès aux compartiments S3 spécifiques requis par Amazon EMR. Pour plus d'informations sur les points de terminaison Amazon S3, consultez Points de terminaison Gateway pour Amazon S3.

Il vous appartient de déterminer les restrictions de stratégie répondant à vos besoins métier. Cette page détaille les compartiments requis par Amazon EMR pour lancer un cluster avec succès, suivie d'un exemple de politique de point de terminaison VPC autorisant l'accès à ces compartiments.

Seaux requis

Référentiels d'AMI Amazon Linux

Tous les clusters Amazon EMR nécessitent un accès aux référentiels Amazon Linux. Les ARN des compartiments spécifiques dépendent de la version d'Amazon Linux utilisée, qui dépend de la version Amazon EMR utilisée :

  • Amazon EMR 5.29.0 et versions antérieures : dépôts AL1 et arn:aws:s3:::packages.region.amazonaws.com arn:aws:s3:::repo.region.amazonaws.com

  • Amazon EMR 5.30.0 à 6.15.0 : dépôts AL2 et arn:aws:s3:::amazonlinux.region.amazonaws.com arn:aws:s3:::amazonlinux-2-repos-region

  • Amazon EMR 7.0.0 et versions ultérieures : dépôt AL2023 arn:aws:s3:::al2023-repos-region-de612dc2

Référentiels Amazon EMR

Amazon EMR 5.22.0 et versions ultérieures nécessitent l'accès au bucket du référentiel EMR. arn:aws:s3:::repo.region.emr.amazonaws.com

Amazon EMR 8.0.0 et versions ultérieures et Amazon EMR Spark 8.0.0 et versions ultérieures nécessitent un accès aux compartiments de données de l'instance EMR et. arn:aws:s3:::aws157-instance-data-0-prod-region arn:aws:s3:::aws157-instance-data-1-prod-region

Dans la région ap-southeast-2, ces compartiments sont plutôt nommés et. arn:aws:s3:::aws157-instance-data-bucket-0-prod-ap-southeast-2 arn:aws:s3:::aws157-instance-data-bucket-1-prod-ap-southeast-2

Logging

Si vous activez la journalisation du cluster, vous aurez besoin des autorisations PUT pour le compartiment que vous spécifiez comme destination du journal lors de la création du cluster, ainsi que pour le compartiment des journaux système. Dans la région us-east-1, l'ARN du bucket arn:aws:s3:::aws157-logs-prod est ; pour toutes les autres régions, c'est l'ARN du bucket. arn:aws:s3:::aws157-logs-prod-region

Interfaces utilisateur d'application persistante

Avec Amazon EMR 5.25.0 ou version ultérieure, pour permettre l'accès en un clic aux interfaces utilisateur persistantes des applications, vous devez autoriser Amazon EMR à accéder au compartiment système qui collecte les journaux des applications. arn:aws:s3:::prod.region.appinfo.src Pour plus d'informations, consultez Afficher les interfaces utilisateur persistantes des applications dans Amazon EMR.

Exemple de stratégie

L'exemple de politique suivant fournit les autorisations requises pour lancer un cluster Amazon EMR 8.0.0 dans un sous-réseau privé de la région us-east-2, avec la journalisation et les interfaces utilisateur persistantes des applications activées.

{
  "Version":"2012-10-17", 
  "Statement": [
    {
      "Sid": "AmazonLinux2023AMIRepositoryAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::al2023-repos-us-east-2-de612dc2/*"
      ]
    },
    {
      "Sid": "EmrRepositoryAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::repo.us-east-2.emr.amazonaws.com/*",
        "arn:aws:s3:::aws157-instance-data-0-prod-us-east-2/*",
        "arn:aws:s3:::aws157-instance-data-1-prod-us-east-2/*"
      ]
    },
    {
      "Sid": "EnableClusterLogs",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:Put*"
      ],
      "Resource": [
        "arn:aws:s3:::aws157-logs-prod-us-east-2/*",
        "arn:aws:s3:::my-logs-bucket/*"
      ]
    },
    {
      "Sid": "EnableApplicationHistory",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:Put*",
        "s3:Get*",
        "s3:Create*",
        "s3:Abort*",
        "s3:List*"
      ],
      "Resource": [
        "arn:aws:s3:::prod.us-east-2.appinfo.src/*"
      ]
    }
  ]
}