Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh kebijakan untuk subnet pribadi yang mengakses Amazon S3

Saat meluncurkan cluster EMR Amazon di subnet pribadi, Anda harus menyediakan rute ke Amazon S3. Secara default, titik akhir gateway untuk Amazon S3 memungkinkan akses ke semua bucket. Anda dapat membuat kebijakan titik akhir VPC untuk membatasi akses ke bucket tertentu; jika melakukannya, Anda perlu menambahkan pernyataan kebijakan yang memungkinkan akses ke bucket S3 tertentu yang diperlukan oleh Amazon EMR. Untuk informasi selengkapnya tentang titik akhir Amazon S3, lihat titik akhir Gateway untuk Amazon S3.

Anda dapat menentukan batasan kebijakan yang memenuhi kebutuhan bisnis sesuai keinginan Anda. Halaman ini merinci bucket yang diperlukan oleh Amazon EMR agar berhasil meluncurkan klaster, diikuti dengan contoh kebijakan titik akhir VPC yang memberikan akses ke bucket tersebut.

Ember yang dibutuhkan

Repositori AMI Amazon Linux

Semua cluster EMR Amazon memerlukan akses ke repositori Amazon Linux. Bucket ARN spesifik bergantung pada versi Amazon Linux yang digunakan, yang bergantung pada rilis EMR Amazon yang digunakan:

Repositori EMR Amazon

Amazon EMR 5.22.0 dan yang lebih baru memerlukan akses ke ember repositori EMR. arn:aws:s3:::repo.region.emr.amazonaws.com

Amazon EMR 8.0.0 dan yang lebih baru dan Amazon EMR Spark 8.0.0 dan yang lebih baru memerlukan akses ke bucket data instans EMR dan. arn:aws:s3:::aws157-instance-data-0-prod-region arn:aws:s3:::aws157-instance-data-1-prod-region

Di wilayah ap-southeast-2, ember ini diberi nama dan. arn:aws:s3:::aws157-instance-data-bucket-0-prod-ap-southeast-2 arn:aws:s3:::aws157-instance-data-bucket-1-prod-ap-southeast-2

Pencatatan log

Jika mengaktifkan pencatatan klaster, Anda memerlukan izin PUT untuk bucket yang Anda tentukan sebagai tujuan log saat membuat cluster, serta bucket log sistem. Di wilayah us-east-1, ember ARN arn:aws:s3:::aws157-logs-prod adalah; untuk semua wilayah lain, ember ARN adalah. arn:aws:s3:::aws157-logs-prod-region

Antarmuka pengguna aplikasi persisten

Dengan Amazon EMR 5.25.0 atau yang lebih baru, untuk mengaktifkan akses sekali klik ke antarmuka pengguna aplikasi persisten, Anda harus mengizinkan Amazon EMR mengakses bucket sistem yang mengumpulkan log aplikasi. arn:aws:s3:::prod.region.appinfo.src Untuk informasi selengkapnya, lihat Melihat antarmuka pengguna aplikasi persisten di Amazon EMR.

Contoh kebijakan

Kebijakan contoh berikut memberikan izin yang diperlukan untuk meluncurkan klaster Amazon EMR 8.0.0 di subnet pribadi di wilayah us-east-2, dengan pencatatan dan antarmuka pengguna aplikasi persisten diaktifkan.

{
  "Version":"2012-10-17", 
  "Statement": [
    {
      "Sid": "AmazonLinux2023AMIRepositoryAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::al2023-repos-us-east-2-de612dc2/*"
      ]
    },
    {
      "Sid": "EmrRepositoryAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::repo.us-east-2.emr.amazonaws.com/*",
        "arn:aws:s3:::aws157-instance-data-0-prod-us-east-2/*",
        "arn:aws:s3:::aws157-instance-data-1-prod-us-east-2/*"
      ]
    },
    {
      "Sid": "EnableClusterLogs",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:Put*"
      ],
      "Resource": [
        "arn:aws:s3:::aws157-logs-prod-us-east-2/*",
        "arn:aws:s3:::my-logs-bucket/*"
      ]
    },
    {
      "Sid": "EnableApplicationHistory",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:Put*",
        "s3:Get*",
        "s3:Create*",
        "s3:Abort*",
        "s3:List*"
      ],
      "Resource": [
        "arn:aws:s3:::prod.us-east-2.appinfo.src/*"
      ]
    }
  ]
}