View a markdown version of this page

Connect alle sessioni Athena Spark utilizzando un endpoint VPC di interfaccia - Amazon Athena
Endpoint supportatiConsiderazioniCrea un endpoint VPC per gli endpoint della sessione Athena SparkCrea una policy degli endpoint VPC per gli endpoint della sessione Athena Spark

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connect alle sessioni Athena Spark utilizzando un endpoint VPC di interfaccia

Per i gruppi di lavoro che utilizzano Apache Spark versione 3.5, puoi connetterti direttamente alle sessioni di Athena Spark utilizzando un'interfaccia VPC endpoint () nel tuo Virtual AWS PrivateLink Private Cloud (VPC) invece di connetterti tramite Internet. Quando utilizzi un endpoint VPC di interfaccia, la comunicazione tra il tuo VPC e gli endpoint della sessione Athena Spark viene condotta interamente all'interno della rete. AWS

Ogni endpoint VPC è rappresentato da una o più interfacce di rete elastiche (ENIs) con indirizzi IP privati nelle sottoreti VPC. Gli utenti del ENIs tuo VPC non hanno bisogno di indirizzi IP pubblici per comunicare con gli endpoint di sessione Athena Spark.

Per utilizzare gli endpoint di sessione Athena Spark tramite il tuo VPC, devi connetterti da un'istanza che si trova all'interno del VPC o connettere la tua rete privata al tuo VPC usando () o.Site-to-Site VPN AWS Direct Connect

Endpoint supportati

I seguenti endpoint di sessione Athena Spark supportano l'accesso privato tramite: AWS PrivateLink

Endpoint Description Nome del servizio
Spark Connect Endpoint gRPC per l'esecuzione remota del carico di lavoro Spark com.amazonaws.region.athena.sessions
Interfaccia utente live Monitoraggio delle attività Spark in tempo reale basato su browser com.amazonaws.region.athena.dashboard
Interfaccia utente persistente Spark History Server per sessioni completate com.amazonaws.region.athena.persistent-dashboard

Considerazioni

  • Per garantire che l'endpoint URLs della sessione sia accessibile solo dall'interno del tuo VPC, devi GetSessionEndpoint chiamare (Spark Connect) GetResourceDashboard o (Live UI e Persistent UI) tramite l'endpoint VPC dell'API Athena. Athena incorpora il VPC di origine nel token di accesso e impone l'accesso all'endpoint dallo stesso VPC.

  • È possibile accedere all'URL di un endpoint di sessione generato dall'interno di un VPC dallo stesso VPC o dalla rete Internet pubblica, ma non da un VPC diverso. Ciò supporta flussi di lavoro comuni in cui un token viene generato a livello di codice dall'interno di un VPC e l'URL del dashboard risultante viene aperto in un browser locale.

  • L'URL di un endpoint di sessione generato dalla rete Internet pubblica non è accessibile dall'interno di un VPC.

  • Le policy degli endpoint VPC non sono supportate sugli endpoint Athena Spark Connect, Live UI o Persistent UI.

  • Le policy degli endpoint VPC sono supportate sugli endpoint API Athena. Per controllare quali principali IAM possono richiamare gli endpoint dell'API Athena, applica una policy per gli endpoint VPC all'endpoint VPC dell'API Athena (). com.amazonaws.region.athena

Crea un endpoint VPC per gli endpoint della sessione Athena Spark

È possibile creare un endpoint VPC di interfaccia utilizzando o il Console di gestione AWS . AWS CLI

Per creare un endpoint utilizzando: AWS CLI

aws ec2 create-vpc-endpoint \
  --vpc-id <your-vpc-id> \
  --service-name com.amazonaws.<region>.athena.sessions \
  --vpc-endpoint-type Interface \
  --subnet-ids <subnet-id> \
  --security-group-ids <security-group-id> \
  --private-dns-enabled

Dopo aver creato l'endpoint e abilitato il DNS privato, l'URL della sessione Spark Connect si risolve automaticamente sull'endpoint VPC: non sono necessarie modifiche alla configurazione del client. SparkConnect Per ulteriori informazioni, consulta Creazione di un endpoint di interfaccia nella documentazione.AWS PrivateLink

Crea una policy degli endpoint VPC per gli endpoint della sessione Athena Spark

Le policy degli endpoint VPC non sono supportate sugli endpoint Athena Spark Connect, Live UI o Persistent UI.

Per controllare l'accesso, collega una policy per gli endpoint VPC all'endpoint dell'API Athena (). com.amazonaws.region.athena Poiché gli endpoint di sessione URLs sono associati al VPC da cui sono stati generati, il controllo di chi può GetSessionEndpoint chiamare GetResourceDashboard o tramite l'endpoint API controlla efficacemente l'accesso agli endpoint di sessione corrispondenti.

Per ulteriori informazioni, consulta Controllo dell'accesso ai servizi con endpoint VPC.

L'esempio seguente consente solo a un ruolo IAM specifico di generare un endpoint di sessione: URLs

{
  "Statement": [
    {
      "Action": [
        "athena:GetSessionEndpoint",
        "athena:GetResourceDashboard"
      ],
      "Effect": "Allow",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::<account-id>:role/<role-name>"
      }
    }
  ]
}