View a markdown version of this page

Amazon S3 にアクセスするプライベートサブネットのサンプルポリシー - Amazon EMR
必要なバケットポリシーの例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon S3 にアクセスするプライベートサブネットのサンプルポリシー

プライベートサブネットで Amazon EMR クラスターを起動するときは、Amazon S3 へのルートを指定する必要があります。デフォルトでは、Amazon S3 のゲートウェイエンドポイントはすべてのバケットへのアクセスを許可します。VPC エンドポイントポリシーを作成して、特定のバケットへのアクセスを制限できます。その場合は、Amazon EMR に必要な特定の S3 バケットへのアクセスを許可するポリシーステートメントを追加する必要があります。Amazon S3 エンドポイントの詳細については、Amazon S3のゲートウェイエンドポイント」を参照してください。

ビジネスニーズに合ったポリシー制限は、お客様が決定します。このページでは、Amazon EMR がクラスターを正常に起動するために必要なバケットの詳細と、それらのバケットへのアクセスを許可する VPC エンドポイントポリシーの例を示します。

必要なバケット

Amazon Linux AMI リポジトリ

すべての Amazon EMR クラスターは、Amazon Linux リポジトリにアクセスする必要があります。特定のバケット ARNs は、使用されている Amazon Linux のバージョンによって異なります。これは、使用されている Amazon EMR リリースによって異なります。

  • Amazon EMR 5.29.0 以前: AL1 リポジトリarn:aws:s3:::packages.region.amazonaws.com.rproxy.govskope.caarn:aws:s3:::repo.region.amazonaws.com

  • Amazon EMR 5.30.0 から 6.15.0: AL2 リポジトリarn:aws:s3:::amazonlinux.region.amazonaws.com.rproxy.govskope.caarn:aws:s3:::amazonlinux-2-repos-region

  • Amazon EMR 7.0.0 以降: AL2023 リポジトリ arn:aws:s3:::al2023-repos-region-de612dc2

Amazon EMR リポジトリ

Amazon EMR 5.22.0 以降では、EMR リポジトリバケット にアクセスする必要がありますarn:aws:s3:::repo.region.emr.amazonaws.com

Amazon EMR 8.0.0 以降および Amazon EMR Spark 8.0.0 以降では、EMR インスタンスデータバケット arn:aws:s3:::aws157-instance-data-0-prod-region および にアクセスする必要がありますarn:aws:s3:::aws157-instance-data-1-prod-region

ap-southeast-2 リージョンでは、これらのバケットは代わりに arn:aws:s3:::aws157-instance-data-bucket-0-prod-ap-southeast-2および という名前になりますarn:aws:s3:::aws157-instance-data-bucket-1-prod-ap-southeast-2

ログ記録

クラスターログ記録を有効にする場合は、クラスターの作成時にログの送信先として指定したバケットとシステムログバケットの PUT アクセス許可が必要です。us-east-1 リージョンでは、バケット ARN は ですarn:aws:s3:::aws157-logs-prod。他のすべてのリージョンでは、バケット ARN は ですarn:aws:s3:::aws157-logs-prod-region

永続アプリケーションユーザーインターフェイス

Amazon EMR 5.25.0 以降では、永続的なアプリケーションユーザーインターフェイスへのワンクリックアクセスを有効にするには、アプリケーションログを収集するシステムバケット へのアクセスを Amazon EMR に許可する必要がありますarn:aws:s3:::prod.region.appinfo.src。詳細については、「Amazon EMR で永続アプリケーションユーザーインターフェイスを表示する」を参照してください。

ポリシーの例

次のポリシー例では、ログ記録と永続アプリケーションユーザーインターフェイスを有効にして、us-east-2 リージョンのプライベートサブネットで Amazon EMR 8.0.0 クラスターを起動するために必要なアクセス許可を提供します。

{
  "Version":"2012-10-17", 
  "Statement": [
    {
      "Sid": "AmazonLinux2023AMIRepositoryAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::al2023-repos-us-east-2-de612dc2/*"
      ]
    },
    {
      "Sid": "EmrRepositoryAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::repo.us-east-2.emr.amazonaws.com/*",
        "arn:aws:s3:::aws157-instance-data-0-prod-us-east-2/*",
        "arn:aws:s3:::aws157-instance-data-1-prod-us-east-2/*"
      ]
    },
    {
      "Sid": "EnableClusterLogs",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:Put*"
      ],
      "Resource": [
        "arn:aws:s3:::aws157-logs-prod-us-east-2/*",
        "arn:aws:s3:::my-logs-bucket/*"
      ]
    },
    {
      "Sid": "EnableApplicationHistory",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:Put*",
        "s3:Get*",
        "s3:Create*",
        "s3:Abort*",
        "s3:List*"
      ],
      "Resource": [
        "arn:aws:s3:::prod.us-east-2.appinfo.src/*"
      ]
    }
  ]
}