기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
인터페이스 VPC 엔드포인트를 사용하여 Amazon EMR에 연결
인터넷을 통해 연결하는 대신 Virtual Private Cloud(VPC)의 인터페이스 VPC 엔드포인트(AWS PrivateLink)를 사용하여 Amazon EMR에 직접 연결할 수 있습니다. 인터페이스 VPC 엔드포인트를 사용하면 VPC와 Amazon EMR 간의 통신이 전적으로 AWS 네트워크 내에서 수행됩니다. 각 VPC 엔드포인트는 하나 이상의 탄력적 네트워크 인터페이스(ENI) 및 VPC 서브넷의 프라이빗 IP 주소로 표현됩니다.
인터페이스 VPC 엔드포인트는 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 AWS Direct Connect 연결 없이 VPC를 Amazon EMR에 직접 연결합니다. VPC에 있는 인스턴스는 퍼블릭 IP 주소가 없어도 Amazon EMR API와 통신할 수 있습니다.
VPC를 통해 Amazon EMR을 사용하려면 VPC 내부에 있는 인스턴스에서 연결하거나 Amazon Virtual Private Network(VPN) 또는 AWS Direct Connect를 사용하여 프라이빗 네트워크를 VPC에 연결해야 합니다. Amazon VPN에 대한 내용은 Amazon Virtual Private Cloud 사용 설명서의 VPN 연결을 참조하세요. 에 대한 자세한 내용은 AWS Direct Connect 사용 설명서의 연결 생성을 AWS Direct Connect참조하세요.
AWS 콘솔 또는 AWS Command Line Interface (AWS CLI) 명령을 사용하여 Amazon EMR에 연결할 인터페이스 VPC 엔드포인트를 생성할 수 있습니다. 자세한 내용은 인터페이스 엔드포인트 생성을 참조하세요.
인터페이스 VPC 엔드포인트를 생성한 후 엔드포인트에 대해 프라이빗 DNS 호스트 이름을 활성화하는 경우 기본 Amazon EMR 엔드포인트는 VPC 엔드포인트로 확인됩니다. Amazon EMR에 대한 기본 서비스 이름 엔드포인트의 형식은 다음과 같습니다.
elasticmapreduce.Region.amazonaws.com
프라이빗 DNS 호스트 이름을 활성화하지 않은 경우, Amazon VPC는 다음 형식으로 사용할 수 있는 DNS 엔드포인트를 제공합니다.
VPC_Endpoint_ID.elasticmapreduce.Region.vpce.amazonaws.com
자세한 내용은 Amazon VPC 사용 설명서의 인터페이스 VPC 엔드포인트(AWS PrivateLink)를 참조하세요.
Amazon EMR은 VPC 내부에 있는 모든 API 작업에 대한 직접 호출을 지원합니다.
VPC 엔드포인트 정책을 VPC 엔드포인트에 연결하여 IAM 보안 주체에 대한 액세스를 제어할 수 있습니다. 보안 그룹을 VPC 엔드포인트와 연결하여 IP 주소 범위와 같은 네트워크 트래픽의 소스와 대상을 기반으로 인바운드 및 아웃바운드 액세스를 제어할 수도 있습니다. 자세한 내용은 VPC 엔드포인트를 사용하여 서비스에 대한 액세스 제어를 참조하세요.
Amazon EMR에 대한 VPC 엔드포인트 정책 생성
Amazon EMR에 대한 Amazon VPC 엔드포인트 정책을 생성하여 다음을 지정할 수 있습니다.
-
작업을 수행할 수 있거나 수행할 수 없는 보안 주체
-
수행할 수 있는 작업
-
작업을 수행할 수 있는 리소스
자세한 내용은 Amazon VPC 사용 설명서의 VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하세요.
예 - 지정된 AWS 계정의 모든 액세스를 거부하는 VPC 엔드포인트 정책
다음 VPC 엔드포인트 정책은 엔드포인트를 사용하여 리소스에 대한 모든 액세스를 AWS 계정 123456789012에 거부합니다.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
예 – 지정된 보안 주체(사용자)에 대해서만 VPC 액세스를 허용하는 VPC 엔드포인트 정책
다음 VPC 엔드포인트 정책은 AWS 계정 123456789012의 사용자 리후안에 대한 전체 액세스만 허용합니다. 다른 모든 IAM 보안 주체는 엔드포인트를 사용하는 액세스가 거부됩니다.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/lijuan" ] } }] }
예 - 읽기 전용 EMR 작업을 허용하는 VPC 엔드포인트 정책
다음 VPC 엔드포인트 정책은 AWS 계정 123456789012만 지정된 Amazon EMR 작업을 수행하도록 허용합니다.
지정된 작업은 Amazon EMR에 대한 읽기 전용 액세스 권한을 제공합니다. VPC의 다른 모든 작업은 지정된 계정에 대해 거부됩니다. 다른 모든 계정의 액세스는 거부됩니다. Amazon EMR 작업 목록을 보려면 Amazon EMR에 대한 작업, 리소스 및 조건 키를 참조하세요.
{ "Statement": [ { "Action": [ "elasticmapreduce:DescribeSecurityConfiguration", "elasticmapreduce:GetBlockPublicAccessConfiguration", "elasticmapreduce:ListBootstrapActions", "elasticmapreduce:ViewEventsFromAllClustersInConsole", "elasticmapreduce:ListSteps", "elasticmapreduce:ListInstanceFleets", "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups", "elasticmapreduce:DescribeStep", "elasticmapreduce:ListInstances", "elasticmapreduce:ListSecurityConfigurations", "elasticmapreduce:DescribeEditor", "elasticmapreduce:ListClusters", "elasticmapreduce:ListEditors" ], "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
예 - 지정된 클러스터에 대한 액세스를 거부하는 VPC 엔드포인트 정책
다음 VPC 엔드포인트 정책은 모든 계정 및 보안 주체에 대한 전체 액세스를 허용하지만 클러스터 ID가 j-A1B2CD34EF5G인 Amazon EMR 클러스터에서 수행된 작업에 대한 AWS 계정 123456789012의 모든 액세스를 거부합니다. 클러스터에 대한 리소스 수준 권한을 지원하지 않는 다른 Amazon EMR 작업은 여전히 허용됩니다. Amazon EMR 작업 및 해당 리소스 유형에 대한 목록은 Amazon EMR에 대한 작업, 리소스 및 조건 키를 참조하세요.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "arn:aws:elasticmapreduce:us-west-2:123456789012:cluster/j-A1B2CD34EF5G", "Principal": { "AWS": [ "123456789012" ] } } ] }
