As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Conexão com o Amazon EMR no EKS usando um endpoint da VPC de interface
<a name="security-vpc"></a>

Você pode se conectar diretamente ao Amazon EMR no EKS usando [endpoints de interface VPC (AWS PrivateLink) em sua Virtual Private Cloud (VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) em vez de se conectar pela Internet. Quando você usa uma interface VPC endpoint, a comunicação entre sua VPC e o Amazon EMR no EKS é conduzida inteiramente dentro da rede. AWS Cada VPC endpoint é representado por uma ou mais [interfaces de rede elástica (ENIs)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) com endereços IP privados em suas sub-redes VPC.

A interface VPC endpoint conecta sua VPC diretamente ao Amazon EMR no EKS sem um gateway de internet, dispositivo NAT, conexão VPN ou conexão Direct Connect. AWS As instâncias em sua VPC não precisam de endereços IP públicos para se comunicarem com a API do Amazon EMR no EKS.

Você pode criar uma interface VPC endpoint para se conectar ao Amazon EMR no EKS usando os Console de gerenciamento da AWS comandos or (). AWS Command Line Interface AWS CLI Para obter mais informações, consulte [Criação de um endpoint de interface](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint).

Após criar um endpoint da VPC de interface, se você habilitar nomes de host DNS privados para o endpoint, o endpoint padrão do Amazon EMR no EKS será resolvido para seu endpoint da VPC. O endpoint de nome de serviço padrão para o Amazon EMR no EKS estará no formato a seguir.

```
emr-containers.Region.amazonaws.com
```

Se você não habilitar nomes de host DNS privados, a Amazon VPC fornecerá um nome de endpoint DNS que poderá ser usado no formato a seguir.

```
VPC_Endpoint_ID.emr-containers.Region.vpce.amazonaws.com
```

Para obter mais informações, consulte [Interface VPC Endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) no Guia do usuário da Amazon VPC. O Amazon EMR no EKS oferece suporte a chamadas para todas as [ações de API](https://docs.aws.amazon.com/emr-on-eks/latest/APIReference/API_Operations.html) dentro da sua VPC. 

Você pode anexar políticas de endpoint da VPC a um endpoint da VPC para controlar o acesso de entidades principais do IAM. Também é possível associar grupos de segurança a um VPC endpoint para controlar o acesso de entrada e saída com base na origem e no destino do tráfego de rede, como um intervalo de endereços IP. Para obter mais informações, consulte [Controlar o acesso a serviços com endpoints da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).

## Criação de uma política de endpoint da VPC para o Amazon EMR no EKS
<a name="security-vpc-examples"></a>

É possível criar uma política para endpoints da Amazon VPC para o Amazon EMR no EKS com a finalidade de especificar o seguinte:
+ O principal que pode ou não executar ações
+ As ações que podem ser executadas
+ Os recursos nos quais as ações podem ser executadas

Para obter mais informações, consulte [Controlling Access to Services with VPC Endpoints](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) no Guia do usuário da Amazon VPC.

**Example Política de VPC Endpoint para negar todo o acesso de uma conta especificada AWS**  
A política de VPC endpoint a seguir nega à AWS conta {{123456789012}} todo o acesso aos recursos que usam o endpoint.  

```
{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "{{123456789012}}"
                ]
            }
        }
    ]
}
```

**Example Política de endpoint da VPC para permitir o acesso à VPC somente a uma entidade principal do IAM (usuário) especificada**  
A política de VPC endpoint a seguir permite acesso total somente ao usuário {{lijuan}} do IAM na conta. AWS {{123456789012}} Todos os outros principais IAM têm acesso negado usando o endpoint.  

```
{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::{{123456789012}}:user/{{lijuan}}"
                ]
            }
        }
    ]
}
```

**Example Política de endpoint da VPC para permitir operações somente leitura do Amazon EMR no EKS**  
A política de VPC endpoint a seguir permite que somente {{123456789012}} a AWS conta execute as ações especificadas do Amazon EMR no EKS.  
As ações especificadas fornecem o equivalente ao acesso somente leitura para o Amazon EMR no EKS. Todas as outras ações na VPC serão negadas para a conta especificada. Todas as outras contas terão acesso negado. Para obter uma lista de ações do Amazon EMR no EKS, consulte [Ações, recursos e chaves de condição para o Amazon EMR no EKS](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonemroneksemrcontainers.html).  

```
{
    "Statement": [
        {
            "Action": [
                "emr-containers:DescribeJobRun",
                "emr-containers:DescribeVirtualCluster",
                "emr-containers:ListJobRuns",
                "emr-containers:ListTagsForResource",
                "emr-containers:ListVirtualClusters"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "{{123456789012}}"
                ]
            }
        }
    ]
}
```

**Example Política de endpoint da VPC com negação de acesso a um cluster virtual especificado**  
A política de VPC endpoint a seguir permite acesso total a todas as contas e entidades principais, mas nega qualquer acesso da AWS conta {{123456789012}} às ações executadas no cluster virtual com o ID do cluster. {{A1B2CD34EF5G}} Outras ações do Amazon EMR no EKS que não oferecem suporte a permissões em nível de recurso para clusters virtuais ainda são permitidas. Para obter uma lista de ações do Amazon EMR no EKS e seus tipos de recursos correspondentes, consulte [Ações, recursos e chaves de condição para o Amazon EMR no EKS](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonemroneksemrcontainers.html) no *Guia do usuário do AWS Identity and Access Management *.  

```
{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "arn:aws:emr-containers:us-west-2:{{123456789012}}:/virtualclusters/{{A1B2CD34EF5G}}",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}
```