Conectar-se ao Amazon EMR usando um endpoint da VPC de interface
Você pode se conectar diretamente ao Amazon EMR usando um endpoint da VPC de interface (AWS PrivateLink) em sua nuvem privada virtual (VPC), em vez de se conectar pela Internet. Quando você usa um endpoint da VPC, a comunicação entre a VPC e o Amazon EMR é realizada inteiramente dentro da rede da AWS. Cada endpoint da VPC é representado por uma ou mais interfaces de rede elástica (ENIs) com endereços IP privados nas sub-redes da VPC.
O endpoint da VPC de interface conecta a VPC diretamente ao Amazon EMR sem um gateway da Internet, dispositivo NAT, conexão VPN ou conexão Direct Connect. As instâncias em sua VPC não precisam de endereços IP públicos para se comunicarem com a API do Amazon EMR.
Para usar o Amazon EMR por meio da VPC, você deve se conectar de uma instância que esteja dentro da VPC ou conectar sua rede privada à VPC usando a rede privada virtual (VPN) da Amazon ou o Direct Connect. Para obter informações sobre o Amazon VPN, consulte Conexões VPN no Guia do usuário do Amazon Virtual Private Cloud. Para obter informações sobre o AWS Direct Connect, consulte Creating a connection (Criação de uma conexão) no Guia do usuário do Direct Connect.
É possível criar um endpoint da VPC de interface para se conectar ao Amazon EMR usando o console da AWS ou comandos da AWS Command Line Interface (AWS CLI). Para obter mais informações, consulte Creating an interface endpoint (Criação de um endpoint de interface).
Após criar um endpoint da VPC de interface, se você habilitar nomes de host DNS privados para o endpoint, o endpoint padrão do Amazon EMR será resolvido para seu endpoint da VPC. O endpoint de nome de serviço padrão para o Amazon EMR estará no formato a seguir.
elasticmapreduce.Region.amazonaws.com
Se você não habilitar nomes de host DNS privados, a Amazon VPC fornecerá um nome de endpoint DNS que poderá ser usado no formato a seguir.
VPC_Endpoint_ID.elasticmapreduce.Region.vpce.amazonaws.com
Para mais informações, consulte VPC endpoints de interface (AWS PrivateLink) no Guia do usuário da Amazon VPC.
O Amazon EMR oferece suporte a chamadas para todas as ações de API dentro da VPC.
Você pode anexar políticas de endpoint da VPC a um endpoint da VPC para controlar o acesso de entidades principais do IAM. Também é possível associar grupos de segurança a um VPC endpoint para controlar o acesso de entrada e saída com base na origem e no destino do tráfego de rede, como um intervalo de endereços IP. Para obter mais informações, consulte Controlling access to services with VPC endpoints.
Criar uma política de endpoint da VPC para o Amazon EMR
É possível criar uma política para endpoints da Amazon VPC para o Amazon EMR para especificar o seguinte:
-
O principal que pode ou não executar ações
-
As ações que podem ser executadas
-
Os recursos nos quais as ações podem ser executadas
Para mais informações, consulte Controlar o acesso a serviços com VPC endpoints no Guia do usuário da Amazon VPC.
exemplo – Política de endpoint da VPC para negar todo o acesso de uma conta da AWS especificada
A política de VPC endpoint a seguir nega à conta da AWS 123456789012 todos os acessos aos recursos que usam o endpoint.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
exemplo – Política de endpoint da VPC para permitir o acesso à VPC somente a uma entidade principal do IAM (usuário) especificada
A política de endpoint da VPC a seguir permite acesso total somente a um usuário do IAM lijuan na conta da AWS 123456789012. Todos os outros principais IAM têm acesso negado usando o endpoint.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/lijuan" ] } }] }
exemplo – Política de endpoint da VPC para permitir operações somente leitura do EMR
A política de endpoint da VPC a seguir permite que somente a conta da AWS 123456789012 execute as ações especificadas do Amazon EMR.
As ações especificadas fornecem o equivalente ao acesso somente leitura para o Amazon EMR. Todas as outras ações na VPC serão negadas para a conta especificada. Todas as outras contas terão acesso negado. Para obter uma lista de ações do Amazon EMR, consulte Ações, recursos e chaves de condição do Amazon EMR.
{ "Statement": [ { "Action": [ "elasticmapreduce:DescribeSecurityConfiguration", "elasticmapreduce:GetBlockPublicAccessConfiguration", "elasticmapreduce:ListBootstrapActions", "elasticmapreduce:ViewEventsFromAllClustersInConsole", "elasticmapreduce:ListSteps", "elasticmapreduce:ListInstanceFleets", "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups", "elasticmapreduce:DescribeStep", "elasticmapreduce:ListInstances", "elasticmapreduce:ListSecurityConfigurations", "elasticmapreduce:DescribeEditor", "elasticmapreduce:ListClusters", "elasticmapreduce:ListEditors" ], "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
exemplo – Política de endpoint da VPC negando acesso a um cluster especificado
A política de endpoint da VPC a seguir permite acesso total a todas as contas e entidades principais, mas nega qualquer acesso à conta da AWS 123456789012 a ações executadas no cluster do Amazon EMR com o ID de cluster j-A1B2CD34EF5G. Outras ações do Amazon EMR que não oferecem suporte a permissões de nível de recurso para clusters ainda são permitidas. Para obter uma lista de ações do Amazon EMR e seus tipos de recurso correspondentes, consulte Ações, recursos e chaves de condição do Amazon EMR.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "arn:aws:elasticmapreduce:us-west-2:123456789012:cluster/j-A1B2CD34EF5G", "Principal": { "AWS": [ "123456789012" ] } } ] }
