View a markdown version of this page

Exemplos de políticas para sub-redes privadas que acessam o Amazon S3 - Amazon EMR
Baldes necessáriosExemplo de política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplos de políticas para sub-redes privadas que acessam o Amazon S3

Ao iniciar um cluster do Amazon EMR em uma sub-rede privada, você deve fornecer uma rota para o Amazon S3. Por padrão, um endpoint de gateway para o Amazon S3 permite acesso a todos os buckets. Você pode criar uma política de VPC endpoint para restringir o acesso a buckets específicos; se você fizer isso, precisará adicionar declarações de política que permitam o acesso aos buckets específicos do S3 exigidos pelo Amazon EMR. Para obter mais informações sobre endpoints do Amazon S3, consulte Endpoints de gateway para o Amazon S3.

Cabe a você determinar as restrições da política que atendam às suas necessidades comerciais. Esta página detalha os buckets exigidos pelo Amazon EMR para iniciar um cluster com sucesso, seguidos por um exemplo de política de VPC endpoint que concede acesso a esses buckets.

Baldes necessários

Repositórios Amazon Linux AMI

Todos os clusters do Amazon EMR exigem acesso aos repositórios do Amazon Linux. Os ARNs de bucket específicos dependem da versão do Amazon Linux que está sendo usada, o que depende da versão do Amazon EMR que está sendo usada:

  • Amazon EMR 5.29.0 e versões anteriores: repositórios AL1 e arn:aws:s3:::packages.region.amazonaws.com arn:aws:s3:::repo.region.amazonaws.com

  • Amazon EMR 5.30.0 a 6.15.0: repositórios AL2 e arn:aws:s3:::amazonlinux.region.amazonaws.com arn:aws:s3:::amazonlinux-2-repos-region

  • Amazon EMR 7.0.0 e versões posteriores: repositório AL2023 arn:aws:s3:::al2023-repos-region-de612dc2

Repositórios do Amazon EMR

O Amazon EMR 5.22.0 e versões posteriores exigem acesso ao bucket do repositório do EMR. arn:aws:s3:::repo.region.emr.amazonaws.com

O Amazon EMR 8.0.0 e posterior e o Amazon EMR Spark 8.0.0 e posterior exigem acesso aos buckets de dados da instância do EMR e. arn:aws:s3:::aws157-instance-data-0-prod-region arn:aws:s3:::aws157-instance-data-1-prod-region

Na região ap-southeast-2, esses buckets são denominados e. arn:aws:s3:::aws157-instance-data-bucket-0-prod-ap-southeast-2 arn:aws:s3:::aws157-instance-data-bucket-1-prod-ap-southeast-2

Registro em log

Se você ativar o registro em cluster, precisará de permissões PUT para o bucket especificado como destino do log ao criar o cluster, bem como para o bucket de registros do sistema. Na região us-east-1, o ARN do bucket arn:aws:s3:::aws157-logs-prod é; para todas as outras regiões, o ARN do bucket é. arn:aws:s3:::aws157-logs-prod-region

Interfaces do usuário de aplicações persistentes

Com o Amazon EMR 5.25.0 ou posterior, para permitir o acesso com um clique às interfaces de usuário persistentes do aplicativo, você deve permitir que o Amazon EMR acesse o bucket do sistema que coleta os logs do aplicativo. arn:aws:s3:::prod.region.appinfo.src Para obter mais informações, consulte Visualizar interfaces de usuário de aplicativos persistentes no Amazon EMR.

Exemplo de política

O exemplo de política a seguir fornece as permissões necessárias para iniciar um cluster do Amazon EMR 8.0.0 em uma sub-rede privada na região us-east-2, com o registro e as interfaces de usuário de aplicativos persistentes ativadas.

{
  "Version":"2012-10-17", 
  "Statement": [
    {
      "Sid": "AmazonLinux2023AMIRepositoryAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::al2023-repos-us-east-2-de612dc2/*"
      ]
    },
    {
      "Sid": "EmrRepositoryAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::repo.us-east-2.emr.amazonaws.com/*",
        "arn:aws:s3:::aws157-instance-data-0-prod-us-east-2/*",
        "arn:aws:s3:::aws157-instance-data-1-prod-us-east-2/*"
      ]
    },
    {
      "Sid": "EnableClusterLogs",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:Put*"
      ],
      "Resource": [
        "arn:aws:s3:::aws157-logs-prod-us-east-2/*",
        "arn:aws:s3:::my-logs-bucket/*"
      ]
    },
    {
      "Sid": "EnableApplicationHistory",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:Put*",
        "s3:Get*",
        "s3:Create*",
        "s3:Abort*",
        "s3:List*"
      ],
      "Resource": [
        "arn:aws:s3:::prod.us-east-2.appinfo.src/*"
      ]
    }
  ]
}