本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用介面 VPC 端點連接至 Amazon EMR on EKS
您可以使用虛擬私有雲端 (VPC) 中的[介面 VPC 端點 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) 直接連接至 Amazon EMR on EKS,而非透過網際網路進行連接。當您使用介面 VPC 端點時,VPC 與 Amazon EMR on EKS 之間的通訊會完全在 AWS 網路中執行。每個 VPC 端點皆會由一個或多個具私有 IP 地址[彈性網路介面](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (ENI) 來表示,而該介面位於 VPC 子網路中。
介面 VPC 端點會將您的 VPC 直接連接到 Amazon EMR on EKS,無需網際網路閘道、NAT 裝置、VPN 連接或 AWS Direct Connect 連接。VPC 中的執行個體不需要公有 IP 地址,就能與 Amazon EMR on EKS API 進行通訊。
您可以使用 AWS 管理主控台 或 AWS Command Line Interface (AWS CLI) 命令,建立介面 VPC 端點以連線至 Amazon EMR on EKS。如需詳細資訊,請參閱[建立界面端點](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint)。
在建立介面 VPC 端點之後,如果您啟用了此端點的私有 DNS 主機名稱,則預設的 Amazon EMR on EKS 端點會解析為您的 VPC 端點。預設的 Amazon EMR on EKS 服務名稱端點會採用下列格式。
```
emr-containers.Region.amazonaws.com
```
如果您尚未啟用私有 DNS 主機名稱,Amazon VPC 會透過以下格式提供一個 DNS 端點名稱供您使用。
```
VPC_Endpoint_ID.emr-containers.Region.vpce.amazonaws.com
```
如需詳細資訊,請參閱《Amazon [VPC 使用者指南》中的界面 VPC 端點 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)。Amazon EMR on EKS 支援在您的 VPC 內呼叫其所有 [API 動作](https://docs.aws.amazon.com/emr-on-eks/latest/APIReference/API_Operations.html)。
可以將 VPC 端點政策附接至某個 VPC 端點,以控制 IAM 主體的存取權。您也可以將安全群組與 VPC 端點建立關聯,藉以根據網路流量的來源和目的地 (例如 IP 位址範圍) 來控制輸入和輸出存取。如需詳細資訊,請參閱[使用 VPC 端點控制服務的存取](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
## 為 Amazon EMR on EKS 建立 VPC 端點政策
可以為 Amazon EMR on EKS 的 Amazon VPC 端點建立政策,以指定下列各項:
+ 可執行或不可執行動作的委託人
+ 可執行的動作
+ 可在其中執行動作的資源
如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的[使用 VPC 端點控制服務的存取](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
**Example VPC 端點政策拒絕來自指定 AWS 帳戶的所有存取**
下列 VPC 端點政策拒絕 AWS 帳戶 {{123456789012}} 使用端點存取資源。
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": "*",
"Effect": "Deny",
"Resource": "*",
"Principal": {
"AWS": [
"{{123456789012}}"
]
}
}
]
}
```
**Example 可用來僅允許來自指定 IAM 主體 (使用者) 之 VPC 存取的 VPC 端點政策**
下列 VPC 端點政策僅允許完整存取 AWS 帳戶 {{123456789012}} 中的 IAM 使用者 {{lijuan}}。所有其他 IAM 主體均無法存取該端點。
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": {
"AWS": [
"arn:aws:iam::{{123456789012}}:user/{{lijuan}}"
]
}
}
]
}
```
**Example 可用來允許唯讀 Amazon EMR on EKS 操作的 VPC 端點政策**
下列 VPC 端點政策僅允許 AWS 帳戶 {{123456789012}} 執行指定的 Amazon EMR on EKS 動作。
指定的動作為 Amazon EMR on EKS 提供等效的唯讀存取權。拒絕指定的帳戶存取在該 VPC 上的所有其他動作。拒絕所有其他帳戶的任何存取。如需 Amazon EMR on EKS 動作清單,請參閱[適用於 Amazon EMR on EKS 的動作、資源及條件金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonemroneksemrcontainers.html)。
```
{
"Statement": [
{
"Action": [
"emr-containers:DescribeJobRun",
"emr-containers:DescribeVirtualCluster",
"emr-containers:ListJobRuns",
"emr-containers:ListTagsForResource",
"emr-containers:ListVirtualClusters"
],
"Effect": "Allow",
"Resource": "*",
"Principal": {
"AWS": [
"{{123456789012}}"
]
}
}
]
}
```
**Example 拒絕存取指定虛擬叢集的 VPC 端點政策**
下列 VPC 端點政策允許所有帳戶和主體的完整存取權,但拒絕對具有叢集 ID {{A1B2CD34EF5G}} 的虛擬叢集上執行的動作存取 AWS 帳戶 {{123456789012}}。仍然允許其他不支援虛擬叢集資源層級許可的 Amazon EMR on EKS 動作。如需 Amazon EMR on EKS 動作及其對應資源類型的清單,請參閱《AWS Identity and Access Management 使用者指南》**中的[適用於 Amazon EMR on EKS 的動作、資源及條件金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonemroneksemrcontainers.html)。
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": "*",
"Effect": "Deny",
"Resource": "arn:aws:emr-containers:us-west-2:{{123456789012}}:/virtualclusters/{{A1B2CD34EF5G}}",
"Principal": {
"AWS": [
"123456789012"
]
}
}
]
}
```