View a markdown version of this page

Beispielrichtlinien für private Subnetze, die auf Amazon S3 zugreifen - Amazon EMR
Erforderliche BucketsBeispielrichtline

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispielrichtlinien für private Subnetze, die auf Amazon S3 zugreifen

Wenn Sie einen Amazon EMR-Cluster in einem privaten Subnetz starten, müssen Sie eine Route zu Amazon S3 angeben. Standardmäßig ermöglicht ein Gateway-Endpunkt für Amazon S3 den Zugriff auf alle Buckets. Sie können eine VPC-Endpunktrichtlinie erstellen, um den Zugriff auf bestimmte Buckets zu beschränken. In diesem Fall müssen Sie Richtlinienerklärungen hinzufügen, die den Zugriff auf die spezifischen S3-Buckets ermöglichen, die von Amazon EMR benötigt werden. Weitere Informationen zu Amazon S3-Endpunkten finden Sie unter Gateway-Endpunkte für Amazon S3.

Es ist dem Benutzer überlassen, den Businessanforderungen entsprechende Richtlinieneinschränkungen festzulegen. Auf dieser Seite werden die Buckets beschrieben, die Amazon EMR benötigt, um einen Cluster erfolgreich zu starten, gefolgt von einem Beispiel für eine VPC-Endpunktrichtlinie, die Zugriff auf diese Buckets gewährt.

Erforderliche Buckets

Amazon Linux-AMI-Repositorys

Alle Amazon EMR-Cluster benötigen Zugriff auf Amazon Linux-Repositorys. Die spezifischen Bucket-ARNs hängen von der verwendeten Version von Amazon Linux ab, die von der verwendeten Amazon EMR-Version abhängt:

  • Amazon EMR 5.29.0 und früher: AL1-Repos und arn:aws:s3:::packages.region.amazonaws.com arn:aws:s3:::repo.region.amazonaws.com

  • Amazon EMR 5.30.0 bis 6.15.0: AL2-Repos und arn:aws:s3:::amazonlinux.region.amazonaws.com arn:aws:s3:::amazonlinux-2-repos-region

  • Amazon EMR 7.0.0 und höher: AL2023 repo arn:aws:s3:::al2023-repos-region-de612dc2

Amazon EMR-Repositorien

Amazon EMR 5.22.0 und höher benötigen Zugriff auf den EMR-Repository-Bucket. arn:aws:s3:::repo.region.emr.amazonaws.com

Amazon EMR 8.0.0 und höher und Amazon EMR Spark 8.0.0 und höher benötigen Zugriff auf die EMR-Instance-Daten-Buckets und. arn:aws:s3:::aws157-instance-data-0-prod-region arn:aws:s3:::aws157-instance-data-1-prod-region

In der ap-southeast-2 werden diese Buckets stattdessen mit und benannt. arn:aws:s3:::aws157-instance-data-bucket-0-prod-ap-southeast-2 arn:aws:s3:::aws157-instance-data-bucket-1-prod-ap-southeast-2

Protokollierung

Wenn Sie die Cluster-Protokollierung aktivieren, benötigen Sie PUT-Berechtigungen für den Bucket, den Sie bei der Erstellung des Clusters als Protokollziel angeben, sowie für den Systemprotokoll-Bucket. In der Region us-east-1 ist der Bucket ARNarn:aws:s3:::aws157-logs-prod; für alle anderen Regionen ist der Bucket ARN. arn:aws:s3:::aws157-logs-prod-region

Persistente Anwendungsbenutzeroberflächen

Um mit Amazon EMR 5.25.0 oder höher den Zugriff auf persistente Anwendungsbenutzeroberflächen mit einem Klick zu ermöglichen, müssen Sie Amazon EMR den Zugriff auf den System-Bucket gestatten, der Anwendungsprotokolle sammelt. arn:aws:s3:::prod.region.appinfo.src Weitere Informationen finden Sie unter Benutzerschnittstellen für persistente Anwendungen in Amazon EMR anzeigen.

Beispielrichtline

Die folgende Beispielrichtlinie stellt die erforderlichen Berechtigungen bereit, um einen Amazon EMR 8.0.0-Cluster in einem privaten Subnetz in der Region US-East-2 zu starten, wobei Protokollierung und persistente Anwendungsbenutzeroberflächen aktiviert sind.

{
  "Version":"2012-10-17", 
  "Statement": [
    {
      "Sid": "AmazonLinux2023AMIRepositoryAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::al2023-repos-us-east-2-de612dc2/*"
      ]
    },
    {
      "Sid": "EmrRepositoryAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::repo.us-east-2.emr.amazonaws.com/*",
        "arn:aws:s3:::aws157-instance-data-0-prod-us-east-2/*",
        "arn:aws:s3:::aws157-instance-data-1-prod-us-east-2/*"
      ]
    },
    {
      "Sid": "EnableClusterLogs",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:Put*"
      ],
      "Resource": [
        "arn:aws:s3:::aws157-logs-prod-us-east-2/*",
        "arn:aws:s3:::my-logs-bucket/*"
      ]
    },
    {
      "Sid": "EnableApplicationHistory",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:Put*",
        "s3:Get*",
        "s3:Create*",
        "s3:Abort*",
        "s3:List*"
      ],
      "Resource": [
        "arn:aws:s3:::prod.us-east-2.appinfo.src/*"
      ]
    }
  ]
}