Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Conexión a Amazon EMR en EKS mediante un punto de conexión de VPC de interfaz
<a name="security-vpc"></a>

Puede conectarse directamente a Amazon EMR en EKS mediante los [puntos de enlace de Interface VPC () de su Virtual Private Cloud (VPC AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) en lugar de conectarse a través de Internet. Cuando utiliza un punto final de VPC de interfaz, la comunicación entre su VPC y Amazon EMR en EKS se lleva a cabo íntegramente dentro de la red. AWS Cada punto final de la VPC está representado por una o más [interfaces de red elásticas (ENIs)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) con direcciones IP privadas en las subredes de la VPC.

El punto de conexión de la VPC de la interfaz conecta la VPC directamente a Amazon EMR en EKS sin necesidad de una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión Direct Connect. AWS Las instancias de la VPC no necesitan direcciones IP públicas para comunicarse con la API de Amazon EMR en EKS.

Puede crear un punto de enlace de VPC de interfaz para conectarse a Amazon EMR en EKS mediante los comandos Consola de administración de AWS o AWS Command Line Interface ().AWS CLI Para obtener más información, consulte [Creación de un punto de conexión de interfaz](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint).

Después de crear un punto de conexión de VPC de interfaz, si habilita nombres de host de DNS privados para el punto de conexión, el punto de conexión predeterminado de Amazon EMR en EKS se resuelve en el punto de conexión de VPC. El punto de conexión del nombre de servicio predeterminado para Amazon EMR en EKS tiene el siguiente formato.

```
emr-containers.Region.amazonaws.com
```

Si no habilita nombres de host de DNS privados, Amazon VPC proporciona un nombre de punto de conexión de DNS que puede utilizar en el siguiente formato.

```
VPC_Endpoint_ID.emr-containers.Region.vpce.amazonaws.com
```

Para obtener más información, consulte [Interface VPC Endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) en la Guía del usuario de Amazon VPC. Amazon EMR en EKS permite llamar a todas sus [Acciones de la API](https://docs.aws.amazon.com/emr-on-eks/latest/APIReference/API_Operations.html) en su VPC. 

Puede adjuntar políticas de punto de conexión de VPC a un punto de conexión de VPC para controlar el acceso de las entidades principales de IAM. También puede asociar grupos de seguridad con un punto de conexión de VPC para controlar el acceso de entrada y salida en función del origen y el destino del tráfico de red, como un rango de direcciones IP. Para obtener más información, consulte [Control del acceso a los servicios con Puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).

## Crear una política de punto de conexión de VPC para Amazon EMR en EKS
<a name="security-vpc-examples"></a>

Puede crear una política para los puntos de conexión de VPC de Amazon para Amazon EMR en EKS y especificar lo siguiente:
+ La entidad principal que puede o no puede realizar acciones
+ Las acciones que se pueden realizar
+ Los recursos en los que se pueden llevar a cabo las acciones

Para obtener más información, consulte [Controlar el acceso a servicios con puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) en la Guía del usuario de Amazon VPC.

**Example Política de punto final de VPC para denegar todo el acceso desde una cuenta específica AWS**  
La siguiente política de punto final de VPC deniega a la AWS cuenta {{123456789012}} todo acceso a los recursos que utilizan el punto final.  

```
{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "{{123456789012}}"
                ]
            }
        }
    ]
}
```

**Example Política de punto de conexión de VPC para permitir el acceso de VPC solo a una entidad principal de IAM especificada (usuario)**  
La siguiente política de puntos finales de VPC permite el acceso total solo al usuario {{lijuan}} de IAM de la cuenta. AWS {{123456789012}} A las demás entidades principales de IAM se les deniega el acceso a través del punto de enlace.  

```
{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::{{123456789012}}:user/{{lijuan}}"
                ]
            }
        }
    ]
}
```

**Example Política de punto de conexión de VPC para permitir operaciones de Amazon EMR en EKS de solo lectura**  
La siguiente política de puntos finales de VPC permite que solo la AWS cuenta realice {{123456789012}} las acciones de Amazon EMR especificadas en EKS.  
Las acciones especificadas proporcionan el equivalente al acceso de solo lectura para Amazon EMR en EKS. Las demás acciones en la VPC se deniegan para la cuenta especificada. A las demás cuentas se les deniega el acceso. Para obtener una lista de acciones de Amazon EMR en EKS, consulte [Acciones, recursos y claves de condición de Amazon EMR en EKS](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonemroneksemrcontainers.html).  

```
{
    "Statement": [
        {
            "Action": [
                "emr-containers:DescribeJobRun",
                "emr-containers:DescribeVirtualCluster",
                "emr-containers:ListJobRuns",
                "emr-containers:ListTagsForResource",
                "emr-containers:ListVirtualClusters"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "{{123456789012}}"
                ]
            }
        }
    ]
}
```

**Example Política de punto de conexión de VPC que deniega el acceso a un clúster virtual específico**  
La siguiente política de puntos finales de VPC permite el acceso total a todas las cuentas y entidades principales, pero deniega el acceso de la AWS cuenta {{123456789012}} a las acciones realizadas en el clúster virtual con el ID de clúster. {{A1B2CD34EF5G}} Se siguen permitiendo otras acciones de Amazon EMR en EKS que no admiten permisos en el nivel de los recursos para los clústeres virtuales. Para obtener una lista de las acciones de Amazon EMR en EKS y los tipos de recursos correspondientes, consulte [Acciones, recursos y claves de condición de Amazon EMR en EKS](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonemroneksemrcontainers.html) en la *Guía del usuario de AWS Identity and Access Management *.  

```
{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "arn:aws:emr-containers:us-west-2:{{123456789012}}:/virtualclusters/{{A1B2CD34EF5G}}",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}
```