Depósitos necesarios Ejemplo de política de

Ejemplos de políticas para subredes privadas que acceden a Amazon S3

Al lanzar un clúster de Amazon EMR en una subred privada, debe proporcionar una ruta a Amazon S3. De forma predeterminada, un punto de enlace de puerta de enlace para Amazon S3 permite el acceso a todos los buckets. Puede crear una política de puntos de conexión de VPC para restringir el acceso a buckets específicos; si lo hace, tendrá que añadir declaraciones de política que permitan el acceso a los buckets S3 específicos que requiere Amazon EMR. Para obtener más información sobre los puntos de enlace de Amazon S3, consulte Puntos de enlace de puerta de enlace para Amazon S3.

Usted debe determinar las restricciones de política que satisfacen sus necesidades empresariales. En esta página se detallan los buckets que Amazon EMR necesita para lanzar correctamente un clúster, seguidos de un ejemplo de política de puntos de conexión de VPC que permite el acceso a esos buckets.

Depósitos necesarios

Repositorios de AMI de Amazon Linux

Todos los clústeres de Amazon EMR requieren acceso a los repositorios de Amazon Linux. Los ARN de bucket específicos dependen de la versión de Amazon Linux que se utilice, que depende de la versión de Amazon EMR que se utilice:

Amazon EMR 5.29.0 y versiones anteriores: repositorios AL1 y arn:aws:s3:::packages.region.amazonaws.com arn:aws:s3:::repo.region.amazonaws.com
Amazon EMR 5.30.0 a 6.15.0: repositorios AL2 y arn:aws:s3:::amazonlinux.region.amazonaws.com arn:aws:s3:::amazonlinux-2-repos-region
Amazon EMR 7.0.0 y versiones posteriores: repositorio AL2023 arn:aws:s3:::al2023-repos-region-de612dc2

Repositorios de Amazon EMR

Amazon EMR 5.22.0 y versiones posteriores requieren acceso al depósito del repositorio de EMR. arn:aws:s3:::repo.region.emr.amazonaws.com

Amazon EMR 8.0.0 y versiones posteriores y Amazon EMR Spark 8.0.0 y versiones posteriores requieren acceso a los depósitos de datos de la instancia de EMR y. arn:aws:s3:::aws157-instance-data-0-prod-region arn:aws:s3:::aws157-instance-data-1-prod-region

En la región ap-southeast-2, estos cubos se denominan en su lugar y. arn:aws:s3:::aws157-instance-data-bucket-0-prod-ap-southeast-2 arn:aws:s3:::aws157-instance-data-bucket-1-prod-ap-southeast-2

Registro

Si habilita el registro de clústeres, necesitará permisos PUT para el depósito que especificó como destino del registro al crear el clúster, así como para el depósito de registros del sistema. En la región us-east-1, el ARN del segmento es; para todas las demás regiones, el ARN del segmento arn:aws:s3:::aws157-logs-prod es. arn:aws:s3:::aws157-logs-prod-region

Interfaces de usuario de aplicaciones persistentes

Con Amazon EMR 5.25.0 o una versión posterior, para permitir el acceso con un clic a las interfaces de usuario de las aplicaciones persistentes, debe permitir que Amazon EMR acceda al depósito del sistema que recopila los registros de las aplicaciones. arn:aws:s3:::prod.region.appinfo.src Para obtener más información, consulte Ver las interfaces de usuario de aplicaciones persistentes en Amazon EMR.

Ejemplo de política de

El siguiente ejemplo de política proporciona los permisos necesarios para lanzar un clúster de Amazon EMR 8.0.0 en una subred privada de la región us-east-2, con las interfaces de usuario de aplicaciones persistentes y de registro habilitadas.


{
  "Version":"2012-10-17", 
  "Statement": [
    {
      "Sid": "AmazonLinux2023AMIRepositoryAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::al2023-repos-us-east-2-de612dc2/*"
      ]
    },
    {
      "Sid": "EmrRepositoryAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::repo.us-east-2.emr.amazonaws.com/*",
        "arn:aws:s3:::aws157-instance-data-0-prod-us-east-2/*",
        "arn:aws:s3:::aws157-instance-data-1-prod-us-east-2/*"
      ]
    },
    {
      "Sid": "EnableClusterLogs",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:Put*"
      ],
      "Resource": [
        "arn:aws:s3:::aws157-logs-prod-us-east-2/*",
        "arn:aws:s3:::my-logs-bucket/*"
      ]
    },
    {
      "Sid": "EnableApplicationHistory",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:Put*",
        "s3:Get*",
        "s3:Create*",
        "s3:Abort*",
        "s3:List*"
      ],
      "Resource": [
        "arn:aws:s3:::prod.us-east-2.appinfo.src/*"
      ]
    }
  ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Lanzamiento de clústeres en una VPC con Amazon EMR

Configurar flotas de instancias o grupos de instancias