View a markdown version of this page

Politiche di esempio per sottoreti private che accedono ad Amazon S3 - Amazon EMR
Bucket richiestiPolicy di esempio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Politiche di esempio per sottoreti private che accedono ad Amazon S3

Quando avvii un cluster Amazon EMR in una sottorete privata, devi fornire un percorso verso Amazon S3. Per impostazione predefinita, un endpoint gateway per Amazon S3 consente l'accesso a tutti i bucket. Puoi creare una policy per gli endpoint VPC per limitare l'accesso a bucket specifici; in tal caso, dovrai aggiungere istruzioni di policy che consentano l'accesso ai bucket S3 specifici richiesti da Amazon EMR. Per ulteriori informazioni sugli endpoint Amazon S3, consulta Endpoint Gateway per Amazon S3.

Spetta a te determinare le restrizioni della policy che soddisfano le esigenze aziendali. Questa pagina descrive in dettaglio i bucket richiesti da Amazon EMR per avviare correttamente un cluster, seguita da un esempio di policy degli endpoint VPC che concede l'accesso a tali bucket.

Bucket richiesti

Repository AMI Amazon Linux

Tutti i cluster Amazon EMR richiedono l'accesso ai repository Amazon Linux. Gli ARN specifici del bucket dipendono dalla versione di Amazon Linux utilizzata, che dipende dalla versione di Amazon EMR utilizzata:

  • Amazon EMR 5.29.0 e versioni precedenti: repository AL1 e arn:aws:s3:::packages.region.amazonaws.com arn:aws:s3:::repo.region.amazonaws.com

  • Amazon EMR da 5.30.0 a 6.15.0: repository AL2 e arn:aws:s3:::amazonlinux.region.amazonaws.com arn:aws:s3:::amazonlinux-2-repos-region

  • Amazon EMR 7.0.0 e versioni successive: repository AL2023 arn:aws:s3:::al2023-repos-region-de612dc2

Repository Amazon EMR

Amazon EMR 5.22.0 e versioni successive richiedono l'accesso al bucket di repository EMR. arn:aws:s3:::repo.region.emr.amazonaws.com

Amazon EMR 8.0.0 e versioni successive e Amazon EMR Spark 8.0.0 e versioni successive richiedono l'accesso ai bucket di dati dell'istanza EMR e. arn:aws:s3:::aws157-instance-data-0-prod-region arn:aws:s3:::aws157-instance-data-1-prod-region

Nella regione ap-southeast-2, questi bucket sono invece denominati e. arn:aws:s3:::aws157-instance-data-bucket-0-prod-ap-southeast-2 arn:aws:s3:::aws157-instance-data-bucket-1-prod-ap-southeast-2

Registrazione dei log

Se abiliti la registrazione del cluster, avrai bisogno delle autorizzazioni PUT per il bucket specificato come destinazione del log durante la creazione del cluster, oltre che per il bucket dei log di sistema. Nella regione us-east-1, il bucket ARN arn:aws:s3:::aws157-logs-prod è; per tutte le altre regioni, il bucket ARN è. arn:aws:s3:::aws157-logs-prod-region

Interfacce utente delle applicazioni persistenti

Con Amazon EMR 5.25.0 o versione successiva, per consentire l'accesso con un clic alle interfacce utente persistenti delle applicazioni, devi consentire ad Amazon EMR di accedere al bucket di sistema che raccoglie i log delle applicazioni,. arn:aws:s3:::prod.region.appinfo.src Per ulteriori informazioni, consulta Visualizzazione delle interfacce utente delle applicazioni persistenti in Amazon EMR.

Policy di esempio

La seguente policy di esempio fornisce le autorizzazioni necessarie per avviare un cluster Amazon EMR 8.0.0 in una sottorete privata nella regione us-east-2, con la registrazione e le interfacce utente persistenti delle applicazioni abilitate.

{
  "Version":"2012-10-17", 
  "Statement": [
    {
      "Sid": "AmazonLinux2023AMIRepositoryAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::al2023-repos-us-east-2-de612dc2/*"
      ]
    },
    {
      "Sid": "EmrRepositoryAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::repo.us-east-2.emr.amazonaws.com/*",
        "arn:aws:s3:::aws157-instance-data-0-prod-us-east-2/*",
        "arn:aws:s3:::aws157-instance-data-1-prod-us-east-2/*"
      ]
    },
    {
      "Sid": "EnableClusterLogs",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:Put*"
      ],
      "Resource": [
        "arn:aws:s3:::aws157-logs-prod-us-east-2/*",
        "arn:aws:s3:::my-logs-bucket/*"
      ]
    },
    {
      "Sid": "EnableApplicationHistory",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:Put*",
        "s3:Get*",
        "s3:Create*",
        "s3:Abort*",
        "s3:List*"
      ],
      "Resource": [
        "arn:aws:s3:::prod.us-east-2.appinfo.src/*"
      ]
    }
  ]
}