Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Herstellen einer Verbindung mit Amazon EMR in EKS über einen Schnittstellen-VPC-Endpunkt
Sie können über Schnittstellen-VPC-Endpunkte (AWS PrivateLink) in Ihrer Virtual Private Cloud (VPC) eine direkte Verbindung zu Amazon EMR in EKS herstellen, anstatt eine Verbindung über das Internet herzustellen. Wenn Sie einen Schnittstellen-VPC-Endpunkt verwenden, findet die Kommunikation zwischen Ihrer VPC und Amazon EMR in EKS vollständig innerhalb des AWS-Netzwerks statt. Jeder VPC-Endpunkt wird durch eine oder mehrere Elastic-Network-Schnittstellen (ENIs) mit privaten IP-Adressen in Ihren VPC-Subnetzen repräsentiert.
Der Schnittstellen-VPC-Endpunkt verbindet Ihre VPC direkt mit Amazon EMR in EKS ohne Internet-Gateway, NAT-Gerät, VPN-Verbindung oder AWS-Direct-Connect-Verbindung. Die Instances in Ihrer VPC benötigen für die Kommunikation mit der API von Amazon EMR in EKS keine öffentlichen IP-Adressen.
Sie können über die AWS Management Console oder AWS Command Line Interface (AWS CLI)-Befehle einen Schnittstellen-VPC-Endpunkt erstellen, um eine Verbindung zu Amazon EMR in EKS herzustellen. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts.
Wenn Sie nach dem Erstellen eines Schnittstellen-VPC-Endpunkts private DNS-Host-Namen für den Endpunkt aktivieren, wird der Standardendpunkt von Amazon EMR in EKS in den VPC-Endpunkt aufgelöst. Der Service-Standardname für den Endpunkt für Amazon EMR in EKS hat das folgende Format.
emr-containers.Region.amazonaws.com
Wenn Sie keine privaten DNS-Hostnamen aktiviert haben, stellt Amazon VPC einen DNS-Endpunktnamen bereit, den Sie im folgenden Format verwenden können.
VPC_Endpoint_ID.emr-containers.Region.vpce.amazonaws.com
Weitere Informationen finden Sie unter Schnittstellen-VPC-Endpunkte (AWS-PrivateLink) im Amazon-VPC-Benutzerhandbuch. Amazon EMR in EKS unterstützt Aufrufe aller API-Aktionen innerhalb Ihrer VPC.
Sie können VPC-Endpunktrichtlinien an einen VPC-Endpunkt anfügen, um den Zugriff für IAM-Prinzipale zu steuern. Sie können einem VPC-Endpunkt auch Sicherheitsgruppen zuordnen, um den eingehenden und ausgehenden Zugriff basierend auf Ursprung und Ziel des Netzwerkdatenverkehrs zu steuern, z. B. mit einem IP-Adressbereich. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Services mit VPC-Endpunkten.
Eine VPC-Endpunktrichtlinie für Amazon EMR in EKS erstellen
Sie können eine Richtlinie für Amazon-VPC-Endpunkte für Amazon EMR in EKS erstellen, in der Sie Folgendes angeben:
Prinzipal, der Aktionen ausführen/nicht ausführen kann
Aktionen, die ausgeführt werden können
Ressourcen, für die Aktionen ausgeführt werden können
Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon-VPC-Benutzerhandbuch.
Beispiel VPC-Endpunktrichtlinie zum Verweigern des Zugriffs mit einem angegebenen AWS-Konto
Die folgende VPC-Endpunktrichtlinie verweigert dem AWS-Konto 123456789012 jeglichen Zugriff auf Ressourcen, die den Endpunkt verwenden.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
Beispiel VPC-Endpunktrichtlinie zum Gewähren des VPC-Zugriffs auf einen angegebenen IAM-Prinzipal (Benutzer)
Die folgende VPC-Endpunktrichtlinie gewährt nur dem IAM-Benutzer lijuan im AWS-Konto 123456789012 vollen Zugriff. Allen anderen IAM-Prinzipalen wird der Zugriff über den Endpunkt verweigert.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/lijuan" ] } } ] }
Beispiel VPC-Endpunktrichtlinie zum Erlauben von Leseoperationen in Amazon EMR in EKS
Die folgende VPC-Endpunktrichtlinie erlaubt nur dem AWS-Konto 123456789012, die angegebenen Aktionen für Amazon EMR in EKS auszuführen.
Die angegebenen Aktionen stellen das Äquivalent von schreibgeschütztem Zugriff für Amazon EMR in EKS dar. Alle anderen Aktionen in der VPC werden dem angegebenen Konto verweigert. Allen anderen Konten wird der Zugriff verweigert. Eine Liste der Aktionen in Amazon EMR in EKS finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon EMR in EKS.
{ "Statement": [ { "Action": [ "emr-containers:DescribeJobRun", "emr-containers:DescribeVirtualCluster", "emr-containers:ListJobRuns", "emr-containers:ListTagsForResource", "emr-containers:ListVirtualClusters" ], "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
Beispiel VPC-Endpunktrichtlinie, die den Zugriff auf einen angegebenen virtuellen Cluster verweigert
Die folgende VPC-Endpunktrichtlinie gewährt vollen Zugriff für alle Konten und Prinzipale, verweigert jedoch jeglichen Zugriff des AWS-Kontos 123456789012 auf Aktionen, die im virtuellen Cluster mit der Cluster-ID A1B2CD34EF5G ausgeführt werden. Andere Aktionen in Amazon EMR in EKS, die keine Berechtigungen auf Ressourcenebene für virtuelle Cluster unterstützen, sind weiterhin zulässig. Eine Liste der Aktionen von Amazon EMR in EKS und ihrer entsprechenden Ressourcentypen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon EMR in EKS im AWS Identity and Access Management-IAM-Benutzerhandbuch.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "arn:aws:emr-containers:us-west-2:123456789012:/virtualclusters/A1B2CD34EF5G", "Principal": { "AWS": [ "123456789012" ] } } ] }
