Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Connexion à Amazon EMR on EKS à l'aide du point de terminaison d'un VPC d'interface
Vous pouvez vous connecter directement à Amazon EMR on EKS à l'aide de points de terminaison de VPC d'interface (AWS PrivateLink) dans votre cloud privé virtuel (VPC) au lieu de vous connecter via Internet. Lorsque vous utilisez le point de terminaison d'un VPC d'interface, la communication entre votre VPC et Amazon EMR on EKS est gérée entièrement au sein du réseau AWS. Chaque point de terminaison d'un VPC est représenté par une ou plusieurs interfaces réseau Elastic (ENI) avec des adresses IP privées dans vos sous-réseaux VPC.
Le point de terminaison d'un VPC d'interface connecte votre VPC directement à Amazon EMR on EKS sans passerelle Internet, périphérique NAT, connexion VPN ni connexion AWS Direct Connect. Les instances de votre VPC ne nécessitent pas d'adresses IP publiques pour communiquer avec l'API Amazon EMR on EKS.
Vous pouvez créer un point de terminaison d'un VPC d'interface pour vous connecter à Amazon EMR on EKS à l'aide des commandes de la AWS Management Console ou de l'interface AWS Command Line Interface (AWS CLI). Pour plus d'informations, consultez Création d'un point de terminaison d'interface.
Une fois que vous avez créé un point de terminaison d'un VPC d'interface, si vous activez les noms d'hôte DNS privés pour le point de terminaison, le point de terminaison Amazon EMR on EKS par défaut est résolu par votre point de terminaison de VPC. Le point de terminaison par défaut du nom de service Amazon EMR on EKS a le format suivant.
emr-containers.Region.amazonaws.com
Si vous n'activez pas les noms d'hôte DNS privés, Amazon VPC fournit un nom de point de terminaison DNS que vous pouvez utiliser au format suivant.
VPC_Endpoint_ID.emr-containers.Region.vpce.amazonaws.com
Pour de plus amples informations, consultez la rubrique Points de terminaison d'un VPC d'interface (AWS PrivateLink) du Guide de l'utilisateur Amazon VPC. Amazon EMR on EKS prend en charge l'exécution d'appels en direction de toutes ses actions d'API à l'intérieur de votre VPC.
Vous pouvez attacher des politiques de point de terminaison de VPC au point de terminaison d'un VPC pour contrôler l'accès des principaux IAM. Vous pouvez également associer des groupes de sécurité à un point de terminaison VPC pour contrôler l'accès entrant et sortant en fonction de l'origine et de la destination du trafic réseau, comme une plage d'adresses IP. Pour plus d’informations, consultez Contrôle de l'accès aux services avec des points de terminaison de VPC.
Création d'une politique de point de terminaison d'un VPC pour Amazon EMR on EKS
Vous pouvez créer une politique pour les points de terminaison de VPC pour Amazon EMR on EKS dans laquelle vous pouvez spécifier :
Principal qui peut ou ne peut pas effectuer des actions
Les actions qui peuvent être effectuées.
Les ressources sur lesquelles les actions peuvent être exécutées.
Pour en savoir plus, consultez la rubrique Contrôle de l'accès aux services avec des points de terminaison d'un VPC du Guide de l'utilisateur Amazon VPC.
Exemple Politique du point de terminaison d'un VPC pour refuser tout accès à partir d'un compte AWS spécifié
La stratégie de point de terminaison VPC suivante refuse au compte AWS 123456789012 tout accès aux ressources utilisant le point de terminaison.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
Exemple Politique du point de terminaison d'un VPC pour autoriser l'accès VPC uniquement à un principal (utilisateur) IAM spécifié
La politique suivante du point de terminaison d'un VPC permet un accès complet uniquement à l'utilisateur IAM lijuan dans le compte AWS 123456789012. Toutes les autres entités IAM se voient refuser l'accès à l'aide du point de terminaison.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/lijuan" ] } } ] }
Exemple Politique du point de terminaison d'un VPC pour autoriser les opérations Amazon EMR on EKS en lecture seule
La politique suivante du point de terminaison d'un VPC autorise uniquement le compte AWS 123456789012 à effectuer les actions Amazon EMR on EKS spécifiées.
Les actions spécifiées fournissent l'équivalent d'un accès en lecture seule pour Amazon EMR on EKS. Toutes les autres actions sur le VPC sont refusées pour le compte spécifié. Tous les autres comptes se voient refuser tout accès. Pour obtenir une liste des actions d'Amazon EMR on EKS, consultez la rubrique Actions, ressources et clés de condition pour Amazon EMR on EKS.
{ "Statement": [ { "Action": [ "emr-containers:DescribeJobRun", "emr-containers:DescribeVirtualCluster", "emr-containers:ListJobRuns", "emr-containers:ListTagsForResource", "emr-containers:ListVirtualClusters" ], "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
Exemple Politique du point de terminaison d'un VPC refusant l'accès à un cluster virtuel spécifié
La politique suivante du point de terminaison d'un VPC permet un accès complet à tous les comptes et principaux, mais refuse tout accès du compte AWS 123456789012 aux actions effectuées sur le cluster virtuel ayant l'identifiant de cluster A1B2CD34EF5G. D'autres actions Amazon EMR on EKS qui ne prennent pas en charge les autorisations au niveau des ressources pour les clusters virtuels sont toujours autorisées. Pour obtenir une liste des actions Amazon EMR on EKS et de leur type de ressource correspondant, consultez la rubrique Actions, ressources et clés de condition pour Amazon EMR on EKS du Guide de l'utilisateur AWS Identity and Access Management.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "arn:aws:emr-containers:us-west-2:123456789012:/virtualclusters/A1B2CD34EF5G", "Principal": { "AWS": [ "123456789012" ] } } ] }
