Connectez-vous à Amazon à EMR l'aide d'un point de VPC terminaison d'interface - Amazon EMR
Création d'une politique de VPC point de terminaison pour Amazon EMR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connectez-vous à Amazon à EMR l'aide d'un point de VPC terminaison d'interface

Vous pouvez vous connecter directement à Amazon à EMR l'aide d'un point de VPC terminaison d'interface (AWS PrivateLink) dans votre cloud privé virtuel (VPC) au lieu de vous connecter via Internet. Lorsque vous utilisez un point de VPC terminaison d'interface, la communication entre vous VPC et Amazon EMR s'effectue entièrement dans le AWS réseau. Chaque VPC point de terminaison est représenté par une ou plusieurs interfaces réseau élastiques (ENIs) avec des adresses IP privées dans vos VPC sous-réseaux.

Le point de VPC terminaison de l'interface vous connecte VPC directement à Amazon EMR sans passerelle Internet, NAT appareil, VPN connexion ou AWS Direct Connect connexion. Les instances qu'il contient VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec Amazon EMRAPI.

Pour utiliser Amazon EMR via votreVPC, vous devez vous connecter à partir d'une instance située à l'intérieur du réseau privé VPC ou connecter votre VPC réseau privé à votre réseau privé virtuel (VPN) ou AWS Direct Connect. Pour plus d'informations sur AmazonVPN, consultez VPNles connexions dans le guide de l'utilisateur d'Amazon Virtual Private Cloud. Pour plus d'informations sur AWS Direct Connect, voir Création d'une connexion dans AWS Direct Connect Guide de l'utilisateur.

Vous pouvez créer un point de VPC terminaison d'interface pour vous connecter à Amazon à EMR l'aide du AWS console ou AWS Command Line Interface (AWS CLI) commandes. Pour plus d'informations, consultez Création d'un point de terminaison d'interface.

Après avoir créé un point de VPC terminaison d'interface, si vous activez des DNS noms d'hôte privés pour le point de terminaison, le point de EMR terminaison Amazon par défaut est résolu vers votre point de VPC terminaison. Le point de terminaison du nom de service par défaut pour Amazon EMR est au format suivant.

elasticmapreduce.Region.amazonaws.com

Si vous n'activez pas les DNS noms d'hôte privés, Amazon VPC fournit un nom de point de DNS terminaison que vous pouvez utiliser au format suivant.

VPC_Endpoint_ID.elasticmapreduce.Region.vpce.amazonaws.com

Pour plus d'informations, consultez la section VPC Points de terminaison de l'interface (AWS PrivateLink) dans le guide de VPC l'utilisateur Amazon.

Amazon vous EMR permet de passer des appels à toutes ses APIactions au sein de votreVPC.

Vous pouvez associer des politiques de point de VPC terminaison à un VPC point de terminaison afin de contrôler l'accès des IAM principaux. Vous pouvez également associer des groupes de sécurité à un VPC point de terminaison pour contrôler l'accès entrant et sortant en fonction de l'origine et de la destination du trafic réseau, par exemple une plage d'adresses IP. Pour plus d'informations, consultez la section Contrôle de l'accès aux services à l'aide de VPC points de terminaison.

Vous pouvez créer une politique pour les VPC points de terminaison Amazon EMR afin de spécifier les éléments suivants :

  • Principal qui peut ou ne peut pas effectuer des actions

  • Les actions qui peuvent être effectuées.

  • Les ressources sur lesquelles les actions peuvent être exécutées.

Pour plus d'informations, consultez la section Contrôle de l'accès aux services avec des VPC points de terminaison dans le guide de VPC l'utilisateur Amazon.

Exemple — politique de VPC point de terminaison pour refuser tout accès à partir d'un point spécifié AWS compte

La politique de point de VPC terminaison suivante refuse AWS compte 123456789012 tous les accès aux ressources à l'aide du point de terminaison.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}
Exemple — politique de VPC point de terminaison autorisant VPC l'accès uniquement à un IAM principal (utilisateur) spécifié

La politique de VPC point de terminaison suivante autorise l'accès complet uniquement à un utilisateur lijuan dans AWS compte 123456789012. Tous les autres IAM principaux se voient refuser l'accès via le point de terminaison.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/lijuan"
                ]
            }
        }]
}
Exemple — politique des VPC terminaux autorisant les opérations en lecture seule EMR

La politique de point de VPC terminaison suivante autorise uniquement AWS compte 123456789012 pour effectuer les EMR actions Amazon spécifiées.

Les actions spécifiées fournissent l'équivalent d'un accès en lecture seule pour Amazon. EMR Toutes les autres actions sur le VPC sont refusées pour le compte spécifié. Tous les autres comptes se voient refuser tout accès. Pour obtenir la liste des EMR actions Amazon, consultez Actions, ressources et clés de condition pour Amazon EMR.

{
    "Statement": [
        {
            "Action": [
                "elasticmapreduce:DescribeSecurityConfiguration",
                "elasticmapreduce:GetBlockPublicAccessConfiguration",
                "elasticmapreduce:ListBootstrapActions",
                "elasticmapreduce:ViewEventsFromAllClustersInConsole",
                "elasticmapreduce:ListSteps",
                "elasticmapreduce:ListInstanceFleets",
                "elasticmapreduce:DescribeCluster",
                "elasticmapreduce:ListInstanceGroups",
                "elasticmapreduce:DescribeStep",
                "elasticmapreduce:ListInstances",
                "elasticmapreduce:ListSecurityConfigurations",
                "elasticmapreduce:DescribeEditor",
                "elasticmapreduce:ListClusters",
                "elasticmapreduce:ListEditors"            
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}
Exemple — politique de VPC point de terminaison refusant l'accès à un cluster spécifié

La politique de VPC point de terminaison suivante autorise un accès complet à tous les comptes et à tous les principaux, mais refuse tout accès pour AWS compte 123456789012 aux actions effectuées sur le EMR cluster Amazon avec l'ID du cluster j-A1B2CD34EF5G. Les autres EMR actions Amazon qui ne prennent pas en charge les autorisations au niveau des ressources pour les clusters sont toujours autorisées. Pour obtenir la liste des EMR actions Amazon et du type de ressource correspondant, consultez Actions, ressources et clés de condition pour Amazon EMR.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "arn:aws:elasticmapreduce:us-west-2:123456789012:cluster/j-A1B2CD34EF5G",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}