Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Connect ke Amazon EMR menggunakan VPC endpoint antar muka
Anda dapat terhubung langsung ke Amazon EMR menggunakan antarmuka VPC endpoint (AWS PrivateLink) di Virtual Private Cloud (VPC) Anda alih-alih terhubung melalui internet. Saat Anda menggunakan titik akhir VPC antarmuka, komunikasi antara VPC dan Amazon EMR dilakukan sepenuhnya di dalam jaringan. AWS Masing-masing VPC endpoint diwakili oleh satu Antarmuka jaringan elastis (ENI) dengan alamat IP privat di subnet VPC Anda.
Titik akhir VPC antarmuka menghubungkan VPC Anda langsung ke Amazon EMR tanpa gateway internet, perangkat NAT, koneksi VPN, atau koneksi. AWS Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi dengan API Amazon EMR.
Untuk menggunakan Amazon EMR melalui VPC Anda, Anda harus connect dari sebuah instans yang ada di VPC atau menghubungkan jaringan privat Anda ke VPC Anda dengan menggunakan Jaringan Pribadi Virtual (VPN) Amazon atau AWS Direct Connect. Untuk informasi tentang Amazon VPN, lihat Koneksi VPN di Panduan Pengguna Amazon Virtual Private Cloud. Untuk selengkapnya AWS Direct Connect, lihat Membuat sambungan di Panduan AWS Direct Connect Pengguna.
Anda dapat membuat titik akhir VPC antarmuka untuk terhubung ke Amazon EMR menggunakan perintah AWS konsol atau (). AWS Command Line Interface AWS CLI Untuk informasi selengkapnya, lihat Membuat titik akhir antarmuka.
Setelah Anda membuat VPC endpoint antarmuka, jika Anda mengaktifkan nama host DNS privat untuk endpoint, endpoint Amazon EMR default menyelesaikan VPC endpoint Anda. Endpoint nama layanan default untuk Amazon EMR adalah dalam format berikut.
elasticmapreduce.Region.amazonaws.com
Jika Anda tidak mengaktifkan nama host DNS privat, Amazon VPC menyediakan endpoint DNS yang dapat Anda gunakan dalam format berikut.
VPC_Endpoint_ID.elasticmapreduce.Region.vpce.amazonaws.com
Untuk informasi selengkapnya, lihat Titik akhir VPC Antarmuka (AWS PrivateLink) di Panduan Pengguna Amazon VPC.
Amazon EMR mendukung panggilan ke semua tindakan API di dalam VPC Anda.
Anda dapat melampirkan kebijakan VPC endpoint ke VPC endpoint untuk mengontrol akses untuk utama IAM. Anda juga dapat mengasosiasi grup keamanan dengan VPC endpoint untuk mengontrol akses masuk dan keluar berdasarkan asal dan tujuan lalu lintas jaringan, seperti rentang alamat IP. Untuk informasi selengkapnya, lihat Mengendalikan akses ke layanan dengan VPC endpoint.
Buat Kebijakan VPC endpoint untuk Amazon EMR
Anda dapat membuat kebijakan untuk Amazon VPC endpoint untuk Amazon EMR untuk menentukan hal berikut:
-
Utama-utama yang dapat melakukan tindakan
-
Tindakan yang dapat dilakukan
-
Sumber daya yang dapat digunakan untuk mengambil tindakan
Untuk informasi selengkapnya, lihat Mengendalikan akses ke layanan dengan VPC endpoint di Panduan Pengguna Amazon VPC.
contoh — Kebijakan titik akhir VPC untuk menolak semua akses dari akun tertentu AWS
Kebijakan titik akhir VPC berikut menyangkal AWS akun 123456789012 semua akses ke sumber daya menggunakan titik akhir.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
contoh – Kebijakan VPC endpoint untuk mengizinkan akses VPC hanya ke utama IAM tertentu (pengguna)
Kebijakan titik akhir VPC berikut memungkinkan akses penuh hanya ke pengguna Semua utama IAM lainnya ditolak akses menggunakan titik akhir.lijuan di akun 123456789012. AWS
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/lijuan" ] } }] }
contoh – Kebijakan VPC endpoint untuk mengizinkan operasi EMR hanya-baca
Kebijakan titik akhir VPC berikut hanya mengizinkan AWS akun 123456789012 untuk melakukan tindakan EMR Amazon yang ditentukan.
Tindakan yang ditentukan memberikan setara dengan akses hanya-baca untuk Amazon EMR. Semua tindakan lain pada VPC ditolak untuk akun yang ditentukan. Semua akun lain ditolak akses apa pun. Untuk daftar tindakan Amazon EMR, lihat Tindakan, sumber daya, dan kunci syarat untuk Amazon EMR.
{ "Statement": [ { "Action": [ "elasticmapreduce:DescribeSecurityConfiguration", "elasticmapreduce:GetBlockPublicAccessConfiguration", "elasticmapreduce:ListBootstrapActions", "elasticmapreduce:ViewEventsFromAllClustersInConsole", "elasticmapreduce:ListSteps", "elasticmapreduce:ListInstanceFleets", "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups", "elasticmapreduce:DescribeStep", "elasticmapreduce:ListInstances", "elasticmapreduce:ListSecurityConfigurations", "elasticmapreduce:DescribeEditor", "elasticmapreduce:ListClusters", "elasticmapreduce:ListEditors" ], "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
contoh – Kebijakan VPC endpoint menolak akses ke klaster tertentu
Kebijakan titik akhir VPC berikut memungkinkan akses penuh untuk semua akun dan prinsipal, tetapi menolak akses apa pun untuk akun Tindakan Amazon EMR lain yang tidak support izin tingkat sumber daya untuk klaster masih diizinkan. Untuk daftar tindakan Amazon EMR dan tipe sumber daya yang sesuai, lihat Tindakan, sumber daya, dan kunci syarat untuk Amazon EMR.123456789012 ke tindakan yang dilakukan di klaster EMR Amazon dengan ID AWS cluster J-A1b2CD34EF5G.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "arn:aws:elasticmapreduce:us-west-2:123456789012:cluster/j-A1B2CD34EF5G", "Principal": { "AWS": [ "123456789012" ] } } ] }
