翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# インターフェイス VPC エンドポイントを使用して Amazon EMR に接続する
インターネット経由で接続する代わりに、仮想[プライベートクラウド (AWS VPC) のインターフェイス VPC エンドポイント (PrivateLink](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html)) を使用して Amazon EMR に直接接続できます。インターフェイス VPC エンドポイントを使用する場合、VPC と Amazon EMR 間の通信は AWS ネットワーク内で完全に行われます。各 VPC エンドポイントは、VPC サブネット内のプライベート IP アドレスを持つ 1 つ以上の [Elastic Network Interface](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (ENI) で表されます。
インターフェイス VPC エンドポイントは、インターネットゲートウェイ、NAT デバイス、VPN 接続、または Direct Connect 接続なしで VPC を Amazon EMR に直接接続します。VPC のインスタンスは、パブリック IP アドレスがなくても Amazon EMR API と通信できます。
VPC 経由で Amazon EMR を使用するには、VPC 内にあるインスタンスから接続するか、Amazon Virtual Private Network (VPN) または Direct Connectを使用してプライベートネットワークを VPC に接続する必要があります。Amazon VPN については、「*Amazon Virtual Private Cloud ユーザーガイド*」の「[VPN 接続](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)」を参照してください。詳細については AWS Direct Connect、 *Direct Connect ユーザーガイド*の[「接続の作成](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html)」を参照してください。
インターフェイス VPC エンドポイントを作成して、 AWS コンソールまたは AWS Command Line Interface (AWS CLI) コマンドを使用して Amazon EMR に接続できます。詳細については、「[インターフェイスエンドポイントの作成](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint)」を参照してください。
インターフェイス VPC エンドポイントを作成した後、エンドポイントのプライベート DNS ホスト名を有効にすると、デフォルトの Amazon EMR エンドポイントはお客様の VPC エンドポイントに解決されます。Amazon EMR のデフォルトのサービス名エンドポイントは、次の形式です。
```
elasticmapreduce.Region.amazonaws.com
```
プライベート DNS ホスト名を有効にしない場合は、Amazon VPC が以下の形式で使用できる DNS エンドポイント名を提供します。
```
VPC_Endpoint_ID.elasticmapreduce.Region.vpce.amazonaws.com
```
詳細については、Amazon [VPC ユーザーガイドの「インターフェイス VPC エンドポイント (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)」を参照してください。 **
Amazon EMR は、VPC 内のすべての [API アクション](https://docs.aws.amazon.com/emr/latest/APIReference/API_Operations.html)への呼び出しをサポートしています。
VPC エンドポイントポリシーを VPC エンドポイントにアタッチして、IAM プリンシパルのアクセスを制御できます。また、セキュリティグループを VPC エンドポイントに関連付けて、ネットワークトラフィックの送信元と送信先 (IP アドレスの範囲など) に基づいてインバウンドとアウトバウンドのアクセスを制御することもできます。詳細については、「[VPC エンドポイントによるサービスのアクセスコントロール](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)」を参照してください。
## Amazon EMR の VPC エンドポイントポリシーの作成
Amazon EMR の Amazon VPC エンドポイントに対するポリシーを作成して、以下を指定することができます。
+ アクションを実行できるプリンシパルまたは実行できないプリンシパル
+ 実行可能なアクション
+ アクションを実行できるリソース
詳細については、「Amazon VPC ユーザーガイド**」の「[VPC エンドポイントによるサービスのアクセスコントロール](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)」を参照してください。
**Example – 指定された AWS アカウントからのすべてのアクセスを拒否する VPC エンドポイントポリシー**
次の VPC エンドポイントポリシーは、 AWS アカウント *123456789012* がエンドポイントを使用したリソースへのすべてのアクセスを拒否します。
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": "*",
"Effect": "Deny",
"Resource": "*",
"Principal": {
"AWS": [
"123456789012"
]
}
}
]
}
```
**Example - 指定した IAM プリンシパル (ユーザー) への VPC アクセスのみを許可する VPC エンドポイントポリシー**
次の VPC エンドポイントポリシーでは、 AWS アカウント *123456789012* のユーザー*リファン*へのフルアクセスのみを許可します。他のすべての IAM プリンシパルは、エンドポイントを使用したアクセスを拒否されます。
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/lijuan"
]
}
}]
}
```
**Example - 読み取り専用の EMR オペレーションを許可する VPC エンドポイントポリシー**
次の VPC エンドポイントポリシーでは、 AWS アカウント *123456789012* のみが指定された Amazon EMR アクションを実行できます。
指定されたアクションは、Amazon EMR の読み取り専用アクセスに相当します。指定されたアカウントでは、VPC 上の他のすべてのアクションが拒否されます。他のすべてのアカウントは、すべてのアクセスを拒否されます。Amazon EMR アクションのリストについては、「[Amazon EMR のアクション、リソース、および条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticmapreduce.html)」を参照してください。
```
{
"Statement": [
{
"Action": [
"elasticmapreduce:DescribeSecurityConfiguration",
"elasticmapreduce:GetBlockPublicAccessConfiguration",
"elasticmapreduce:ListBootstrapActions",
"elasticmapreduce:ViewEventsFromAllClustersInConsole",
"elasticmapreduce:ListSteps",
"elasticmapreduce:ListInstanceFleets",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:ListInstances",
"elasticmapreduce:ListSecurityConfigurations",
"elasticmapreduce:DescribeEditor",
"elasticmapreduce:ListClusters",
"elasticmapreduce:ListEditors"
],
"Effect": "Allow",
"Resource": "*",
"Principal": {
"AWS": [
"123456789012"
]
}
}
]
}
```
**Example - 指定したクラスターへのアクセスを拒否する VPC エンドポイントポリシー**
次の VPC エンドポイントポリシーは、すべてのアカウントとプリンシパルにフルアクセスを許可しますが、クラスター ID *j-A1B2CD34EF5G* の Amazon EMR クラスターで実行されるアクションへの AWS アカウント *123456789012* のアクセスを拒否します。クラスターのリソースレベルのアクセス許可をサポートしないその他の Amazon EMR アクションは、引き続き許可されます。Amazon EMR アクションのリストとそれに対応するリソースタイプについては、「[Amazon EMR のアクション、リソース、および条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticmapreduce.html)」を参照してください。
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": "*",
"Effect": "Deny",
"Resource": "arn:aws:elasticmapreduce:us-west-2:123456789012:cluster/j-A1B2CD34EF5G",
"Principal": {
"AWS": [
"123456789012"
]
}
}
]
}
```