Amazon S3 にアクセスするプライベートサブネットのサンプルポリシー

プライベートサブネットの場合、少なくとも Amazon が Amazon Linux リポジトリEMRにアクセスできるようにする必要があります。このプライベートサブネットポリシーは、Amazon S3 にアクセスするためのVPCエンドポイントポリシーの一部です。Amazon EMR5.25.0 以降では、永続 Spark 履歴サーバーへのワンクリックアクセスを有効にするには、Spark イベントログを収集するシステムバケットEMRへのアクセスを Amazon に許可する必要があります。ログ記録を有効にする場合は、aws157-logs-*バケットにアクセスPUT許可を付与します。詳細については、「永続 Spark 履歴サーバーへのワンクリックアクセス」を参照してください。

ビジネスニーズに合ったポリシー制限は、お客様が決定します。次のポリシー例では、Spark イベントログを収集するための Amazon Linux リポジトリと Amazon EMRシステムバケットへのアクセス許可を提供します。バケットのリソース名の例をいくつか示します。

Amazon VPCエンドポイントでのIAMポリシーの使用の詳細については、Amazon S3のエンドポイントポリシー」を参照してください。で使用可能なサービスエンドポイントのリストを参照するには AWS、「Amazon EMRエンドポイントとクォータ」を参照してください。

{
   "Version": "2008-10-17",
   "Statement": [
       {
           "Sid": "AmazonLinuxAMIRepositoryAccess",
           "Effect": "Allow",
           "Principal": "*",
           "Action": "s3:GetObject",
           "Resource": [
           	"arn:aws:s3:::packages.us-east-1.amazonaws.com/*",
           	"arn:aws:s3:::repo.us-east-1.amazonaws.com/*",
           	"arn:aws:s3:::repo.us-east-2.amazonaws.com/*"
           ]
       },
       {
           "Sid": "EnableApplicationHistory",
           "Effect": "Allow",
           "Principal": "*",
           "Action": [
               "s3:Put*",
               "s3:Get*",
               "s3:Create*",
               "s3:Abort*",
               "s3:List*"
           ],
           "Resource": [
           	"arn:aws:s3:::prod.us-east-1.appinfo.src/*"
           ]
       }
   ]
}

以下の例のポリシーは、Amazon Linux 2 リポジトリへのアクセスに必要なアクセス許可を提供します。Amazon Linux 2 AMIがデフォルトです。

{
   "Statement": [
       {
           "Sid": "AmazonLinux2AMIRepositoryAccess",
           "Effect": "Allow",
           "Principal": "*",
           "Action": "s3:GetObject",
           "Resource": [
           	"arn:aws:s3:::amazonlinux.us-east-1.amazonaws.com/*",
           	"arn:aws:s3:::amazonlinux-2-repos-us-east-1/*"
           ]
       }
   ]
}