Amazon S3에 액세스하는 프라이빗 서브넷에 대한 샘플 정책

프라이빗 서브넷의 경우 최소한 Amazon이 Amazon Linux 리포지토리에 액세스할 EMR 수 있는 기능을 제공해야 합니다. 이 프라이빗 서브넷 정책은 Amazon S3에 액세스하기 위한 VPC 엔드포인트 정책의 일부입니다. Amazon EMR 5.25.0 이상에서는 영구 Spark 기록 서버에 대한 원클릭 액세스를 활성화하려면 Amazon이 Spark 이벤트 로그를 수집하는 시스템 버킷에 액세스EMR하도록 허용해야 합니다. 로깅을 활성화한 경우 aws157-logs-* 버킷에 PUT 권한을 제공합니다. 자세한 내용은 영구 Spark 기록 서버에 대한 원클릭 액세스를 참조하세요.

비즈니스 요구를 충족하는 정책 제한은 사용자가 결정합니다. 다음 예제 정책은 Spark 이벤트 로그를 수집하기 위한 Amazon Linux 리포지토리 및 Amazon EMR 시스템 버킷에 액세스할 수 있는 권한을 제공합니다. 버킷의 몇 가지 샘플 리소스 이름을 보여줍니다.

Amazon VPC 엔드포인트에서 IAM 정책을 사용하는 방법에 대한 자세한 내용은 Amazon S3의 엔드포인트 정책을 참조하세요. 에 사용할 수 있는 서비스 엔드포인트 목록을 참조하려면 Amazon 엔드포인트 및 할당량 을 AWS참조하세요. EMR

{
   "Version": "2008-10-17",
   "Statement": [
       {
           "Sid": "AmazonLinuxAMIRepositoryAccess",
           "Effect": "Allow",
           "Principal": "*",
           "Action": "s3:GetObject",
           "Resource": [
           	"arn:aws:s3:::packages.us-east-1.amazonaws.com/*",
           	"arn:aws:s3:::repo.us-east-1.amazonaws.com/*",
           	"arn:aws:s3:::repo.us-east-2.amazonaws.com/*"
           ]
       },
       {
           "Sid": "EnableApplicationHistory",
           "Effect": "Allow",
           "Principal": "*",
           "Action": [
               "s3:Put*",
               "s3:Get*",
               "s3:Create*",
               "s3:Abort*",
               "s3:List*"
           ],
           "Resource": [
           	"arn:aws:s3:::prod.us-east-1.appinfo.src/*"
           ]
       }
   ]
}

다음 예제 정책에서는 Amazon Linux 2 리포지토리에 액세스하는 데 필요한 권한을 제공합니다. Amazon Linux 2가 기본값AMI입니다.

{
   "Statement": [
       {
           "Sid": "AmazonLinux2AMIRepositoryAccess",
           "Effect": "Allow",
           "Principal": "*",
           "Action": "s3:GetObject",
           "Resource": [
           	"arn:aws:s3:::amazonlinux.us-east-1.amazonaws.com/*",
           	"arn:aws:s3:::amazonlinux-2-repos-us-east-1/*"
           ]
       }
   ]
}