Conexão com o Amazon EMR no EKS usando um endpoint da VPC de interface
É possível se conectar diretamente ao Amazon EMR no EKS usando endpoints da VPC de interface (AWS PrivateLink) em sua nuvem privada virtual (VPC), em vez de se conectar usando a Internet. Quando você usa um endpoint da VPC de interface, a comunicação entre a VPC e o Amazon EMR no EKS é realizada inteiramente dentro da rede da AWS. Cada endpoint da VPC é representado por uma ou mais interfaces de rede elástica (ENIs) com endereços IP privados nas sub-redes da VPC.
O endpoint da VPC de interface conecta a VPC diretamente ao Amazon EMR no EKS sem a necessidade de um gateway da Internet, um dispositivo NAT, uma conexão VPN ou uma conexão do AWS Direct Connect. As instâncias em sua VPC não precisam de endereços IP públicos para se comunicarem com a API do Amazon EMR no EKS.
É possível criar um endpoint da VPC de interface para se conectar ao Amazon EMR no EKS usando o AWS Management Console ou os comandos da AWS Command Line Interface (AWS CLI). Para obter mais informações, consulte Criação de um endpoint de interface.
Após criar um endpoint da VPC de interface, se você habilitar nomes de host DNS privados para o endpoint, o endpoint padrão do Amazon EMR no EKS será resolvido para seu endpoint da VPC. O endpoint de nome de serviço padrão para o Amazon EMR no EKS estará no formato a seguir.
emr-containers.Region.amazonaws.com
Se você não habilitar nomes de host DNS privados, a Amazon VPC fornecerá um nome de endpoint DNS que poderá ser usado no formato a seguir.
VPC_Endpoint_ID.emr-containers.Region.vpce.amazonaws.com
Para obter mais informações, consulte Interface VPC Endpoints (AWS PrivateLink) no Guia do usuário da Amazon VPC. O Amazon EMR no EKS oferece suporte a chamadas para todas as ações de API dentro da sua VPC.
Você pode anexar políticas de endpoint da VPC a um endpoint da VPC para controlar o acesso de entidades principais do IAM. Também é possível associar grupos de segurança a um VPC endpoint para controlar o acesso de entrada e saída com base na origem e no destino do tráfego de rede, como um intervalo de endereços IP. Para obter mais informações, consulte Controlar o acesso a serviços com endpoints da VPC.
Criação de uma política de endpoint da VPC para o Amazon EMR no EKS
É possível criar uma política para endpoints da Amazon VPC para o Amazon EMR no EKS com a finalidade de especificar o seguinte:
O principal que pode ou não executar ações
As ações que podem ser executadas
Os recursos nos quais as ações podem ser executadas
Para obter mais informações, consulte Controlling Access to Services with VPC Endpoints no Guia do usuário da Amazon VPC.
exemplo Política de endpoint da VPC para negar todo o acesso de uma conta da AWS especificada
A política de VPC endpoint a seguir nega à conta da AWS 123456789012
todos os acessos aos recursos que usam o endpoint.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "
123456789012
" ] } } ] }
exemplo Política de endpoint da VPC para permitir o acesso à VPC somente a uma entidade principal do IAM (usuário) especificada
A política de endpoint da VPC a seguir permite o acesso total somente ao usuário do IAM lijuan
na conta da AWS 123456789012
. Todos os outros principais IAM têm acesso negado usando o endpoint.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "arn:aws:iam::
123456789012
:user/lijuan
" ] } } ] }
exemplo Política de endpoint da VPC para permitir operações somente leitura do Amazon EMR no EKS
A política de endpoint da VPC a seguir permite que somente a conta da AWS 123456789012
execute as ações especificadas do Amazon EMR no EKS.
As ações especificadas fornecem o equivalente ao acesso somente leitura para o Amazon EMR no EKS. Todas as outras ações na VPC serão negadas para a conta especificada. Todas as outras contas terão acesso negado. Para obter uma lista de ações do Amazon EMR no EKS, consulte Ações, recursos e chaves de condição para o Amazon EMR no EKS.
{ "Statement": [ { "Action": [ "emr-containers:DescribeJobRun", "emr-containers:DescribeVirtualCluster", "emr-containers:ListJobRuns", "emr-containers:ListTagsForResource", "emr-containers:ListVirtualClusters" ], "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "
123456789012
" ] } } ] }
exemplo Política de endpoint da VPC com negação de acesso a um cluster virtual especificado
A política de endpoint da VPC a seguir permite acesso total para todas as contas e entidades principais, mas nega qualquer acesso para a conta da AWS 123456789012
a ações executadas no cluster virtual com ID de cluster A1B2CD34EF5G
. Outras ações do Amazon EMR no EKS que não oferecem suporte a permissões em nível de recurso para clusters virtuais ainda são permitidas. Para obter uma lista de ações do Amazon EMR no EKS e seus tipos de recursos correspondentes, consulte Ações, recursos e chaves de condição para o Amazon EMR no EKS no Guia do usuário do AWS Identity and Access Management.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "arn:aws:emr-containers:us-west-2:
123456789012
:/virtualclusters/A1B2CD34EF5G
", "Principal": { "AWS": [ "123456789012" ] } } ] }