As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Conectar-se ao Amazon EMR usando um endpoint da VPC de interface
Você pode se conectar diretamente ao Amazon EMR usando uma interface VPC endpoint (AWS PrivateLink) na sua Virtual Private Cloud (VPC) em vez de se conectar pela Internet. Quando você usa uma interface VPC endpoint, a comunicação entre sua VPC e o Amazon EMR é conduzida inteiramente dentro da rede. AWS Cada endpoint da VPC é representado por uma ou mais interfaces de rede elástica (ENIs) com endereços IP privados nas sub-redes da VPC.
A interface VPC endpoint conecta sua VPC diretamente ao Amazon EMR sem um gateway de internet, dispositivo NAT, conexão VPN ou conexão. AWS Direct Connect As instâncias em sua VPC não precisam de endereços IP públicos para se comunicarem com a API do Amazon EMR.
Para usar o Amazon EMR por meio da VPC, você deve se conectar de uma instância que esteja dentro da VPC ou conectar sua rede privada à VPC usando a rede privada virtual (VPN) da Amazon ou o AWS Direct Connect. Para obter informações sobre o Amazon VPN, consulte Conexões VPN no Guia do usuário do Amazon Virtual Private Cloud. Para obter informações sobre AWS Direct Connect, consulte Criação de uma conexão no Guia AWS Direct Connect do usuário.
Você pode criar uma interface VPC endpoint para se conectar ao Amazon EMR usando o AWS console ou os comandos (). AWS Command Line Interface AWS CLI Para obter mais informações, consulte Creating an interface endpoint (Criação de um endpoint de interface).
Após criar um endpoint da VPC de interface, se você habilitar nomes de host DNS privados para o endpoint, o endpoint padrão do Amazon EMR será resolvido para seu endpoint da VPC. O endpoint de nome de serviço padrão para o Amazon EMR estará no formato a seguir.
elasticmapreduce.Region.amazonaws.com
Se você não habilitar nomes de host DNS privados, a Amazon VPC fornecerá um nome de endpoint DNS que poderá ser usado no formato a seguir.
VPC_Endpoint_ID.elasticmapreduce.Region.vpce.amazonaws.com
Para obter mais informações, consulte Interface VPC endpoints (AWS PrivateLink) no Guia do usuário da Amazon VPC.
O Amazon EMR oferece suporte a chamadas para todas as ações de API dentro da VPC.
Você pode anexar políticas de endpoint da VPC a um endpoint da VPC para controlar o acesso de entidades principais do IAM. Também é possível associar grupos de segurança a um VPC endpoint para controlar o acesso de entrada e saída com base na origem e no destino do tráfego de rede, como um intervalo de endereços IP. Para obter mais informações, consulte Controlling access to services with VPC endpoints.
Criar uma política de endpoint da VPC para o Amazon EMR
É possível criar uma política para endpoints da Amazon VPC para o Amazon EMR para especificar o seguinte:
-
O principal que pode ou não executar ações
-
As ações que podem ser executadas
-
Os recursos nos quais as ações podem ser executadas
Para mais informações, consulte Controlar o acesso a serviços com VPC endpoints no Guia do usuário da Amazon VPC.
exemplo — Política de VPC endpoint para negar todo o acesso de uma conta especificada AWS
A política de VPC endpoint a seguir nega à AWS conta 123456789012 todo o acesso aos recursos usando o endpoint.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
exemplo – Política de endpoint da VPC para permitir o acesso à VPC somente a uma entidade principal do IAM (usuário) especificada
A política de VPC endpoint a seguir permite acesso total somente ao usuário Todos os outros principais IAM têm acesso negado usando o endpoint.lijuan na conta 123456789012. AWS
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/lijuan" ] } }] }
exemplo – Política de endpoint da VPC para permitir operações somente leitura do EMR
A política de VPC endpoint a seguir permite que somente a AWS conta 123456789012 execute as ações especificadas do Amazon EMR.
As ações especificadas fornecem o equivalente ao acesso somente leitura para o Amazon EMR. Todas as outras ações na VPC serão negadas para a conta especificada. Todas as outras contas terão acesso negado. Para obter uma lista de ações do Amazon EMR, consulte Ações, recursos e chaves de condição do Amazon EMR.
{ "Statement": [ { "Action": [ "elasticmapreduce:DescribeSecurityConfiguration", "elasticmapreduce:GetBlockPublicAccessConfiguration", "elasticmapreduce:ListBootstrapActions", "elasticmapreduce:ViewEventsFromAllClustersInConsole", "elasticmapreduce:ListSteps", "elasticmapreduce:ListInstanceFleets", "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups", "elasticmapreduce:DescribeStep", "elasticmapreduce:ListInstances", "elasticmapreduce:ListSecurityConfigurations", "elasticmapreduce:DescribeEditor", "elasticmapreduce:ListClusters", "elasticmapreduce:ListEditors" ], "Effect": "Allow", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
exemplo – Política de endpoint da VPC negando acesso a um cluster especificado
A política de VPC endpoint a seguir permite acesso total a todas as contas e diretores, mas nega qualquer acesso da AWS conta Outras ações do Amazon EMR que não oferecem suporte a permissões de nível de recurso para clusters ainda são permitidas. Para obter uma lista de ações do Amazon EMR e seus tipos de recurso correspondentes, consulte Ações, recursos e chaves de condição do Amazon EMR.123456789012 às ações realizadas no cluster do Amazon EMR com o ID de cluster j-a1b2cd34ef5g.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "arn:aws:elasticmapreduce:us-west-2:123456789012:cluster/j-A1B2CD34EF5G", "Principal": { "AWS": [ "123456789012" ] } } ] }
