Exemplos de políticas para sub-redes privadas que acessam o Amazon S3 - Amazon EMR

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplos de políticas para sub-redes privadas que acessam o Amazon S3

Para sub-redes privadas, no mínimo, você deve fornecer à Amazon a capacidade de acessar os EMR repositórios Amazon Linux. Essa política de sub-rede privada faz parte das políticas de VPC endpoint para acessar o Amazon S3. Com o Amazon EMR 5.25.0 ou posterior, para permitir o acesso com um clique ao servidor de histórico persistente do Spark, você deve permitir que a Amazon EMR acesse o bucket do sistema que coleta os registros de eventos do Spark. Se você ativar o registro em log, forneça PUT permissões para um aws157-logs-* bucket. Para obter mais informações, consulte One-click access to persistent Spark History Server.

Cabe a você determinar as restrições da política que atendam às suas necessidades comerciais. O exemplo de política a seguir fornece permissões para acessar os repositórios Amazon Linux e o bucket do EMR sistema Amazon para coletar registros de eventos do Spark. Ele mostra alguns exemplos de nomes de recursos para os buckets.

Para obter mais informações sobre o uso de IAM políticas com VPC endpoints da Amazon, consulte Políticas de endpoint para o Amazon S3. Para consultar uma lista de endpoints de serviço disponíveis para AWS, consulte os EMRendpoints e cotas da Amazon.

{
   "Version": "2008-10-17",
   "Statement": [
       {
           "Sid": "AmazonLinuxAMIRepositoryAccess",
           "Effect": "Allow",
           "Principal": "*",
           "Action": "s3:GetObject",
           "Resource": [
           	"arn:aws:s3:::packages.us-east-1.amazonaws.com/*",
           	"arn:aws:s3:::repo.us-east-1.amazonaws.com/*",
           	"arn:aws:s3:::repo.us-east-2.amazonaws.com/*"
           ]
       },
       {
           "Sid": "EnableApplicationHistory",
           "Effect": "Allow",
           "Principal": "*",
           "Action": [
               "s3:Put*",
               "s3:Get*",
               "s3:Create*",
               "s3:Abort*",
               "s3:List*"
           ],
           "Resource": [
           	"arn:aws:s3:::prod.us-east-1.appinfo.src/*"
           ]
       }
   ]
}

O exemplo de política a seguir fornece as permissões necessárias para acessar repositórios do Amazon Linux 2. O Amazon Linux 2 AMI é o padrão.

{
   "Statement": [
       {
           "Sid": "AmazonLinux2AMIRepositoryAccess",
           "Effect": "Allow",
           "Principal": "*",
           "Action": "s3:GetObject",
           "Resource": [
           	"arn:aws:s3:::amazonlinux.us-east-1.amazonaws.com/*",
           	"arn:aws:s3:::amazonlinux-2-repos-us-east-1/*"
           ]
       }
   ]
}