使用介面 VPC 端點連接至 Amazon EMR on EKS - Amazon EMR
為 Amazon EMR on EKS 建立 VPC 端點政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用介面 VPC 端點連接至 Amazon EMR on EKS

您可以使用虛擬私有雲端 (VPC) 中的介面 VPC 端點 (AWS PrivateLink) 直接連接至 Amazon EMR on EKS,而非透過網際網路進行連接。使用介面 VPC 端點時,VPC 和 Amazon EMR on EKS 之間的通訊完全在 AWS 網路中進行。每個 VPC 端點皆會由一個或多個具私有 IP 地址彈性網絡介面 (ENI) 來表示,而該介面位於 VPC 子網路中。

介面 VPC 端點可以直接將 VPC 連接至 Amazon EMR on EKS,無需透過網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。VPC 中的執行個體不需要公有 IP 地址,就能與 Amazon EMR on EKS API 進行通訊。

可以使用 AWS Management Console 或 AWS Command Line Interface (AWS CLI) 命令,建立介面 VPC 端點來連接至 Amazon EMR on EKS。如需詳細資訊,請參閱建立界面端點

在建立介面 VPC 端點之後,如果您啟用了此端點的私有 DNS 主機名稱,則預設的 Amazon EMR on EKS 端點會解析為您的 VPC 端點。預設的 Amazon EMR on EKS 服務名稱端點會採用下列格式。

emr-containers.Region.amazonaws.com

如果您尚未啟用私有 DNS 主機名稱,Amazon VPC 會透過以下格式提供一個 DNS 端點名稱供您使用。

VPC_Endpoint_ID.emr-containers.Region.vpce.amazonaws.com

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的介面 VPC 端點 (AWS PrivateLink)。Amazon EMR on EKS 支援在您的 VPC 內呼叫其所有 API 動作

可以將 VPC 端點政策附接至某個 VPC 端點,以控制 IAM 主體的存取權。您也可以將安全群組與 VPC 端點建立關聯,藉以根據網路流量的來源和目的地 (例如 IP 位址範圍) 來控制輸入和輸出存取。如需詳細資訊,請參閱使用 VPC 端點控制服務的存取

為 Amazon EMR on EKS 建立 VPC 端點政策

可以為 Amazon EMR on EKS 的 Amazon VPC 端點建立政策,以指定下列各項:

  • 可執行或不可執行動作的委託人

  • 可執行的動作

  • 可在其中執行動作的資源

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制服務的存取

範例 可用來拒絕所有來自指定 AWS 帳戶之存取的 VPC 端點政策

下列 VPC 端點政策拒絕 AWS 帳戶 123456789012 對使用該端點之資源的任何存取。

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}
範例 可用來僅允許來自指定 IAM 主體 (使用者) 之 VPC 存取的 VPC 端點政策

下列 VPC 端點政策只允許 AWS 帳戶 123456789012 中的 IAM 使用者 lijuan 的完整存取權。所有其他 IAM 主體均無法存取該端點。

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/lijuan"
                ]
            }
        }
    ]
}
範例 可用來允許唯讀 Amazon EMR on EKS 操作的 VPC 端點政策

下列 VPC 端點政策僅允許 AWS 帳戶 123456789012 執行指定的 Amazon EMR on EKS 動作。

指定的動作為 Amazon EMR on EKS 提供等效的唯讀存取權。拒絕指定的帳戶存取在該 VPC 上的所有其他動作。拒絕所有其他帳戶的任何存取。如需 Amazon EMR on EKS 動作清單,請參閱適用於 Amazon EMR on EKS 的動作、資源及條件金鑰

{
    "Statement": [
        {
            "Action": [
                "emr-containers:DescribeJobRun",
                "emr-containers:DescribeVirtualCluster",
                "emr-containers:ListJobRuns",
                "emr-containers:ListTagsForResource",
                "emr-containers:ListVirtualClusters"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}
範例 拒絕存取指定虛擬叢集的 VPC 端點政策

下列 VPC 端點政策允許所有帳戶和主體的完整存取權,但拒絕 AWS 帳戶 123456789012 對於在叢集 ID 為 A1B2CD34EF5G 的虛擬叢集上執行的動作的任何存取權。仍然允許其他不支援虛擬叢集資源層級許可的 Amazon EMR on EKS 動作。如需 Amazon EMR on EKS 動作及其對應資源類型的清單,請參閱《AWS Identity and Access Management 使用者指南》中的適用於 Amazon EMR on EKS 的動作、資源及條件金鑰

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "*",
            "Effect": "Deny",
            "Resource": "arn:aws:emr-containers:us-west-2:123456789012:/virtualclusters/A1B2CD34EF5G",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            }
        }
    ]
}