私有子网的最低 Amazon S3 策略
对于私有子网,您必须让 Amazon EMR 至少能够访问 Amazon Linux 存储库。此私有子网策略是用于访问 Amazon S3 的 VPC 终端节点策略的一部分。对于 Amazon EMR 5.25.0 或更高版本,要启用一键访问持久性 Spark 历史记录服务器,您必须允许 Amazon EMR 访问收集 Spark 事件日志的系统存储桶。如果启用日志记录,请为 aws157-logs-*
存储桶授予 PUT 权限。有关更多信息,请参阅一键访问持久性 Spark 历史记录服务器。
由您决定满足业务需求的策略限制。例如,您可以指定区域packages.us-east-1.amazonaws.com
以避免 Amazon S3 存储桶名称混淆。以下示例策略提供了访问 Amazon Linux 存储库和 Amazon EMR 系统存储桶以收集 Spark 事件日志的权限。将 MyRegion
替换为您的日志存储桶所在的区域,例如 us-east-1
。
有关将 IAM policy 与 Amazon VPC 终端节点结合使用的更多信息,请参阅Amazon S3 终端节点策略。
{ "Version": "2008-10-17", "Statement": [ { "Sid": "AmazonLinuxAMIRepositoryAccess", "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::packages.
MyRegion
.amazonaws.com/*", "arn:aws:s3:::repo.MyRegion
.amazonaws.com/*", "arn:aws:s3:::repo.MyRegion
.emr.amazonaws.com/*" ] }, { "Sid": "EnableApplicationHistory", "Effect": "Allow", "Principal": "*", "Action": [ "s3:Put*", "s3:Get*", "s3:Create*", "s3:Abort*", "s3:List*" ], "Resource": [ "arn:aws:s3:::prod.MyRegion
.appinfo.src/*" ] } ] }
以下示例策略提供了访问 Amazon Linux 2 存储库所需的权限。默认值是 Amazon Linux 2 AMI。
{ "Statement": [ { "Sid": "AmazonLinux2AMIRepositoryAccess", "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::amazonlinux.
MyRegion
.amazonaws.com/*", "arn:aws:s3:::amazonlinux-2-repos-MyRegion
/*" ] } ] }