私有子网的最低 Amazon S3 策略 - Amazon EMR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

私有子网的最低 Amazon S3 策略

对于私有子网,您必须让 Amazon EMR 至少能够访问 Amazon Linux 存储库。此私有子网策略是用于访问 Amazon S3 的 VPC 终端节点策略的一部分。对于 Amazon EMR 5.25.0 或更高版本,要启用一键访问持久性 Spark 历史记录服务器,您必须允许 Amazon EMR 访问收集 Spark 事件日志的系统存储桶。如果启用日志记录,请为 aws157-logs-* 存储桶授予 PUT 权限。有关更多信息,请参阅一键访问持久性 Spark 历史记录服务器

由您决定满足业务需求的策略限制。例如,您可以指定区域packages.us-east-1.amazonaws.com以避免 Amazon S3 存储桶名称混淆。以下示例策略提供了访问 Amazon Linux 存储库和 Amazon EMR 系统存储桶以收集 Spark 事件日志的权限。将 MyRegion 替换为您的日志存储桶所在的区域,例如 us-east-1

有关将 IAM policy 与 Amazon VPC 终端节点结合使用的更多信息,请参阅Amazon S3 终端节点策略

{
   "Version": "2008-10-17",
   "Statement": [
       {
           "Sid": "AmazonLinuxAMIRepositoryAccess",
           "Effect": "Allow",
           "Principal": "*",
           "Action": "s3:GetObject",
           "Resource": [
           	"arn:aws:s3:::packages.MyRegion.amazonaws.com/*",
           	"arn:aws:s3:::repo.MyRegion.amazonaws.com/*",
           	"arn:aws:s3:::repo.MyRegion.emr.amazonaws.com/*"
           ]
       },
       {
           "Sid": "EnableApplicationHistory",
           "Effect": "Allow",
           "Principal": "*",
           "Action": [
               "s3:Put*",
               "s3:Get*",
               "s3:Create*",
               "s3:Abort*",
               "s3:List*"
           ],
           "Resource": [
           	"arn:aws:s3:::prod.MyRegion.appinfo.src/*"
           ]
       }
   ]
}

以下示例策略提供了访问 Amazon Linux 2 存储库所需的权限。默认值是 Amazon Linux 2 AMI。

{
   "Statement": [
       {
           "Sid": "AmazonLinux2AMIRepositoryAccess",
           "Effect": "Allow",
           "Principal": "*",
           "Action": "s3:GetObject",
           "Resource": [
           	"arn:aws:s3:::amazonlinux.MyRegion.amazonaws.com/*",
           	"arn:aws:s3:::amazonlinux-2-repos-MyRegion/*"
           ]
       }
   ]
}