针对私有子网的 Amazon S3 最低策略 - Amazon EMR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

针对私有子网的 Amazon S3 最低策略

对于私有子网,您必须让至少能够访问 Amazon EMR 访问 Amazon Linux 存储库。此私有子网策略是访问 Amazon S3 的 VPC 终端节点策略的一部分。使用 Amazon EMR 5.25.0 或更高版本,要启用一键访问持久性 Spark 历史记录服务器,您必须允许 Amazon EMR 访问收集 Spark 事件日志的系统存储桶。如果启用日志记录,请为aws157-logs-*存储桶。有关更多信息,请参阅 。一键访问持久性 Spark 历史服务器.

由您决定满足业务需求的策略限制。例如,您可以指定区域 “packages.us-east-1.amazonaws.com” 以避免 Amazon S3 存储桶名称混淆。以下示例策略提供了访问 Amazon Linux 存储库和 Amazon EMR 系统存储桶以收集 Spark 事件日志的权限。ReplaceMyRegion与您的日志存储桶所在的区域一同使用,例如us-east-1.

{ "Version": "2008-10-17", "Statement": [ { "Sid": "AmazonLinuxAMIRepositoryAccess", "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::packages.*.amazonaws.com/*", "arn:aws:s3:::repo.*.amazonaws.com/*" ] }, { "Sid": "EnableApplicationHistory", "Effect": "Allow", "Principal": "*", "Action": [ "s3:Put*", "s3:Get*", "s3:Create*", "s3:Abort*", "s3:List*" ], "Resource": [ "arn:aws:s3:::prod.MyRegion.appinfo.src/*" ] } ] }

以下示例策略提供了访问 Amazon Linux 2 存储库所需的权限。Amazon Linux 2 AMI 是默认设置。ReplaceMyRegion与您的日志存储桶所在的区域一同使用,例如us-east-1. 有关更多信息,请参阅 。Amazon S3 终端节点策略.

{ "Statement": [ { "Sid": "AmazonLinux2AMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amazonlinux.MyRegion.amazonaws.com/*" "arn:aws:s3:::amazonlinux-2-repos-MyRegion/*" ] } ] }