View a markdown version of this page

Amazon S3에 액세스하는 프라이빗 서브넷에 대한 샘플 정책 - Amazon EMR
필수 버킷예제 정책

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon S3에 액세스하는 프라이빗 서브넷에 대한 샘플 정책

프라이빗 서브넷에서 Amazon EMR 클러스터를 시작할 때는 Amazon S3에 대한 경로를 제공해야 합니다. 기본적으로 Amazon S3의 게이트웨이 엔드포인트는 모든 버킷에 대한 액세스를 허용합니다. VPC 엔드포인트 정책을 생성하여 특정 버킷에 대한 액세스를 제한할 수 있습니다. 그렇게 할 경우 Amazon EMR에 필요한 특정 S3 버킷에 대한 액세스를 허용하는 정책 설명을 추가해야 합니다. Amazon S3 엔드포인트에 대한 자세한 내용은 Amazon S3용 게이트웨이 엔드포인트를 참조하세요.

비즈니스 요구를 충족하는 정책 제한은 사용자가 결정합니다. 이 페이지에서는 Amazon EMR이 클러스터를 성공적으로 시작하는 데 필요한 버킷과 해당 버킷에 대한 액세스 권한을 부여하는 VPC 엔드포인트 정책 예제를 자세히 설명합니다.

필수 버킷

Amazon Linux AMI 리포지토리

모든 Amazon EMR 클러스터에는 Amazon Linux 리포지토리에 대한 액세스 권한이 필요합니다. 특정 버킷 ARNs은 사용 중인 Amazon Linux 버전에 따라 달라지며, 사용 중인 Amazon EMR 릴리스에 따라 달라집니다.

  • Amazon EMR 5.29.0 이하: AL1 리포지토리 arn:aws:s3:::packages.region.amazonaws.com.rproxy.govskope.usarn:aws:s3:::repo.region.amazonaws.com

  • Amazon EMR 5.30.0~6.15.0: AL2 리포지토리 arn:aws:s3:::amazonlinux.region.amazonaws.com.rproxy.govskope.usarn:aws:s3:::amazonlinux-2-repos-region

  • Amazon EMR 7.0.0 이상: AL2023 리포지토리 arn:aws:s3:::al2023-repos-region-de612dc2

Amazon EMR 리포지토리

Amazon EMR 5.22.0 이상에서는 EMR 리포지토리 버킷에 액세스해야 합니다arn:aws:s3:::repo.region.emr.amazonaws.com.

Amazon EMR 8.0.0 이상 및 Amazon EMR Spark 8.0.0 이상에서는 EMR 인스턴스 데이터 버킷 arn:aws:s3:::aws157-instance-data-0-prod-region 및에 액세스해야 합니다arn:aws:s3:::aws157-instance-data-1-prod-region.

ap-southeast-2 리전에서는 이러한 버킷의 이름이 대신 arn:aws:s3:::aws157-instance-data-bucket-0-prod-ap-southeast-2 및 로 지정됩니다arn:aws:s3:::aws157-instance-data-bucket-1-prod-ap-southeast-2.

로깅

클러스터 로깅을 활성화하는 경우 클러스터를 생성할 때 로그 대상으로 지정한 버킷과 시스템 로그 버킷에 대한 PUT 권한이 필요합니다. us-east-1 리전에서 버킷 ARN은 이고, 다른 모든 리전의 arn:aws:s3:::aws157-logs-prod경우 버킷 ARN은 입니다arn:aws:s3:::aws157-logs-prod-region.

영구 애플리케이션 사용자 인터페이스

Amazon EMR 5.25.0 이상에서는 영구 애플리케이션 사용자 인터페이스에 대한 원클릭 액세스를 활성화하려면 Amazon EMR이 애플리케이션 로그를 수집하는 시스템 버킷에 액세스하도록 허용해야 합니다arn:aws:s3:::prod.region.appinfo.src. 자세한 내용은 Amazon EMR에서 영구 애플리케이션 사용자 인터페이스 보기를 참조하세요.

예제 정책

다음 예제 정책은 로깅 및 영구 애플리케이션 사용자 인터페이스가 활성화된 상태에서 us-east-2 리전의 프라이빗 서브넷에서 Amazon EMR 8.0.0 클러스터를 시작하는 데 필요한 권한을 제공합니다.

{
  "Version":"2012-10-17", 
  "Statement": [
    {
      "Sid": "AmazonLinux2023AMIRepositoryAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::al2023-repos-us-east-2-de612dc2/*"
      ]
    },
    {
      "Sid": "EmrRepositoryAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::repo.us-east-2.emr.amazonaws.com/*",
        "arn:aws:s3:::aws157-instance-data-0-prod-us-east-2/*",
        "arn:aws:s3:::aws157-instance-data-1-prod-us-east-2/*"
      ]
    },
    {
      "Sid": "EnableClusterLogs",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:Put*"
      ],
      "Resource": [
        "arn:aws:s3:::aws157-logs-prod-us-east-2/*",
        "arn:aws:s3:::my-logs-bucket/*"
      ]
    },
    {
      "Sid": "EnableApplicationHistory",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:Put*",
        "s3:Get*",
        "s3:Create*",
        "s3:Abort*",
        "s3:List*"
      ],
      "Resource": [
        "arn:aws:s3:::prod.us-east-2.appinfo.src/*"
      ]
    }
  ]
}