

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon S3 にアクセスするプライベートサブネットのサンプルポリシー
<a name="private-subnet-iampolicy"></a>

プライベートサブネットで Amazon EMR クラスターを起動するときは、Amazon S3 へのルートを指定する必要があります。デフォルトでは、Amazon S3 のゲートウェイエンドポイントはすべてのバケットへのアクセスを許可します。VPC エンドポイントポリシーを作成して、特定のバケットへのアクセスを制限できます。その場合は、Amazon EMR に必要な特定の S3 バケットへのアクセスを許可するポリシーステートメントを追加する必要があります。Amazon S3 エンドポイントの詳細については、[Amazon S3のゲートウェイエンドポイント](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html)」を参照してください。

ビジネスニーズに合ったポリシー制限は、お客様が決定します。このページでは、Amazon EMR がクラスターを正常に起動するために必要なバケットの詳細と、それらのバケットへのアクセスを許可する VPC エンドポイントポリシーの例を示します。

## 必要なバケット
<a name="private-subnet-iampolicy-required-buckets"></a>

### Amazon Linux AMI リポジトリ
<a name="private-subnet-iampolicy-al-repos"></a>

すべての Amazon EMR クラスターは、Amazon Linux リポジトリにアクセスする必要があります。特定のバケット ARNs は、使用する Amazon Linux のバージョンによって異なります。これは、使用する Amazon EMR リリースによって異なります。
+ Amazon EMR 5.29.0 以前: AL1 リポジトリ`arn:aws:s3:::packages.{{region}}.amazonaws.com`と `arn:aws:s3:::repo.{{region}}.amazonaws.com`
+ Amazon EMR 5.30.0 から 6.15.0: AL2 リポジトリ`arn:aws:s3:::amazonlinux.{{region}}.amazonaws.com`と `arn:aws:s3:::amazonlinux-2-repos-{{region}}`
+ Amazon EMR 7.0.0 以降: AL2023 リポジトリ `arn:aws:s3:::al2023-repos-{{region}}-de612dc2`

### Amazon EMR リポジトリ
<a name="private-subnet-iampolicy-emr-repos"></a>

Amazon EMR 5.22.0 以降では、EMR リポジトリバケット にアクセスする必要があります`arn:aws:s3:::repo.{{region}}.emr.amazonaws.com`。

Amazon EMR 8.0.0 以降および Amazon EMR Spark 8.0.0 以降では、EMR インスタンスデータバケット `arn:aws:s3:::aws157-instance-data-0-prod-{{region}}` および にアクセスする必要があります`arn:aws:s3:::aws157-instance-data-1-prod-{{region}}`。

ap-southeast-2 リージョンでは、これらのバケットは代わりに `arn:aws:s3:::aws157-instance-data-bucket-0-prod-ap-southeast-2`および という名前になります`arn:aws:s3:::aws157-instance-data-bucket-1-prod-ap-southeast-2`。

### ログ記録
<a name="private-subnet-iampolicy-logging"></a>

クラスターログ記録を有効にする場合は、クラスターの作成時にログの送信先として指定したバケットとシステムログバケットの PUT アクセス許可が必要です。us-east-1 リージョンでは、バケット ARN は です`arn:aws:s3:::aws157-logs-prod`。他のすべてのリージョンでは、バケット ARN は です`arn:aws:s3:::aws157-logs-prod-{{region}}`。

### 永続アプリケーションユーザーインターフェイス
<a name="private-subnet-iampolicy-app-ui"></a>

Amazon EMR 5.25.0 以降では、永続アプリケーションユーザーインターフェイスへのワンクリックアクセスを有効にするには、アプリケーションログを収集するシステムバケット へのアクセスを Amazon EMR に許可する必要があります`arn:aws:s3:::prod.{{region}}.appinfo.src`。詳細については、[「Amazon EMR で永続アプリケーションユーザーインターフェイスを表示する](https://docs.aws.amazon.com/emr/latest/ManagementGuide/app-history-spark-UI.html)」を参照してください。

## ポリシーの例
<a name="private-subnet-iampolicy-example"></a>

次のポリシー例では、ログ記録と永続アプリケーションユーザーインターフェイスを有効にして、us-east-2 リージョンのプライベートサブネットで Amazon EMR 8.0.0 クラスターを起動するために必要なアクセス許可を提供します。

```
{
  "Version":"2012-10-17", 		 	 	 
  "Statement": [
    {
      "Sid": "AmazonLinux2023AMIRepositoryAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::al2023-repos-us-east-2-de612dc2/*"
      ]
    },
    {
      "Sid": "EmrRepositoryAccess",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::repo.us-east-2.emr.amazonaws.com/*",
        "arn:aws:s3:::aws157-instance-data-0-prod-us-east-2/*",
        "arn:aws:s3:::aws157-instance-data-1-prod-us-east-2/*"
      ]
    },
    {
      "Sid": "EnableClusterLogs",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:Put*"
      ],
      "Resource": [
        "arn:aws:s3:::aws157-logs-prod-us-east-2/*",
        "arn:aws:s3:::{{my-logs-bucket}}/*"
      ]
    },
    {
      "Sid": "EnableApplicationHistory",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:Put*",
        "s3:Get*",
        "s3:Create*",
        "s3:Abort*",
        "s3:List*"
      ],
      "Resource": [
        "arn:aws:s3:::prod.us-east-2.appinfo.src/*"
      ]
    }
  ]
}
```