我们没有通过S3向任何人提供任何下载权限,但仍然可以使用scp通过EMR集群下载数据
是否可以向某人提供群集dns但确保他们可以使用群集中的数据但不下载它?
答案 0 :(得分:0)
默认情况下,EMR节点将采用EC2实例配置文件:EMR_EC2_DefaultRole IAM角色来访问您帐户上的资源,包括S3。此角色中定义的策略将决定EMR可以访问的内容。
如果该角色在所有资源(如存储桶和对象)上都有s3:*或s3:get * etc,那么EMR上的所有节点都可以从您帐户的所有存储桶中下载对象。 (鉴于您没有任何存储桶策略)。 http://docs.aws.amazon.com/AmazonS3/latest/dev/using-with-s3-actions.html http://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies.html https://aws.amazon.com/blogs/security/iam-policies-and-bucket-policies-and-acls-oh-my-controlling-access-to-s3-resources/
是的,鉴于EMR可以访问S3,如果您与用户共享EMR / Ec2的私有SSH密钥(.pem)文件,他们可以使用SCP将数据从EMR复制到他们的计算机。