Verwenden von Amazon EMR Block Public Access

Amazon EMR Block Public Access (BPA) verhindert, dass Sie einen Cluster in einem öffentlichen Subnetz starten, wenn der Cluster über eine Sicherheitskonfiguration verfügt, die eingehenden Datenverkehr von öffentlichen IP-Adressen an einem Port zulässt.

Wichtig

Den öffentlichen Zugriff blockieren ist standardmäßig aktiviert. Um den Kontoschutz zu erhöhen, empfehlen wir, ihn aktiviert zu lassen.

Grundlegendes zum Blockieren des öffentlichen Zugriffs

Sie können die Konfiguration Block Public Access auf Kontoebene verwenden, um den öffentlichen Netzwerkzugriff auf Amazon-EMR-Cluster zentral zu verwalten.

Wenn ein Benutzer von Ihnen einen Cluster AWS-Konto startet, überprüft Amazon EMR die Portregeln in der Sicherheitsgruppe für den Cluster und vergleicht sie mit Ihren Regeln für eingehenden Datenverkehr. Wenn die Sicherheitsgruppe über eine Regel für eingehenden Datenverkehr verfügt, die Ports zu den öffentlichen IP-Adressen IPv4 0.0.0.0/0 oder IPv6: :/0 öffnet, und diese Ports nicht als Ausnahmen für Ihr Konto angegeben sind, lässt Amazon EMR den Benutzer den Cluster nicht erstellen.

Wenn ein Benutzer die Sicherheitsgruppenregeln für einen laufenden Cluster in einem öffentlichen Subnetz so ändert, dass er über eine Regel für den öffentlichen Zugriff verfügt, die gegen die BPA-Konfiguration für Ihr Konto verstößt, widerruft Amazon EMR die neue Regel, sofern es dazu berechtigt ist. Wenn Amazon EMR nicht berechtigt ist, die Regel zu widerrufen, wird im AWS Health -Dashboard ein Ereignis erstellt, das den Verstoß beschreibt. Informationen dazu, wie Sie Amazon EMR die Berechtigung zum Widerrufen der Regel erteilen, finden Sie unter Amazon EMR so konfigurieren, dass Sicherheitsgruppenregeln aufgehoben werden.

Den öffentlichen Zugriff blockieren ist standardmäßig für alle Cluster in jedem AWS-Region für Ihr AWS-Konto aktiviert. BPA gilt für den gesamten Lebenszyklus eines Clusters, gilt jedoch nicht für Cluster, die Sie in privaten Subnetzen erstellen. Sie können Ausnahmen von der BPA-Regel konfigurieren. Port 22 ist standardmäßig eine Ausnahme. Weitere Informationen zur Einstellung finden Sie unter Konfigurieren von Block Public Access.

Konfigurieren von Block Public Access

Sie können die Sicherheitsgruppen und die Konfiguration zum Sperren des öffentlichen Zugriffs in Ihren Konten jederzeit aktualisieren.

Sie können die Einstellungen für den öffentlichen Zugriff (Block Public Access, BPA) mit der AWS Management Console, der AWS Command Line Interface (AWS CLI) und der Amazon EMR-API ein- und ausschalten. Die Einstellungen gelten für Ihr Konto je nach Region. Um die Clustersicherheit aufrechtzuerhalten, wird die Verwendung von BPA empfohlen.

New console

Anmerkung

Wir haben die Amazon-EMR-Konsole neu gestaltet, um sie benutzerfreundlicher zu gestalten. Unter Amazon EMR-Konsole erfahren Sie mehr über die Unterschiede zwischen der alten und der neuen Konsolenerfahrung.

So konfigurieren Sie Block Public Access mit der neuen Konsole

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie dann die Amazon EMR-Konsole unter https://console.aws.amazon.com/emr.

2. Wählen Sie in der oberen Navigationsleiste die Region aus, die Sie konfigurieren möchten, sofern sie nicht bereits ausgewählt ist.

3. Wählen Sie im linken Navigationsbereich unter EMR in EC2 die Option Block Public Access aus.

4. Führen Sie unter Block public access settings (Einstellungen für die Sperrung des öffentlichen Zugriffs) die folgenden Schritte aus.

   Zu …	Vorgehensweise
   Block Public Access aktivieren oder deaktivieren	Wählen Sie Bearbeiten, wählen Sie je nach Bedarf Einschalten oder Ausschalten und wählen Sie dann Speichern.
   Ports in der Liste der Ausnahmen bearbeiten	Wählen Sie Bearbeiten und suchen Sie den Abschnitt Ausnahmen für den Portbereich. Um der Liste der Ausnahmen Ports hinzuzufügen, wählen Sie Add a port range (Port-Bereich hinzufügen) aus und geben Sie einen neuen Port oder Port-Bereich ein. Wiederholen Sie den Vorgang für jeden Port oder Port-Bereich, der hinzugefügt werden soll. Um einen Port oder Portbereich zu entfernen, wählen Sie das Entfernen neben dem Eintrag in der Liste Portbereiche. Wählen Sie Speichern.

Old console

Zum Anzeigen, Konfigurieren und Blockieren von öffentlichem Zugriff mit der alten Konsole

1. Öffnen Sie die Amazon EMR-Konsole unter https://console.aws.amazon.com/emr.

2. Stellen Sie in der Navigationsleiste sicher, dass die Region, die Sie konfigurieren möchten, ausgewählt ist.

3. Wählen Sie Block public access (Öffentlichen Zugriff sperren) aus.

4. Führen Sie unter Block public access settings (Einstellungen für die Sperrung des öffentlichen Zugriffs) die folgenden Schritte aus.

   Zu …	Vorgehensweise
   Block Public Access aktivieren oder deaktivieren	Wählen Sie Change (Ändern), On (Ein) oder Off (Aus) und dann das Häkchen zur Bestätigung aus.
   Ports in der Liste der Ausnahmen bearbeiten	Wählen Sie unter Exceptions (Ausnahmen), die Option Edit (Bearbeiten) aus. Um der Liste der Ausnahmen Ports hinzuzufügen, wählen Sie Add a port range (Port-Bereich hinzufügen) aus und geben Sie einen neuen Port oder Port-Bereich ein. Wiederholen Sie den Vorgang für jeden Port oder Port-Bereich, der hinzugefügt werden soll. Um einen Port oder Port-Bereich zu entfernen, wählen Sie das x neben dem Eintrag in der Liste Port ranges (Bort-Bereiche) aus. Wählen Sie Save Changes.

AWS CLI

Um den öffentlichen Zugriff sperren zu konfigurieren, verwenden Sie den AWS CLI

• Verwenden Sie den aws emr put-block-public-access-configuration-Befehl, um Block Public Access zu konfigurieren, wie in den folgenden Beispielen gezeigt.

  Zu …	Vorgehensweise
  Block Public Access aktivieren	Legen Sie BlockPublicSecurityGroupRules wie im folgenden Beispiel gezeigt auf true fest. Damit der Cluster gestartet werden kann, darf keine Sicherheitsgruppe, die einem Cluster zugeordnet ist, über eine Regel für eingehenden Datenverkehr verfügen, die den öffentlichen Zugriff zulässt. aws emr put-block-public-access-configuration --block-public-access-configuration BlockPublicSecurityGroupRules=true
  Block Public Access deaktivieren	Legen Sie BlockPublicSecurityGroupRules wie im folgenden Beispiel gezeigt auf false fest. Sicherheitsgruppen, die einem Cluster zugeordnet sind, können Regeln für eingehenden Datenverkehr aufweisen, die öffentlichen Zugriff auf beliebige Ports zulassen. Wir empfehlen diese Konfiguration nicht. aws emr put-block-public-access-configuration --block-public-access-configuration BlockPublicSecurityGroupRules=false
  Block Public Access aktivieren und Ports als Ausnahmen angeben	Im folgenden Beispiel wird Block Public Access aktiviert und Port 22 sowie die Ports 100-101 werden als Ausnahmen angegeben. Auf diese Weise können Cluster erstellt werden, wenn eine zugeordnete Sicherheitsgruppe über eine Regel für eingehenden Datenverkehr verfügt, die öffentlichen Zugriff auf die Ports 22, 100 oder 101 zulässt. aws emr put-block-public-access-configuration --block-public-access-configuration '{ "BlockPublicSecurityGroupRules": true, "PermittedPublicSecurityGroupRuleRanges": [ { "MinRange": 22, "MaxRange": 22 }, { "MinRange": 100, "MaxRange": 101 } ] }'

Amazon EMR so konfigurieren, dass Sicherheitsgruppenregeln aufgehoben werden

Amazon EMR benötigt die Erlaubnis, Sicherheitsgruppenregeln zu widerrufen und Ihre Konfiguration für die Blockierung des öffentlichen Zugriffs einzuhalten. Sie können einen der folgenden Ansätze verwenden, um Amazon EMR die erforderliche Genehmigung zu erteilen:

• (Empfohlen) Fügen Sie der Servicerolle die AmazonEMRServicePolicy_v2-verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter Servicerolle für Amazon EMR (EMR-Rolle).

• Erstellen Sie eine neue Inline-Richtlinie, die die ec2:RevokeSecurityGroupIngress-Aktion für Sicherheitsgruppen ermöglicht. Weitere Informationen zum Ändern einer Rollenberechtigungsrichtlinie finden Sie unter Ändern einer Rollenberechtigungsrichtlinie mit der IAM-Konsole, der AWS -API und AWS CLI im IAM-Benutzerhandbuch.

Beheben von Verletzungen des Blockieren des öffentlichen Zugriffs

Wenn ein Verstoß gegen die Sperrung des öffentlichen Zugriffs auftritt, können Sie ihn mit einer der folgenden Maßnahmen beheben:

• Wenn Sie auf eine Webschnittstelle Ihres Clusters zugreifen möchten, verwenden Sie eine der unter Anzeigen von auf Amazon-EMR-Clustern gehosteten Webschnittstellen beschriebenen Optionen, um über SSH (Port 22) auf die Schnittstelle zuzugreifen.

• Um den Datenverkehr zum Cluster von bestimmten IP-Adressen statt von der öffentlichen IP-Adresse aus zuzulassen, fügen Sie eine Sicherheitsgruppenregel hinzu. Weitere Informationen finden Sie unter Hinzufügen von Regeln zur Sicherheitsgruppe im Amazon-EC2-Benutzerhandbuch.

• (Nicht empfohlen) Sie können Amazon-EMR-BPA-Ausnahmen so konfigurieren, dass sie den gewünschten Port oder Portbereich enthalten. Wenn Sie eine BPA-Ausnahme angeben, gehen Sie mit einem ungeschützten Port ein Risiko ein. Wenn Sie beabsichtigen, eine Ausnahme anzugeben, sollten Sie die Ausnahme entfernen, sobald sie nicht mehr benötigt wird. Weitere Informationen finden Sie unter Konfigurieren von Block Public Access.

Identifizieren Sie Cluster, die Sicherheitsgruppenregeln zugeordnet sind

Möglicherweise müssen Sie alle Cluster identifizieren, die einer bestimmten Sicherheitsgruppenregel zugeordnet sind, oder die Sicherheitsgruppenregel für einen bestimmten Cluster finden.

• Wenn Sie die Sicherheitsgruppe kennen, können Sie die zugehörigen Cluster identifizieren, wenn Sie die Netzwerkschnittstellen für die Sicherheitsgruppe finden. Weitere Informationen finden Sie unter Wie finde ich die Ressourcen, die einer Amazon-EC2-Sicherheitsgruppe zugeordnet sind? in AWS re:Post. Die Amazon EC2-Instances, die an diese Netzwerkschnittstellen angeschlossen sind, werden mit der ID des Clusters gekennzeichnet, zu dem sie gehören.

• Wenn Sie die Sicherheitsgruppen für einen bekannten Cluster suchen möchten, folgen Sie den Schritten unter Cluster-Status und -Details anzeigen. Sie finden die Sicherheitsgruppen für den Cluster im Bereich Netzwerk und Sicherheit in der Konsole oder im Ec2InstanceAttributes-Feld unter AWS CLI.