Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Arbeiten mit von Amazon EMR verwalteten Sicherheitsgruppen
Anmerkung
Amazon EMR ist bestrebt, integrative Alternativen für potenziell anstößige oder nicht inklusive Branchenbegriffe wie „Master“ und „Slave“ zu verwenden. Wir haben auf eine neue Terminologie umgestellt, um ein umfassenderes Erlebnis zu bieten und Ihnen das Verständnis der Servicekomponenten zu erleichtern.
Wir beschreiben „Knoten“ jetzt als Instances und EMR Amazon-Instance-Typen als Primär -, Kern - und Task-Instances. Während der Umstellung finden Sie möglicherweise immer noch ältere Verweise auf die veralteten Begriffe, z. B. solche, die sich auf Sicherheitsgruppen für Amazon EMR beziehen.
Mit der Primär-Instance und den Core- und Aufgaben-Instances in einem Cluster sind verschiedene verwaltete Sicherheitsgruppen verknüpft. Sie benötigen eine zusätzliche verwaltete Sicherheitsgruppe für den Servicezugriff, wenn Sie einen Cluster in einem privaten Subnetz erstellen. Weitere Informationen zur Rolle von verwalteten Sicherheitsgruppen in Bezug auf Ihre Netzwerkkonfiguration finden Sie unter VPCAmazon-Optionen.
Wenn Sie verwaltete Sicherheitsgruppen für einen Cluster angeben, müssen Sie für alle verwalteten Sicherheitsgruppen denselben Typ von Sicherheitsgruppe (Standard oder benutzerdefiniert) verwenden. Sie können beispielsweise nicht eine benutzerdefinierte Sicherheitsgruppe für die Primär-Instance angeben und dann keine benutzerdefinierte Sicherheitsgruppe für die Core- und Aufgaben-Instances angeben.
Wenn Sie standardmäßige verwaltete Sicherheitsgruppen verwenden, müssen Sie diese beim Erstellen eines Clusters nicht angeben. Amazon verwendet EMR automatisch die Standardeinstellungen. Wenn die Standardeinstellungen in den Clustern noch nicht vorhanden sind, VPC EMR erstellt Amazon sie außerdem. Amazon erstellt sie EMR auch, wenn Sie sie explizit angeben und sie noch nicht existieren.
Sie können die Regeln in verwalteten Sicherheitsgruppen nach der Erstellung der Cluster bearbeiten. Wenn Sie einen neuen Cluster erstellen, EMR überprüft Amazon die Regeln in den von Ihnen angegebenen verwalteten Sicherheitsgruppen und erstellt dann alle fehlenden Regeln für eingehenden Datenverkehr, die der neue Cluster benötigt, zusätzlich zu den Regeln, die möglicherweise zuvor hinzugefügt wurden. Sofern nicht ausdrücklich anders angegeben, wird jede Regel für von Amazon EMR verwaltete Standardsicherheitsgruppen auch den von Ihnen angegebenen benutzerdefinierten, von EMR Amazon verwalteten Sicherheitsgruppen hinzugefügt.
Die standardmäßigen verwalteten Sicherheitsgruppen sind:
-
ElasticMapReduce-primär
Informationen zu den Regeln in dieser Sicherheitsgruppe finden Sie unter Von Amazon EMR verwaltete Sicherheitsgruppe für die primäre Instance (öffentliche Subnetze).
-
ElasticMapReduce-Kern
Informationen zu den Regeln in dieser Sicherheitsgruppe finden Sie unter Von Amazon EMR verwaltete Sicherheitsgruppe für Core- und Task-Instances (öffentliche Subnetze).
-
ElasticMapReduce-Primär-Privat
Informationen zu den Regeln in dieser Sicherheitsgruppe finden Sie unter Von Amazon EMR verwaltete Sicherheitsgruppe für die primäre Instance (private Subnetze).
-
ElasticMapReduce-Kernprivat
Informationen zu den Regeln in dieser Sicherheitsgruppe finden Sie unter Von Amazon EMR verwaltete Sicherheitsgruppe für Core- und Task-Instances (private Subnetze).
-
ElasticMapReduce-ServiceAccess
Informationen zu den Regeln in dieser Sicherheitsgruppe finden Sie unter Von Amazon EMR verwaltete Sicherheitsgruppe für den Servicezugriff (private Subnetze).
Von Amazon EMR verwaltete Sicherheitsgruppe für die primäre Instance (öffentliche Subnetze)
Die standardmäßige verwaltete Sicherheitsgruppe für die primäre Instance in öffentlichen Subnetzen hat den Gruppennamen -primary. ElasticMapReduce Sie hat die folgenden Regeln. Wenn Sie eine benutzerdefinierte verwaltete Sicherheitsgruppe angeben, EMR fügt Amazon Ihrer benutzerdefinierten Sicherheitsgruppe dieselben Regeln hinzu.
| Typ | Protocol (Protokoll) | Port-Bereich | Quelle | Details |
|---|---|---|---|---|
| Regeln für eingehenden Datenverkehr | ||||
| Alles ICMP - IPv4 | Alle | N/A | Die Gruppen-ID der verwalteten Sicherheitsgruppe für die Primär-Instance. Mit anderen Worten, dieselbe Sicherheitsgruppe, in der die Regel angezeigt wird. | Diese reflexiven Regeln ermöglichen eingehenden Datenverkehr aus allen mit der angegebenen Sicherheitsgruppe verknüpften Instances. Wenn die Standardeinstellung |
| Alle TCP | TCP | Alle | ||
| Alle UDP | UDP | Alle | ||
| Alles ICMP - IPV4 | Alle | N/A | Die Gruppen-ID der verwalteten Sicherheitsgruppe, die für Core- und Aufgabenknoten angegeben wurde. | Diese Regeln lassen den gesamten eingehenden ICMP Datenverkehr und den Datenverkehr über einen beliebigen TCP UDP Port von allen Core- und Task-Instances zu, die der angegebenen Sicherheitsgruppe zugeordnet sind, auch wenn sich die Instances in unterschiedlichen Clustern befinden. |
| Alle TCP | TCP | Alle | ||
| Alle UDP | UDP | Alle | ||
| Benutzerdefiniert | TCP | 8443 | Verschiedene Amazon-IP-Adressbereiche | Diese Regeln ermöglichen dem Cluster-Manager die Kommunikation mit dem Primärknoten. |
Um vertrauenswürdigen Quellen mit der Konsole SSH Zugriff auf die primäre Sicherheitsgruppe zu gewähren
Um Ihre Sicherheitsgruppen bearbeiten zu können, benötigen Sie die Berechtigung, Sicherheitsgruppen für die Gruppe zu verwaltenVPC, in der sich der Cluster befindet. Weitere Informationen finden Sie unter Ändern der Berechtigungen für einen Benutzer und unter der Beispielrichtlinie, die die Verwaltung von EC2 Sicherheitsgruppen ermöglicht, im IAMBenutzerhandbuch.
Melden Sie sich bei der AWS Management Console an und öffnen Sie die EMR Amazon-Konsole unter https://console.aws.amazon.com/emr
. Wählen Sie Clusters (Cluster) aus. Wählen Sie die ID des Clusters aus, den Sie ändern möchten.
Erweitern Sie im Bereich Netzwerk und Sicherheit die Dropdownliste EC2Sicherheitsgruppen (Firewall).
Wählen Sie unter Primärer Knoten Ihre Sicherheitsgruppe aus.
Wählen Sie Edit inbound rules (Regeln für eingehenden Datenverkehr bearbeiten) aus.
Suchen Sie mit den folgenden Einstellungen nach einer Regel für eingehenden Datenverkehr, die öffentlichen Zugriff ermöglicht. Falls sie existiert, wählen Sie Löschen, um sie zu entfernen.
-
Typ
SSH
-
Port
22
-
Quelle
Benutzerdefiniert 0.0.0.0/0
Warnung
Vor Dezember 2020 gab es eine vorkonfigurierte Regel, die eingehenden Datenverkehr auf Port 22 aus allen Quellen zuließ. Diese Regel wurde erstellt, um die ersten SSH Verbindungen zum Primärknoten zu vereinfachen. Wir empfehlen Ihnen dringend, diese Eingangsregel zu entfernen und den Datenverkehr auf vertrauenswürdige Quellen zu beschränken.
-
Scrollen Sie zum Ende der Regelliste und wählen Sie Regel hinzufügen.
-
Wählen Sie als Typ die Option aus SSH.
Bei der Auswahl SSH werden automatisch Protokoll und 22 als Portbereich eingegeben TCP.
-
Wählen Sie als Quelle Meine IP aus, um Ihre IP-Adresse automatisch als Quelladresse hinzuzufügen. Sie können auch einen Bereich benutzerdefinierter vertrauenswürdiger Client-IP-Adressen hinzufügen oder zusätzliche Regeln für andere Clients erstellen. In vielen Netzwerkumgebungen werden IP-Adressen dynamisch zugewiesen, sodass Sie in Zukunft möglicherweise Ihre IP-Adressen für vertrauenswürdige Clients aktualisieren müssen.
Wählen Sie Save (Speichern) aus.
Wählen Sie optional im Bereich Netzwerk und Sicherheit unter Kern- und Taskknoten die andere Sicherheitsgruppe aus und wiederholen Sie die obigen Schritte, um dem SSH Client Zugriff auf Core- und Taskknoten zu gewähren.
Von Amazon EMR verwaltete Sicherheitsgruppe für Core- und Task-Instances (öffentliche Subnetze)
Die standardmäßig verwaltete Sicherheitsgruppe für Core- und Task-Instances in öffentlichen Subnetzen hat den Gruppennamen -core. ElasticMapReduce Die standardmäßige verwaltete Sicherheitsgruppe hat die folgenden Regeln, und Amazon EMR fügt dieselben Regeln hinzu, wenn Sie eine benutzerdefinierte verwaltete Sicherheitsgruppe angeben.
| Typ | Protocol (Protokoll) | Port-Bereich | Quelle | Details |
|---|---|---|---|---|
| Regeln für eingehenden Datenverkehr | ||||
| Alles ICMP - IPV4 | Alle | N/A | Die Gruppen-ID der verwalteten Sicherheitsgruppe für Core- und Aufgaben-Instances. Mit anderen Worten, dieselbe Sicherheitsgruppe, in der die Regel angezeigt wird. | Diese reflexiven Regeln ermöglichen eingehenden Datenverkehr aus allen mit der angegebenen Sicherheitsgruppe verknüpften Instances. Wenn die Standardeinstellung |
| Alle TCP | TCP | Alle | ||
| Alle UDP | UDP | Alle | ||
| Alles ICMP - IPV4 | Alle | N/A | Die Gruppen-ID der verwalteten Sicherheitsgruppe für die Primär-Instance. | Diese Regeln lassen den gesamten eingehenden ICMP Datenverkehr und den Datenverkehr über einen beliebigen TCP UDP Port von allen primären Instances zu, die der angegebenen Sicherheitsgruppe zugeordnet sind, auch wenn sich die Instances in unterschiedlichen Clustern befinden. |
| Alle TCP | TCP | Alle | ||
| Alle UDP | UDP | Alle | ||
Von Amazon EMR verwaltete Sicherheitsgruppe für die primäre Instance (private Subnetze)
Die standardmäßig verwaltete Sicherheitsgruppe für die primäre Instanz in privaten Subnetzen hat den Gruppennamen -Primary-Private. ElasticMapReduce Die standardmäßige verwaltete Sicherheitsgruppe hat die folgenden Regeln, und Amazon EMR fügt dieselben Regeln hinzu, wenn Sie eine benutzerdefinierte verwaltete Sicherheitsgruppe angeben.
| Typ | Protocol (Protokoll) | Port-Bereich | Quelle | Details |
|---|---|---|---|---|
| Regeln für eingehenden Datenverkehr | ||||
| Alles ICMP - IPv4 | Alle | N/A | Die Gruppen-ID der verwalteten Sicherheitsgruppe für die Primär-Instance. Mit anderen Worten, dieselbe Sicherheitsgruppe, in der die Regel angezeigt wird. | Diese reflexiven Regeln ermöglichen eingehenden Datenverkehr aus allen mit der angegebenen Sicherheitsgruppe verknüpften Instances, die aus dem privaten Subnetz erreichbar sind. Wenn die Standardeinstellung |
| Alle TCP | TCP | Alle | ||
| Alle UDP | UDP | Alle | ||
| Alles ICMP - IPV4 | Alle | N/A | Die Gruppen-ID der verwalteten Sicherheitsgruppe für Core- und Aufgabenknoten. | Diese Regeln lassen den gesamten eingehenden ICMP Datenverkehr und den Datenverkehr über einen beliebigen TCP UDP Port von allen Core- und Task-Instances zu, die der angegebenen Sicherheitsgruppe zugeordnet sind und über das private Subnetz erreichbar sind, auch wenn sich die Instances in unterschiedlichen Clustern befinden. |
| Alle TCP | TCP | Alle | ||
| Alle UDP | UDP | Alle | ||
| HTTPS(843) | TCP | 8443 | Die Gruppen-ID der verwalteten Sicherheitsgruppe für den Servicezugriff in einem privaten Subnetz. | Diese Regel ermöglicht dem Cluster-Manager die Kommunikation mit dem Primärknoten. |
| Regeln für ausgehenden Datenverkehr | ||||
| Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | Stellt ausgehenden Zugriff auf das Internet zu. |
| Benutzerdefiniert TCP | TCP | 9443 | Die Gruppen-ID der verwalteten Sicherheitsgruppe für den Servicezugriff in einem privaten Subnetz. | Wenn die obige Standardregel „Gesamter Datenverkehr“ für ausgehenden Datenverkehr entfernt wird, ist diese Regel eine Mindestanforderung für Amazon EMR 5.30.0 und höher. AnmerkungAmazon EMR fügt diese Regel nicht hinzu, wenn Sie eine benutzerdefinierte verwaltete Sicherheitsgruppe verwenden. |
| Benutzerdefiniert TCP | TCP | 80 (http) oder 443 (https) | Die Gruppen-ID der verwalteten Sicherheitsgruppe für den Servicezugriff in einem privaten Subnetz. | Wenn die obige Standardregel „Gesamter Datenverkehr“ für ausgehenden Datenverkehr entfernt wird, ist diese Regel eine Mindestanforderung für Amazon EMR 5.30.0 und höher, um über https eine Verbindung zu Amazon S3 herzustellen. AnmerkungAmazon EMR fügt diese Regel nicht hinzu, wenn Sie eine benutzerdefinierte verwaltete Sicherheitsgruppe verwenden. |
Von Amazon EMR verwaltete Sicherheitsgruppe für Core- und Task-Instances (private Subnetze)
Die standardmäßig verwaltete Sicherheitsgruppe für Core- und Task-Instances in privaten Subnetzen hat den Gruppennamen -Core-Private. ElasticMapReduce Die standardmäßige verwaltete Sicherheitsgruppe hat die folgenden Regeln, und Amazon EMR fügt dieselben Regeln hinzu, wenn Sie eine benutzerdefinierte verwaltete Sicherheitsgruppe angeben.
| Typ | Protocol (Protokoll) | Port-Bereich | Quelle | Details |
|---|---|---|---|---|
| Regeln für eingehenden Datenverkehr | ||||
| Alles ICMP - IPV4 | Alle | N/A | Die Gruppen-ID der verwalteten Sicherheitsgruppe für Core- und Aufgaben-Instances. Mit anderen Worten, dieselbe Sicherheitsgruppe, in der die Regel angezeigt wird. | Diese reflexiven Regeln ermöglichen eingehenden Datenverkehr aus allen mit der angegebenen Sicherheitsgruppe verknüpften Instances. Wenn die Standardeinstellung |
| Alle TCP | TCP | Alle | ||
| Alle UDP | UDP | Alle | ||
| Alles ICMP - IPV4 | Alle | N/A | Die Gruppen-ID der verwalteten Sicherheitsgruppe für die Primär-Instance. | Diese Regeln lassen den gesamten eingehenden ICMP Datenverkehr und den Datenverkehr über einen beliebigen TCP UDP Port von allen primären Instances zu, die der angegebenen Sicherheitsgruppe zugeordnet sind, auch wenn sich die Instances in unterschiedlichen Clustern befinden. |
| Alle TCP | TCP | Alle | ||
| Alle UDP | UDP | Alle | ||
| HTTPS(843) | TCP | 8443 | Die Gruppen-ID der verwalteten Sicherheitsgruppe für den Servicezugriff in einem privaten Subnetz. | Diese Regel ermöglicht dem Cluster-Manager die Kommunikation mit Core- und Aufgabenknoten. |
| Regeln für ausgehenden Datenverkehr | ||||
| Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | Weitere Informationen finden Sie unter Regeln für ausgehenden Datenverkehr bearbeiten weiter unten in diesem Dokument. |
| Benutzerdefiniert TCP | TCP | 80 (http) oder 443 (https) | Die Gruppen-ID der verwalteten Sicherheitsgruppe für den Servicezugriff in einem privaten Subnetz. | Wenn die obige Standardregel „Gesamter Datenverkehr“ für ausgehenden Datenverkehr entfernt wird, ist diese Regel eine Mindestanforderung für Amazon EMR 5.30.0 und höher, um über https eine Verbindung zu Amazon S3 herzustellen. AnmerkungAmazon EMR fügt diese Regel nicht hinzu, wenn Sie eine benutzerdefinierte verwaltete Sicherheitsgruppe verwenden. |
Regeln für ausgehenden Datenverkehr bearbeiten
Standardmäßig EMR erstellt Amazon diese Sicherheitsgruppe mit ausgehenden Regeln, die den gesamten ausgehenden Verkehr auf allen Protokollen und Ports zulassen. Das Zulassen des gesamten ausgehenden Datenverkehrs ist ausgewählt, da für verschiedene Amazon EMR - und Kundenanwendungen, die auf EMR Amazon-Clustern ausgeführt werden können, möglicherweise unterschiedliche Ausgangsregeln erforderlich sind. Amazon EMR kann diese spezifischen Einstellungen bei der Erstellung von Standardsicherheitsgruppen nicht antizipieren. Sie können den ausgehenden Datenverkehr in Ihren Sicherheitsgruppen einschränken, sodass nur die Regeln berücksichtigt werden, die Ihren Anwendungsfällen und Sicherheitsrichtlinien entsprechen. Für diese Sicherheitsgruppe sind mindestens die folgenden Regeln für ausgehenden Datenverkehr erforderlich, für einige Anwendungen sind jedoch möglicherweise zusätzliche Regeln für ausgehenden Datenverkehr erforderlich.
| Typ | Protocol (Protokoll) | Port-Bereich | Bestimmungsort | Details |
|---|---|---|---|---|
| Alle TCP | TCP | Alle | pl-xxxxxxxx |
Verwaltete Präfixliste von Amazon S3 com.amazonaws.. |
| Gesamter Datenverkehr | Alle | Alle | sg-xxxxxxxxxxxxxxxxx |
Die ID der Sicherheitsgruppe ElasticMapReduce-Core-Private. |
| Gesamter Datenverkehr | Alle | Alle | sg-xxxxxxxxxxxxxxxxx |
Die ID der Sicherheitsgruppe ElasticMapReduce-Primary-Private. |
| Benutzerdefiniert TCP | TCP | 9443 | sg-xxxxxxxxxxxxxxxxx |
Die ID der Sicherheitsgruppe ElasticMapReduce-ServiceAccess. |
Von Amazon EMR verwaltete Sicherheitsgruppe für den Servicezugriff (private Subnetze)
Die standardmäßig verwaltete Sicherheitsgruppe für den Servicezugriff in privaten Subnetzen hat den Gruppennamen -. ElasticMapReduce ServiceAccess Sie verfügt über Regeln für eingehenden und ausgehenden Datenverkehr, die den Datenverkehr HTTPS (Port 8443, Port 9443) zu den anderen verwalteten Sicherheitsgruppen in privaten Subnetzen zulassen. Diese Regeln ermöglichen dem Cluster-Manager die Kommunikation mit dem Primärknoten und mit Kern- und Aufgabenknoten. Dieselben Regeln sind erforderlich, wenn Sie benutzerdefinierte Sicherheitsgruppen verwenden.
| Typ | Protocol (Protokoll) | Port-Bereich | Quelle | Details |
|---|---|---|---|---|
| Regeln für eingehende Nachrichten Erforderlich für EMR Amazon-Cluster mit EMR Amazon-Version 5.30.0 und höher. | ||||
| Benutzerdefiniert TCP | TCP | 9443 | Die Gruppen-ID der verwalteten Sicherheitsgruppe für die Primär-Instance. |
Diese Regel ermöglicht die Kommunikation zwischen der Sicherheitsgruppe der Primär-Instance und der Sicherheitsgruppe des Servicezugriffs. |
| Ausgehende Regeln für alle EMR Amazon-Cluster erforderlich | ||||
| Benutzerdefiniert TCP | TCP | 8443 | Die Gruppen-ID der verwalteten Sicherheitsgruppe für die Primär-Instance. |
Diese Regeln ermöglichen dem Cluster-Manager die Kommunikation mit dem Primärknoten und mit Kern- und Aufgabenknoten. |
| Benutzerdefiniert TCP | TCP | 8443 | Die Gruppen-ID der verwalteten Sicherheitsgruppe für Core- und Aufgaben-Instances. |
Diese Regeln ermöglichen dem Cluster-Manager die Kommunikation mit dem Primärknoten und mit Kern- und Aufgabenknoten. |
