Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Amazon EMR-Steuerelemente
Diese Kontrollen beziehen sich auf Amazon EMR-Ressourcen.
Diese Kontrollen sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Region.
[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben
Verwandte Anforderungen: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.R5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.R5 AC-3. R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21)), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Hoch
Art der Ressource: AWS::EMR::Cluster
AWS Config -Regel: emr-master-no-public-ip
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob Master-Knoten auf Amazon EMR-Clustern öffentliche IP-Adressen haben. Die Kontrolle schlägt fehl, wenn öffentliche IP-Adressen einer der Master-Node-Instances zugeordnet sind.
Öffentliche IP-Adressen werden im PublicIp Feld der NetworkInterfaces Konfiguration für die Instanz angegeben. Dieses Steuerelement überprüft nur Amazon EMR-Cluster, die sich im WAITING Status RUNNING oder befinden.
Abhilfe
Während des Starts können Sie steuern, ob Ihrer Instance in einem Standard- oder einem anderen Subnetz eine öffentliche IPv4-Adresse zugewiesen wird. In Standard-Subnetzen ist dieses Attribut standardmäßig auf gesetzt. true Bei nicht standardmäßigen Subnetzen ist das IPv4-Attribut für öffentliche Adressierung auf gesetztfalse, sofern es nicht vom Amazon EC2 EC2-Instance-Startassistenten erstellt wurde. In diesem Fall ist das Attribut auf gesetzt. true
Nach dem Start können Sie eine öffentliche IPv4-Adresse nicht manuell von Ihrer Instance trennen.
Um ein fehlgeschlagenes Ergebnis zu beheben, müssen Sie einen neuen Cluster in einer VPC mit einem privaten Subnetz starten, für das das IPv4-Attribut für öffentliche Adressierung auf gesetzt ist. false Anweisungen finden Sie unter Cluster in einer VPC starten im Amazon EMR Management Guide.
[EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein
Verwandte Anforderungen: NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)
Kategorie: Schützen > Sicheres Zugriffsmanagement > Ressource nicht öffentlich zugänglich
Schweregrad: Kritisch
Art der Ressource: AWS::::Account
AWS Config -Regel: emr-block-public-access
Art des Zeitplans: Periodisch
Parameter: Keine
Diese Kontrolle prüft, ob Ihr Konto mit Amazon EMR konfiguriert ist, um den öffentlichen Zugriff zu blockieren. Die Kontrolle schlägt fehl, wenn die Einstellung „Öffentlichen Zugriff blockieren“ nicht aktiviert ist oder wenn ein anderer Port als Port 22 zulässig ist.
Amazon EMR Block Public Access verhindert, dass Sie einen Cluster in einem öffentlichen Subnetz starten, wenn der Cluster über eine Sicherheitskonfiguration verfügt, die eingehenden Datenverkehr von öffentlichen IP-Adressen an einem Port zulässt. Wenn ein Benutzer von Ihrem AWS-Konto einen Cluster startet, überprüft Amazon EMR die Portregeln in der Sicherheitsgruppe für den Cluster und vergleicht sie mit Ihren Regeln für eingehenden Datenverkehr. Wenn die Sicherheitsgruppe über eine Regel für eingehenden Datenverkehr verfügt, die Ports zu den öffentlichen IP-Adressen IPv4 0.0.0.0/0 oder IPv6: :/0 öffnet, und diese Ports nicht als Ausnahmen für Ihr Konto angegeben sind, lässt Amazon EMR den Benutzer den Cluster nicht erstellen.
Anmerkung
Den öffentlichen Zugriff blockieren ist standardmäßig aktiviert. Um den Kontoschutz zu erhöhen, empfehlen wir, ihn aktiviert zu lassen.
Abhilfe
Informationen zur Konfiguration von Block Public Access für Amazon EMR finden Sie unter Using Amazon EMR block public access im Amazon EMR Management Guide.
