Sécurité dans Amazon EMR

La sécurité et la conformité sont une responsabilité que vous partagez avec vous AWS. Ce modèle de responsabilité partagée peut vous aider à alléger votre charge opérationnelle en AWS exploitant, en gérant et en contrôlant les composants, depuis le système d'exploitation hôte et la couche de virtualisation jusqu'à la sécurité physique des installations dans lesquelles les clusters EMR opèrent. Vous assumez la responsabilité, la gestion et la mise à jour des clusters Amazon EMR, ainsi que la configuration du logiciel d'application et des contrôles de sécurité AWS fournis. Cette différenciation des responsabilités est communément appelée sécurité du cloud par rapport à sécurité dans le cloud.

• Sécurité du cloud : AWS est chargée de protéger l'infrastructure qui s'y exécute Services AWS AWS. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l’efficacité de notre sécurité dans le cadre des programmes de conformitéAWS. Pour en savoir plus sur les programmes de conformité qui s'appliquent à Amazon EMR, consultez Services AWS la section Champ d'application par programme de conformité.

• Sécurité dans le cloud : vous êtes également chargé d'effectuer toutes les tâches de configuration et de gestion de sécurité nécessaires pour sécuriser un cluster Amazon EMR. Les clients qui déploient un cluster Amazon EMR sont responsables de la gestion du logiciel d'application installé sur les instances et de la configuration des fonctionnalités AWS fournies, telles que les groupes de sécurité, le chiffrement et le contrôle d'accès, conformément à vos exigences, aux lois et réglementations applicables.

Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation d'Amazon EMR. Les rubriques de ce chapitre vous montrent comment configurer Amazon EMR et en utiliser d'autres Services AWS pour atteindre vos objectifs de sécurité et de conformité.

Sécurité du réseau et de l'infrastructure

En tant que service géré, Amazon EMR est protégé par les procédures de sécurité du réseau AWS mondial décrites dans le livre blanc Amazon Web Services : présentation des processus de sécurité. AWS les services de protection du réseau et de l'infrastructure vous offrent des protections précises à la fois au niveau de l'hôte et au niveau du réseau. Amazon EMR prend en charge Services AWS et propose des fonctionnalités d'application qui répondent aux exigences de conformité et de protection de votre réseau.

• Les groupes de sécurité Amazon EC2 agissent comme un pare-feu virtuel pour les instances de cluster Amazon EMR, limitant le trafic réseau entrant et sortant. Pour plus d'informations, voir Contrôler le trafic réseau à l'aide de groupes de sécurité.

• Amazon EMR Block Public Access (BPA) vous empêche de lancer un cluster dans un sous-réseau public si le cluster possède une configuration de sécurité qui autorise le trafic entrant depuis des adresses IP publiques sur un port. Pour plus d'informations, consultez Utiliser Amazon EMR pour bloquer l'accès public.

• Secure Shell (SSH) permet aux utilisateurs de se connecter en toute sécurité à la ligne de commande sur les instances de cluster. Vous pouvez également utiliser SSH pour afficher les interfaces Web hébergées par les applications sur le nœud principal d'un cluster. Pour plus d'informations, consultez Utiliser une paire de clés EC2 pour les informations d'identification SSH et Connect to a cluster.

Mises à jour de l'AMI Amazon Linux par défaut pour Amazon EMR

Important

Les clusters Amazon EMR qui exécutent des AMI (Amazon Machine Images) Amazon Linux ou Amazon Linux 2 utilisent le comportement par défaut d’Amazon Linux et ne téléchargent pas et n’installent pas automatiquement les mises à jour importantes et critiques du noyau nécessitant un redémarrage. Ce comportement est identique à celui des autres instances Amazon EC2 qui exécutent l’AMI Amazon Linux par défaut. Si de nouvelles mises à jour logicielles Amazon Linux nécessitant un redémarrage (telles que les mises à jour du noyau, de NVIDIA et de CUDA) sont disponibles après la publication d’une version d’Amazon EMR, les instances de cluster EMR qui exécutent l’AMI par défaut ne téléchargent pas et n’installent pas automatiquement ces mises à jour. Pour obtenir les mises à jour du noyau, vous pouvez personnaliser votre AMI Amazon EMR afin d'utiliser la dernière AMI Amazon Linux.

En fonction de la sécurité de votre application et de la durée pendant laquelle un cluster s'exécute, vous pouvez choisir de façon périodique de redémarrer votre cluster pour appliquer des mises à jour de sécurité, ou créer une action d'amorçage pour personnaliser les packages à installer et les mises à jour. Vous pouvez également choisir de tester et d'installer certaines mises à jour de sécurité sur les instances de cluster en cours d'exécution. Pour plus d’informations, consultez Utilisation de l'AMI Amazon Linux par défaut pour Amazon EMR. Notez que votre configuration réseau doit autoriser la sortie HTTP et HTTPS vers les référentiels Linux d'Amazon S3, sinon les mises à jour de sécurité échoueront.

AWS Identity and Access Management avec Amazon EMR

AWS Identity and Access Management (IAM) est un AWS service qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Des administrateurs IAM contrôlent les personnes qui peuvent être authentifiées (connectées) et autorisées (disposant d'autorisations) à utiliser des ressources Amazon EMR. Les identités IAM incluent les utilisateurs, les groupes et les rôles. Un rôle IAM est similaire à un utilisateur IAM, mais il n'est pas associé à une personne spécifique et est destiné à être assumé par tout utilisateur ayant besoin d'autorisations. Pour plus d'informations, consultez AWS Identity and Access Management Amazon EMR. Amazon EMR utilise plusieurs rôles IAM pour vous aider à mettre en œuvre des contrôles d'accès pour les clusters Amazon EMR. IAM est un AWS service que vous pouvez utiliser sans frais supplémentaires.

• Rôle IAM pour Amazon EMR (rôle EMR) : contrôle la manière dont le service Amazon EMR peut accéder à d' Services AWS autres personnes en votre nom, par exemple en fournissant des instances Amazon EC2 lors du lancement du cluster Amazon EMR. Pour plus d'informations, consultez Configurer les rôles de service IAM pour les autorisations Services AWS et les ressources Amazon EMR.

• Rôle IAM pour les instances EC2 du cluster (profil d'instance EC2) : rôle attribué à chaque instance EC2 du cluster Amazon EMR lors du lancement de l'instance. Les processus d'application qui s'exécutent sur le cluster utilisent ce rôle pour interagir avec d'autres processus Services AWS, tels qu'Amazon S3. Pour plus d'informations, consultez la section Rôle IAM pour les instances EC2 du cluster.

• Rôle IAM pour les applications (rôle d'exécution) : rôle IAM que vous pouvez spécifier lorsque vous soumettez une tâche ou une requête à un cluster Amazon EMR. La tâche ou la requête que vous soumettez à votre cluster Amazon EMR utilise le rôle d'exécution pour accéder à AWS des ressources, telles que des objets dans Amazon S3. Vous pouvez spécifier des rôles d'exécution avec Amazon EMR pour les tâches Spark et Hive. En utilisant les rôles d'exécution, vous pouvez isoler les tâches exécutées sur le même cluster en utilisant différents rôles IAM. Pour plus d'informations, consultez Utilisation du rôle IAM comme rôle d'exécution avec Amazon EMR.

Les identités du personnel font référence aux utilisateurs qui créent ou exploitent des charges de travail. AWS Amazon EMR fournit un support pour les identités du personnel avec les éléments suivants :

• AWS Le centre d'identité IAM (Idc) est recommandé Service AWS pour gérer l'accès des utilisateurs aux AWS ressources. Il s'agit d'un endroit unique où vous pouvez attribuer les identités de vos employés, ainsi qu'un accès cohérent à plusieurs AWS comptes et applications. Amazon EMR prend en charge l'identité des employés grâce à une propagation d'identité fiable. Grâce à la fonctionnalité de propagation d'identité fiable, un utilisateur peut se connecter à l'application et cette application peut transmettre l'identité de l'utilisateur à d'autres personnes Services AWS pour autoriser l'accès aux données ou aux ressources. Pour plus d'informations, consultez Activer la prise en charge du centre d'identitéAWS IAM avec Amazon EMR.

  Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole d'application standard ouvert, indépendant du fournisseur et destiné à accéder aux informations relatives aux utilisateurs, aux systèmes, aux services et aux applications sur le réseau et à les gérer. LDAP est couramment utilisé pour l'authentification des utilisateurs sur des serveurs d'identité d'entreprise tels qu'Active Directory (AD) et OpenLDAP. En activant LDAP avec les clusters EMR, vous permettez aux utilisateurs d'utiliser leurs informations d'identification existantes pour s'authentifier et accéder aux clusters. Pour plus d'informations, consultez la section Activation de la prise en charge du protocole LDAP avec Amazon EMR.

  Kerberos est un protocole d'authentification réseau conçu pour fournir une authentification forte aux applications client/serveur à l'aide de la cryptographie à clé secrète. Lorsque vous utilisez Kerberos, Amazon EMR configure Kerberos pour les applications, les composants et les sous-systèmes qu'il installe sur le cluster afin qu'ils soient authentifiés les uns avec les autres. Pour accéder à un cluster avec Kerberos configuré, un Kerberos principal doit être présent dans le contrôleur de domaine Kerberos (KDC). Pour plus d'informations, consultez Activation de la prise en charge de Kerberos avec Amazon EMR.

Clusters à locataire unique et à locataires multiples

Un cluster est configuré par défaut pour une location unique avec le profil d'instance EC2 comme identité IAM. Dans un cluster à locataire unique, chaque tâche dispose d'un accès complet au cluster et l'accès à toutes les Services AWS ressources est effectué sur la base du profil d'instance EC2. Dans un cluster à locataires multiples, les locataires sont isolés les uns des autres et n'ont pas un accès complet aux clusters et aux instances EC2 du cluster. L'identité sur les clusters à locataires multiples est soit les rôles d'exécution, soit les identifiants du personnel. Dans un cluster mutualisé, vous pouvez également activer la prise en charge du contrôle d'accès détaillé (FGAC) via AWS Lake Formation Apache Ranger. Dans le cas d'un cluster dont les rôles d'exécution ou le FGAC sont activés, l'accès au profil d'instance EC2 est également désactivé via iptables.

Important

Tous les utilisateurs ayant accès à un cluster à locataire unique peuvent installer n'importe quel logiciel sur le système d'exploitation (OS) Linux, modifier ou supprimer des composants logiciels installés par Amazon EMR et avoir un impact sur les instances EC2 qui font partie du cluster. Si vous souhaitez vous assurer que les utilisateurs ne peuvent pas installer ou modifier les configurations d'un cluster Amazon EMR, nous vous recommandons d'activer la mutualisation pour le cluster. Vous pouvez activer la mutualisation sur un cluster en activant la prise en charge du rôle d'exécution, du centre d'identité AWS IAM, de Kerberos ou du LDAP.

Protection des données

Avec AWS, vous contrôlez vos données en utilisant Services AWS des outils pour déterminer comment les données sont sécurisées et qui y a accès. Des services tels que AWS Identity and Access Management (IAM) vous permettent de gérer en toute sécurité l'accès Services AWS et les ressources. AWS CloudTrail permet la détection et l'audit. Amazon EMR vous permet de chiffrer facilement les données au repos dans Amazon S3 à l'aide de clés que vous gérez AWS ou que vous gérez entièrement. Amazon EMR prend également en charge l'activation du chiffrement des données en transit. Pour plus d'informations, consultez la section Chiffrer les données au repos et en transit.

Contrôle d'accès aux données

Grâce au contrôle d'accès aux données, vous pouvez contrôler les données auxquelles une identité IAM ou une identité de personnel peut accéder. Amazon EMR prend en charge les contrôles d'accès suivants :

• Politiques basées sur l'identité IAM : gérez les autorisations pour les rôles IAM que vous utilisez avec Amazon EMR. Les politiques IAM peuvent être combinées avec le balisage pour contrôler l'accès sur une cluster-by-cluster base. Pour plus d'informations, consultez AWS Identity and Access Management Amazon EMR.

• AWS Lake Formationcentralise la gestion des autorisations de vos données et facilite leur partage au sein de votre organisation et en externe. Vous pouvez utiliser Lake Formation pour permettre un accès précis au niveau des colonnes aux bases de données et aux tables du Glue AWS Data Catalog. Pour plus d'informations, consultez la section Utilisation AWS Lake Formation avec Amazon EMR.

• L'accès Amazon S3 accorde des identités de mappage aux identités de mappage figurant dans des annuaires tels qu'Active Directory, ou AWS Identity and Access Management (IAM) principals, et à des ensembles de données dans S3. En outre, l'accès S3 accorde l'identité de l'utilisateur final du journal et l'application utilisée pour accéder aux AWS CloudTrail données S3. Pour plus d'informations, consultez Utilisation des autorisations d'accès Amazon S3 avec Amazon EMR.

• Apache Ranger est un framework permettant d'activer, de surveiller et de gérer la sécurité complète des données sur la plateforme Hadoop. Amazon EMR prend en charge le contrôle d'accès précis basé sur Apache Ranger pour Apache Hive Metastore et Amazon S3. Pour plus d'informations, consultez Intégrer Apache Ranger à Amazon EMR.