Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Amazon EMR
Ces contrôles sont liés aux ressources Amazon EMR.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.
[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques
Exigences connexes : PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (21) 53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Élevée
Type de ressource : AWS::EMR::Cluster
Règle AWS Config : emr-master-no-public-ip
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si les nœuds maîtres des clusters Amazon EMR possèdent des adresses IP publiques. Le contrôle échoue si des adresses IP publiques sont associées à l'une des instances du nœud maître.
Les adresses IP publiques sont désignées dans le PublicIp champ de NetworkInterfaces configuration de l'instance. Ce contrôle vérifie uniquement les clusters Amazon EMR qui sont à l'état RUNNING orWAITING.
Correction
Lors du lancement, vous pouvez contrôler si une adresse IPv4 publique est attribuée à votre instance dans un sous-réseau par défaut ou non par défaut. Par défaut, cet attribut est défini sur les sous-réseaux par défaut. true L'attribut d'adressage public IPv4 est défini sur les sous-réseaux autres que ceux par défautfalse, sauf s'il a été créé par l'assistant de lancement d'instance Amazon EC2. Dans ce cas, l'attribut est défini surtrue.
Après le lancement, vous ne pouvez pas dissocier manuellement une adresse IPv4 publique de votre instance.
Pour remédier à un échec de détection, vous devez lancer un nouveau cluster dans un VPC avec un sous-réseau privé dont l'attribut d'adressage public IPv4 est défini sur. false Pour obtenir des instructions, consultez la section Lancer des clusters dans un VPC dans le guide de gestion Amazon EMR.
[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé
Exigences connexes : NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)
Catégorie : Protéger > Gestion des accès sécurisés > Ressource non accessible au public
Gravité : Critique
Type de ressource : AWS::::Account
Règle AWS Config : emr-block-public-access
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si votre compte est configuré pour bloquer l'accès public à Amazon EMR. Le contrôle échoue si le paramètre de blocage de l'accès public n'est pas activé ou si un port autre que le port 22 est autorisé.
Le blocage de l'accès public par Amazon EMR vous empêche de lancer un cluster dans un sous-réseau public si le cluster possède une configuration de sécurité qui autorise le trafic entrant depuis des adresses IP publiques sur un port. Lorsqu'un utilisateur de votre Compte AWS lance un cluster, Amazon EMR vérifie les règles de port du groupe de sécurité du cluster et les compare à vos règles de trafic entrant. Si le groupe de sécurité dispose d'une règle entrante qui ouvre des ports aux adresses IP publiques IPv4 0.0.0.0/0 ou IPv6 ::/0, et que ces ports ne sont pas spécifiés comme des exceptions pour votre compte, Amazon EMR n'autorise pas l'utilisateur à créer le cluster.
Note
Le blocage de l'accès public est activé par défaut. Pour améliorer la protection du compte, nous vous recommandons de le laisser activé.
Correction
Pour configurer le blocage de l'accès public pour Amazon EMR, consultez la section Utilisation de l'accès public bloqué par Amazon EMR dans le guide de gestion Amazon EMR.
