Keamanan di Amazon EMR - Amazon EMR
Keamanan jaringan dan infrastrukturAMIPembaruan Amazon Linux defaultAWS Identity and Access Management dengan Amazon EMRPerlindungan data

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keamanan di Amazon EMR

Keamanan dan kepatuhan adalah tanggung jawab yang Anda bagikan AWS. Model tanggung jawab bersama ini dapat membantu meringankan beban operasional Anda saat AWS mengoperasikan, mengelola, dan mengontrol komponen dari sistem operasi host dan lapisan virtualisasi hingga keamanan fisik fasilitas tempat EMR cluster beroperasi. Anda bertanggung jawab, mengelola, dan memperbarui EMR klaster Amazon, serta mengonfigurasi perangkat lunak aplikasi dan AWS menyediakan kontrol keamanan. Diferensiasi tanggung jawab ini sering disebut sebagai keamanan cloud versus keamanan di cloud.

  • Keamanan cloud — AWS bertanggung jawab untuk melindungi infrastruktur yang berjalan AWS layanan di dalamnya AWS. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara berkala menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari Program kepatuhan AWS. Untuk mempelajari tentang program kepatuhan yang berlaku untuk AmazonEMR, lihat AWS layanan dalam cakupan berdasarkan program kepatuhan.

  • Keamanan di cloud — Anda juga bertanggung jawab untuk melakukan semua konfigurasi keamanan dan tugas manajemen yang diperlukan untuk mengamankan EMR klaster Amazon. Pelanggan yang menggunakan EMR klaster Amazon bertanggung jawab atas pengelolaan perangkat lunak aplikasi yang diinstal pada instans, dan konfigurasi fitur yang AWS disediakan seperti grup keamanan, enkripsi, dan kontrol akses sesuai dengan persyaratan, undang-undang, dan peraturan yang berlaku.

Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan AmazonEMR. Topik dalam Bab ini menunjukkan kepada Anda cara mengonfigurasi Amazon EMR dan menggunakan yang lain AWS layanan untuk memenuhi tujuan keamanan dan kepatuhan Anda.

Keamanan jaringan dan infrastruktur

Sebagai layanan terkelola, Amazon EMR dilindungi oleh prosedur keamanan jaringan AWS global yang dijelaskan dalam whitepaper Amazon Web Services: Ikhtisar proses keamanan. AWS Layanan perlindungan jaringan dan infrastruktur memberi Anda perlindungan berbutir halus baik di batas tingkat host maupun jaringan. Amazon EMR mendukung AWS layanan dan fitur aplikasi yang memenuhi persyaratan perlindungan dan kepatuhan jaringan Anda.

  • Grup EC2 keamanan Amazon bertindak sebagai firewall virtual untuk instance EMR cluster Amazon, membatasi lalu lintas jaringan masuk dan keluar. Untuk informasi selengkapnya, lihat Mengontrol lalu lintas jaringan dengan grup keamanan.

  • Amazon EMR memblokir akses publik (BPA) mencegah Anda meluncurkan klaster di subnet publik jika klaster memiliki konfigurasi keamanan yang memungkinkan lalu lintas masuk dari alamat IP publik pada port. Untuk informasi selengkapnya, lihat Menggunakan Amazon EMR memblokir akses publik.

  • Secure Shell (SSH) membantu menyediakan cara yang aman bagi pengguna untuk terhubung ke baris perintah pada instance cluster. Anda juga dapat menggunakan SSH untuk melihat antarmuka web yang dihosting aplikasi pada node master cluster. Untuk informasi selengkapnya, lihat Menggunakan EC2 key pair untuk SSH credentials dan Connect to a cluster.

Pembaruan ke default Amazon Linux AMI untuk Amazon EMR

penting

EMRcluster yang menjalankan Amazon Linux atau Amazon Linux 2 Amazon Machine Images (AMIs) menggunakan perilaku default Amazon Linux, dan tidak secara otomatis mengunduh dan menginstal pembaruan kernel penting dan penting yang memerlukan reboot. Ini adalah perilaku yang sama dengan EC2 instance Amazon lainnya yang menjalankan Amazon Linux AMI default. Jika pembaruan perangkat lunak Amazon Linux baru yang memerlukan reboot (seperti kernelNVIDIA,, dan CUDA pembaruan) tersedia setelah EMR rilis Amazon tersedia, instance EMR cluster yang menjalankan default AMI tidak secara otomatis mengunduh dan menginstal pembaruan tersebut. Untuk mendapatkan pembaruan kernel, Anda dapat menyesuaikan Amazon Anda EMR AMI untuk menggunakan Amazon Linux terbaru AMI.

Tergantung pada postur keamanan aplikasi Anda dan lama waktu berjalannya klaster, Anda dapat memilih untuk secara berkala me-reboot klaster Anda untuk menerapkan pembaruan keamanan, atau membuat tindakan bootstrap untuk menyesuaikan paket instalasi dan pembaruan. Anda juga dapat memilih untuk menguji dan versi terbaru menginstal memilih pembaruan keamanan pada menjalankan instans klaster. Untuk informasi selengkapnya, lihat Menggunakan default Amazon Linux AMI untuk Amazon EMR. Perhatikan bahwa konfigurasi jaringan Anda harus mengizinkan HTTP dan HTTPS keluar ke repositori Linux di Amazon S3, jika tidak pembaruan keamanan tidak akan berhasil.

AWS Identity and Access Management dengan Amazon EMR

AWS Identity and Access Management (IAM) adalah AWS layanan yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. IAMadministrator mengontrol siapa yang dapat diautentikasi (masuk) dan diberi wewenang (memiliki izin) untuk menggunakan sumber daya Amazon. EMR IAMidentitas termasuk pengguna, grup, dan peran. IAMPeran mirip dengan IAM pengguna, tetapi tidak terkait dengan orang tertentu, dan dimaksudkan untuk diasumsikan oleh setiap pengguna yang membutuhkan izin. Untuk informasi selengkapnya, lihat AWS Identity and Access Management Amazon EMR. Amazon EMR menggunakan beberapa IAM peran untuk membantu Anda menerapkan kontrol akses untuk EMR klaster Amazon. IAMadalah AWS layanan yang dapat Anda gunakan tanpa biaya tambahan.

  • IAMperan untuk Amazon EMR (EMRperan) — mengontrol cara EMR layanan Amazon dapat mengakses layanan lain AWS layanan atas nama Anda, seperti menyediakan EC2 instans Amazon saat klaster Amazon EMR diluncurkan. Untuk informasi selengkapnya, lihat Mengonfigurasi peran IAM layanan untuk EMR izin AWS layanan dan sumber daya Amazon.

  • IAMrole untuk EC2 instance klaster (profil EC2 instance) — peran yang ditetapkan ke setiap EC2 instance di EMR klaster Amazon saat instance diluncurkan. Proses aplikasi yang berjalan di cluster menggunakan peran ini untuk berinteraksi dengan yang lain AWS layanan, seperti Amazon S3. Untuk informasi selengkapnya, lihat IAMperan untuk EC2 instance klaster.

  • IAMperan untuk aplikasi (peran runtime) — IAM peran yang dapat Anda tentukan saat mengirimkan pekerjaan atau kueri ke EMR klaster Amazon. Pekerjaan atau kueri yang Anda kirimkan ke EMR klaster Amazon menggunakan peran runtime untuk mengakses AWS sumber daya, seperti objek di Amazon S3. Anda dapat menentukan peran runtime dengan Amazon EMR untuk pekerjaan Spark dan Hive. Dengan menggunakan peran runtime, Anda dapat mengisolasi pekerjaan yang berjalan di cluster yang sama dengan menggunakan peran yang berbedaIAM. Untuk informasi selengkapnya, lihat Menggunakan IAM peran sebagai peran runtime dengan Amazon EMR.

Identitas tenaga kerja mengacu pada pengguna yang membangun atau mengoperasikan beban kerja di. AWS Amazon EMR memberikan dukungan untuk identitas tenaga kerja dengan hal-hal berikut:

  • AWS IAMIdentity Center (Idc) direkomendasikan AWS layanan untuk mengelola akses pengguna ke AWS sumber daya. Ini adalah satu tempat di mana Anda dapat menetapkan identitas tenaga kerja Anda, akses yang konsisten ke beberapa AWS akun dan aplikasi. Amazon EMR mendukung identitas tenaga kerja melalui propagasi identitas tepercaya. Dengan kemampuan propagasi identitas tepercaya, pengguna dapat masuk ke aplikasi dan aplikasi itu dapat meneruskan identitas pengguna ke orang lain AWS layanan untuk mengotorisasi akses ke data atau sumber daya. Untuk informasi selengkapnya lihat, Mengaktifkan dukungan untuk pusat AWS IAM identitas dengan Amazon EMR.

    Lightweight Directory Access Protocol (LDAP) adalah protokol aplikasi standar industri terbuka, netral vendor untuk mengakses dan memelihara informasi tentang pengguna, sistem, layanan, dan aplikasi melalui jaringan. LDAPumumnya digunakan untuk otentikasi pengguna terhadap server identitas perusahaan seperti Active Directory (AD) dan OpenLDAP. LDAPDengan mengaktifkan EMR kluster, Anda mengizinkan pengguna menggunakan kredensialnya yang ada untuk mengautentikasi dan mengakses kluster. Untuk informasi selengkapnya lihat, mengaktifkan dukungan untuk LDAP dengan Amazon EMR.

    Kerberos adalah protokol otentikasi jaringan yang dirancang untuk memberikan otentikasi yang kuat untuk aplikasi klien/server dengan menggunakan kriptografi kunci rahasia. Saat Anda menggunakan Kerberos, Amazon EMR mengonfigurasi Kerberos untuk aplikasi, komponen, dan subsistem yang diinstal pada cluster sehingga mereka diautentikasi satu sama lain. Untuk mengakses cluster dengan Kerberos yang dikonfigurasi, prinsipal kerberos harus ada di Kerberos Domain Controller (). KDC Untuk informasi selengkapnya, lihat mengaktifkan dukungan untuk Kerberos dengan Amazon. EMR

Cluster penyewa tunggal dan multi-penyewa

Cluster secara default dikonfigurasi untuk satu penyewaan dengan profil EC2 Instance sebagai IAM identitas. Dalam cluster penyewa tunggal, setiap pekerjaan memiliki akses penuh dan lengkap ke cluster dan akses ke semua AWS layanan dan sumber daya dilakukan berdasarkan profil EC2 instance. Dalam klaster multi-tenant, penyewa diisolasi satu sama lain dan penyewa tidak memiliki akses penuh dan lengkap ke cluster dan EC2 Instance cluster. Identitas pada cluster multi-tenant adalah peran runtime atau yang diidentifikasi oleh tenaga kerja. Dalam cluster multi-tenant, Anda juga dapat mengaktifkan dukungan untuk kontrol akses halus (FGAC) melalui atau Apache Ranger. AWS Lake Formation Cluster yang memiliki peran runtime atau FGAC diaktifkan, akses ke profil EC2 Instance juga dinonaktifkan melalui iptables.

penting

Setiap pengguna yang memiliki akses ke cluster penyewa tunggal dapat menginstal perangkat lunak apa pun pada sistem operasi Linux (OS), mengubah atau menghapus komponen perangkat lunak yang diinstal oleh Amazon EMR dan berdampak pada EC2 Instans yang merupakan bagian dari cluster. Jika Anda ingin memastikan bahwa pengguna tidak dapat menginstal atau mengubah konfigurasi EMR klaster Amazon, sebaiknya Anda mengaktifkan multi-tenancy untuk klaster. Anda dapat mengaktifkan multi-tenancy pada cluster dengan mengaktifkan dukungan untuk peran runtime, pusat AWS IAM identitas, Kerberos, atau. LDAP

Perlindungan data

Dengan AWS, Anda mengontrol data Anda dengan menggunakan AWS layanan dan alat untuk menentukan bagaimana data diamankan dan siapa yang memiliki akses ke sana. Layanan seperti AWS Identity and Access Management (IAM) memungkinkan Anda mengelola akses AWS layanan dan sumber daya dengan aman. AWS CloudTrail memungkinkan deteksi dan audit. Amazon EMR memudahkan Anda mengenkripsi data saat istirahat di Amazon S3 dengan menggunakan kunci yang dikelola oleh atau dikelola sepenuhnya AWS oleh Anda. Amazon EMR juga mendukung pengaktifan enkripsi untuk data dalam perjalanan. Untuk informasi selengkapnya, lihat mengenkripsi data saat istirahat dan dalam perjalanan.

Kontrol Akses Data

Dengan kontrol akses data, Anda dapat mengontrol data apa yang dapat diakses oleh IAM identitas atau identitas tenaga kerja. Amazon EMR mendukung kontrol akses berikut:

  • IAMKebijakan berbasis identitas — mengelola izin untuk IAM peran yang Anda gunakan dengan Amazon. EMR IAMkebijakan dapat dikombinasikan dengan penandaan untuk mengontrol akses cluster-by-cluster berdasarkan. Untuk informasi selengkapnya, lihat AWS Identity and Access Management Amazon EMR.

  • AWS Lake Formationmemusatkan pengelolaan izin data Anda dan membuatnya lebih mudah untuk dibagikan di seluruh organisasi dan eksternal. Anda dapat menggunakan Lake Formation untuk mengaktifkan akses tingkat kolom berbutir halus ke database dan tabel di Katalog Data Glue. AWS Untuk informasi selengkapnya, lihat Menggunakan AWS Lake Formation dengan Amazon EMR.

  • Akses Amazon S3 memberikan identitas peta identitas peta dalam direktori seperti Active Directory, atau AWS Identity and Access Management (IAM) prinsipal, ke kumpulan data di S3. Selain itu, akses S3 memberikan identitas pengguna akhir log dan aplikasi yang digunakan untuk mengakses data S3 di. AWS CloudTrail Untuk informasi selengkapnya, lihat Menggunakan hibah akses Amazon S3 dengan Amazon. EMR

  • Apache Ranger adalah kerangka kerja untuk mengaktifkan, memantau, dan mengelola keamanan data yang komprehensif di seluruh platform Hadoop. Amazon EMR mendukung kontrol akses halus berbasis Apache Ranger untuk Apache Hive Metastore dan Amazon S3. Untuk informasi selengkapnya lihat Mengintegrasikan Apache Ranger dengan Amazon. EMR