Utilizzo dei gruppi di sicurezza gestiti da Amazon EMR - Amazon EMR

Utilizzo dei gruppi di sicurezza gestiti da Amazon EMR

Nota

Amazon EMR mira a utilizzare alternative inclusive per termini di settore potenzialmente offensivi o non inclusivi come "master" e "slave". Siamo passati a una nuova terminologia per promuovere un'esperienza più inclusiva e facilitare la comprensione dei componenti del servizio.

Ora descriviamo i "nodi" come istanze e descriviamo i tipi di istanze Amazon EMR come primarioi, principale e attività. Durante la transizione, potresti ancora trovare riferimenti precedenti a termini obsoleti, come quelli relativi ai gruppi di sicurezza per Amazon EMR.

I diversi gruppi di sicurezza gestiti sono associati all'istanza primaria e alle istanze principali e attività in un cluster. Quando si crea un cluster in una sottorete privata, è necessario un ulteriore gruppo di sicurezza gestito per l'accesso ai servizi. Per ulteriori informazioni sul ruolo dei gruppi di sicurezza gestiti per quanto riguarda la configurazione di rete, consulta Opzioni di Amazon VPC.

Quando vengono specificati i gruppi di sicurezza gestiti per un cluster, è necessario utilizzare lo stesso tipo di gruppo di sicurezza, predefinito o personalizzato, per tutti i gruppi di sicurezza gestiti. Ad esempio, non è possibile specificare un gruppo di sicurezza personalizzato per l'istanza primaria, quindi non specificare un gruppo di sicurezza personalizzato per le istanze principali e le istanze attività.

Se utilizzi i gruppi di sicurezza gestiti predefiniti, non è necessario specificarli quando si crea un cluster. Amazon EMR utilizza automaticamente le impostazioni predefinite. Inoltre, se le impostazioni predefinite non esistono ancora nel VPC del cluster, Amazon EMR le crea. Amazon EMR le crea anche se vengono specificate in modo esplicito e non esistono ancora.

Puoi modificare le regole nei gruppi di sicurezza gestiti dopo la creazione dei cluster. Quando crei un nuovo cluster, Amazon EMR controlla le regole nei gruppi di sicurezza gestiti specificati e quindi crea tutte le regole in entrata mancanti necessarie per il nuovo cluster, oltre alle regole che possono essere state aggiunte in precedenza. Salvo diversamente specificato, ciascuna regola per gruppi di sicurezza gestiti da Amazon EMR predefiniti viene anche aggiunta a gruppi di sicurezza gestiti da Amazon EMR personalizzati da te specificati.

I gruppi di sicurezza gestiti predefiniti sono i seguenti:

Gruppo di sicurezza gestito da Amazon EMR per l'istanza primaria (sottoreti pubbliche)

Il gruppo di sicurezza gestito predefinito per l'istanza primaria nelle sottoreti pubbliche ha come Nome gruppo ElasticMapReduce-primary. Include le seguenti regole: Se specifichi un gruppo di sicurezza gestito personalizzato, Amazon EMR aggiungerà le stesse regole al gruppo di sicurezza personalizzato.

Tipo Protocollo Intervallo porte Origine Informazioni
Regole in entrata
Tutte le regole ICMP-IPv4 Tutti N/D L'ID del gruppo di sicurezza gestito dell'istanza primaria. In altre parole, lo stesso gruppo di sicurezza in cui appare la regola.

Tali regole riflessive consentono il traffico in entrata da qualsiasi istanza associata al gruppo di sicurezza specificato. Utilizzando ElasticMapReduce-primary predefinito per più cluster consente ai nodi principali e di task di tali cluster di comunicare tra loro su ICMP o su qualsiasi porta TCP o UDP. Specifica i gruppi di sicurezza gestiti personalizzati per limitare l'accesso tra cluster.

Tutte le regole TCP TCP Tutti
Tutte le regole UDP UDP Tutti
Tutte le regole ICMP-IPV4 Tutti N/D L'ID del gruppo di sicurezza gestito specificato per nodi principali e di task.

Tali regole consentono il traffico ICMP in entrata e il traffico su qualsiasi porta TCP o UDP da qualsiasi istanza principale e di attività associata al gruppo di sicurezza specificato, anche se le istanze si trovano in cluster diversi.

Tutte le regole TCP TCP Tutti
Tutte le regole UDP UDP Tutti
Personalizza TCP 8443 Vari intervalli di indirizzi IP Amazon Tali regole consentono al cluster manager di comunicare con il nodo primario.
Concessione dell'accesso SSH alle origini attendibili per il gruppo di sicurezza primario con la vecchia console

Per modificare i gruppi di sicurezza, devi disporre dell'autorizzazione per gestire i gruppi di sicurezza per il VPC in cui si trova il cluster. Per ulteriori informazioni, consulta Modifica delle autorizzazioni per un utente e la Policy di esempio che consente di gestire i gruppi di sicurezza EC2 nella Guida per l'utente IAM.

  1. Passa alla nuova console Amazon EMR e seleziona Passa alla vecchia console dalla barra di navigazione laterale. Per ulteriori informazioni su cosa aspettarti quando passi alla vecchia console, consulta Utilizzo della vecchia console.

  2. Scegli Cluster. Scegli il Nome del cluster che desideri modificare.

  3. Scegli il link Gruppi di sicurezza per master in Sicurezza e accesso.

  4. Scegli ElasticMapReduce-master dall'elenco.

  5. Scegliere la scheda Inbound rules (Regole in entrata), quindi scegliere Edit inbound rules (Modifica le regole in entrata).

  6. Verifica la presenza di una regola in entrata che consenta l'accesso pubblico con le seguenti impostazioni. Se esiste, scegli Elimina per rimuoverla.

    • Tipo

      SSH

    • Porta

      22

    • Origine

      Personalizzata 0.0.0.0/0

    avvertimento

    Prima di dicembre 2020, il gruppo di sicurezza ElasticMapReduce-master aveva una regola preconfigurata per consentire il traffico in entrata sulla porta 22 da tutte le origini. Questa regola è stata creata per semplificare le connessioni SSH iniziali al nodo primario. Consigliamo vivamente di rimuovere questa regola in entrata e limitare il traffico alle origini affidabili.

  7. Scorri fino alla fine dell'elenco di regole e seleziona Aggiungi regola.

  8. Per Tipo, seleziona SSH.

    Selezionando SSH si inserisce in automatico TCP per Protocollo e 22 per Intervallo porta.

  9. Per origine, seleziona Il mio IP per aggiungere in automatico il tuo indirizzo IP come indirizzo di origine. Puoi anche aggiungere un intervallo di indirizzi IP affidabili del client Custom (Personalizzato), o creare regole aggiuntive per altri client. In molti ambienti di rete, gli indirizzi IP vengono allocati in modo dinamico, perciò, nel futuro, potrebbe essere necessario aggiornare gli indirizzi IP per client affidabili.

  10. Seleziona Salva.

  11. Facoltativamente, scegli ElasticMapReduce-slave dall'elenco e ripeti le fasi descritte in precedenza per consentire l'accesso SSH dei client ai nodi principali e nodi attività.

Gruppo di sicurezza gestito da Amazon EMR per le istanze principali e attività (sottoreti pubbliche)

Il gruppo di sicurezza gestito predefinito per le istanze principali e attività nelle sottoreti pubbliche ha come Nome gruppo ElasticMapReduce-core. Il gruppo di sicurezza gestito predefinito ha le regole seguenti e Amazon EMR aggiunge le stesse regole se si specifica un gruppo di sicurezza gestito personalizzato.

Tipo Protocollo Intervallo porte Origine Informazioni
Regole in entrata
Tutte le regole ICMP-IPV4 Tutti N/D L'ID del gruppo di sicurezza gestito specificato per le istanze principali e di attività. In altre parole, lo stesso gruppo di sicurezza in cui appare la regola.

Tali regole riflessive consentono il traffico in entrata da qualsiasi istanza associata al gruppo di sicurezza specificato. Utilizzando ElasticMapReduce-core predefinito per più cluster consente alle istanze principali e di attività di tali cluster di comunicare tra loro su ICMP o su qualsiasi porta TCP o UDP. Specifica i gruppi di sicurezza gestiti personalizzati per limitare l'accesso tra cluster.

Tutte le regole TCP TCP Tutti
Tutte le regole UDP UDP Tutti
Tutte le regole ICMP-IPV4 Tutti N/D L'ID del gruppo di sicurezza gestito dell'istanza primaria.

Tali regole consentono tutto il traffico ICMP in entrata e il traffico su qualsiasi porta TCP o UDP da tutte le istanze primarie associate al gruppo di sicurezza specificato, anche se le istanze si trovano in cluster diversi.

Tutte le regole TCP TCP Tutti
Tutte le regole UDP UDP Tutti

Gruppo di sicurezza gestito da Amazon EMR per l'istanza primaria (sottoreti private)

Il gruppo di sicurezza gestito predefinito per l'istanza primaria nelle sottoreti private ha come Nome gruppo ElasticMapReduce-Primary-Private. Il gruppo di sicurezza gestito predefinito ha le regole seguenti e Amazon EMR aggiunge le stesse regole se si specifica un gruppo di sicurezza gestito personalizzato.

Tipo Protocollo Intervallo porte Origine Informazioni
Regole in entrata
Tutte le regole ICMP-IPv4 Tutti N/D L'ID del gruppo di sicurezza gestito dell'istanza primaria. In altre parole, lo stesso gruppo di sicurezza in cui appare la regola.

Tali regole riflessive consentono il traffico in entrata da qualsiasi istanza associata al gruppo di sicurezza specificato e raggiungibile dall'interno di una sottorete privata. Utilizzando ElasticMapReduce-Primary-Private predefinito per più cluster consente ai nodi principali e di task di tali cluster di comunicare tra loro su ICMP o su qualsiasi porta TCP o UDP. Specifica i gruppi di sicurezza gestiti personalizzati per limitare l'accesso tra cluster.

Tutte le regole TCP TCP Tutti
Tutte le regole UDP UDP Tutti
Tutte le regole ICMP-IPV4 Tutti N/D L'ID gruppo del gruppo di sicurezza gestito specificato per i nodi principali e di task.

Tali regole consentono il traffico ICMP in entrata e il traffico su qualsiasi porta TCP o UDP da qualsiasi istanza principale e di attività associata al gruppo di sicurezza specificato e raggiungibile dalla sottorete privata, anche se le istanze si trovano in cluster diversi.

Tutte le regole TCP TCP Tutti
Tutte le regole UDP UDP Tutti
HTTPS (8443) TCP 8443 L'ID del gruppo di sicurezza gestito per l'accesso ai servizi in una sottorete privata. Questa regola consente al cluster manager di comunicare con il nodo primario.
Regole in uscita
Tutto il traffico Tutti Tutti 0.0.0.0/0 Fornisce l'accesso in uscita a Internet.
TCP personalizzato TCP 9443 L'ID del gruppo di sicurezza gestito per l'accesso ai servizi in una sottorete privata.

Tieni presente che la regola in uscita predefinita "Tutto il traffico" sopra descritta è un requisito minimo per Amazon EMR 5.30.0 e versioni successive.

Nota

Amazon EMR non aggiunge questa regola quando si utilizza un gruppo di sicurezza gestito personalizzato.

TCP personalizzato TCP 80 (http) o 443 (https) L'ID del gruppo di sicurezza gestito per l'accesso ai servizi in una sottorete privata.

Se la regola in uscita predefinita "Tutto il traffico" sopra descritta viene rimossa, tieni presente che si tratta di un requisito minimo per Amazon EMR 5.30.0 e versioni successive per la connessione ad Amazon S3 tramite https.

Nota

Amazon EMR non aggiunge questa regola quando si utilizza un gruppo di sicurezza gestito personalizzato.

Gruppo di sicurezza gestito da Amazon EMR per le istanze principali e attività (sottoreti private)

Il gruppo di sicurezza gestito predefinito per le istanze principali e attività nelle sottoreti private ha come Nome gruppo ElasticMapReduce-Core-Private. Il gruppo di sicurezza gestito predefinito ha le regole seguenti e Amazon EMR aggiunge le stesse regole se si specifica un gruppo di sicurezza gestito personalizzato.

Tipo Protocollo Intervallo porte Origine Informazioni
Regole in entrata
Tutte le regole ICMP-IPV4 Tutti N/D L'ID del gruppo di sicurezza gestito specificato per le istanze principali e di attività. In altre parole, lo stesso gruppo di sicurezza in cui appare la regola.

Tali regole riflessive consentono il traffico in entrata da qualsiasi istanza associata al gruppo di sicurezza specificato. Utilizzando ElasticMapReduce-core predefinito per più cluster consente alle istanze principali e di attività di tali cluster di comunicare tra loro su ICMP o su qualsiasi porta TCP o UDP. Specifica i gruppi di sicurezza gestiti personalizzati per limitare l'accesso tra cluster.

Tutte le regole TCP TCP Tutti
Tutte le regole UDP UDP Tutti
Tutte le regole ICMP-IPV4 Tutti N/D L'ID del gruppo di sicurezza gestito dell'istanza primaria.

Tali regole consentono tutto il traffico ICMP in entrata e il traffico su qualsiasi porta TCP o UDP da tutte le istanze primarie associate al gruppo di sicurezza specificato, anche se le istanze si trovano in cluster diversi.

Tutte le regole TCP TCP Tutti
Tutte le regole UDP UDP Tutti
HTTPS (8443) TCP 8443 L'ID del gruppo di sicurezza gestito per l'accesso ai servizi in una sottorete privata. Questa regola consente al cluster manager di comunicare con i nodi principali e di task.
Regole in uscita
Tutto il traffico Tutti Tutti 0.0.0.0/0 ConsultaModifica di regole in uscita qui di seguito.
TCP personalizzato TCP 80 (http) o 443 (https) L'ID del gruppo di sicurezza gestito per l'accesso ai servizi in una sottorete privata.

Se la regola in uscita predefinita "Tutto il traffico" sopra descritta viene rimossa, tieni presente che si tratta di un requisito minimo per Amazon EMR 5.30.0 e versioni successive per la connessione ad Amazon S3 tramite https.

Nota

Amazon EMR non aggiunge questa regola quando si utilizza un gruppo di sicurezza gestito personalizzato.

Modifica di regole in uscita

Per impostazione predefinita, Amazon EMR crea questo gruppo di sicurezza con regole in uscita che consentono tutto il traffico in uscita su protocolli e porte. L'autorizzazione di tutto il traffico in uscita è selezionata perché diverse applicazioni Amazon EMR e cliente eseguibili su cluster Amazon EMR potrebbero richiedere regole di uscita diverse. Amazon EMR non è in grado di prevedere queste impostazioni specifiche durante la creazione di gruppi di sicurezza predefiniti. È possibile definire l'ambito in uscita nei gruppi di sicurezza in modo da includere solo le regole che si adattano ai casi d'uso e alle policy di sicurezza. Questo gruppo di sicurezza richiede almeno le seguenti regole in uscita, ma alcune applicazioni potrebbero richiedere un'uscita aggiuntiva.

Tipo Protocollo Intervallo porte Destinazione Informazioni
Tutte le regole TCP TCP Tutti pl-xxxxxxxx Elenco dei prefissi Amazon S3 gestiti com.amazonaws.MyRegion.s3.
All Traffic Tutti Tutti sg-xxxxxxxxxxxxxxxxx L'ID del gruppo di sicurezza ElasticMapReduce-Core-Private.
All Traffic Tutti Tutti sg-xxxxxxxxxxxxxxxxx L'ID del gruppo di sicurezza ElasticMapReduce-Primary-Private.
TCP personalizzato TCP 9443 sg-xxxxxxxxxxxxxxxxx L'ID del gruppo di sicurezza ElasticMapReduce-ServiceAccess.

Gruppo di sicurezza gestito da Amazon EMR per l'accesso ai servizi (sottoreti private)

Il gruppo di sicurezza gestito predefinito per l'accesso ai servizi nelle sottoreti private ha come Group Name (Nome gruppo) ElasticMapReduce-ServiceAccess. Dispone di regole in entrata e di regole in uscita che consentono il traffico su HTTPS (porta 8443, porta 9443) per altri i gruppi di sicurezza gestiti nelle sottoreti private. Tali regole consentono al cluster manager di comunicare con il nodo primario e con i nodi principale e attività. Le stesse regole sono necessarie se si utilizzano gruppi di sicurezza personalizzati.

Tipo Protocollo Intervallo porte Origine Informazioni
Regole in ingresso richieste per i cluster Amazon EMR con Amazon EMR versione 5.30.0 e successive.
TCP personalizzato TCP 9443 L'ID del gruppo di sicurezza gestito dell'istanza primaria.

Questa regola consente la comunicazione tra il gruppo di sicurezza dell'istanza primaria e il gruppo di sicurezza di accesso al servizio.

Regole in uscita richieste per tutti i cluster Amazon EMR
TCP personalizzato TCP 8443 L'ID del gruppo di sicurezza gestito dell'istanza primaria.

Tali regole consentono al cluster manager di comunicare con il nodo primario e con i nodi principale e attività.

TCP personalizzato TCP 8443 L'ID del gruppo di sicurezza gestito specificato per le istanze principali e di attività.

Tali regole consentono al cluster manager di comunicare con il nodo primario e con i nodi principale e attività.