Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo dei gruppi di sicurezza gestiti da Amazon EMR
Nota
Amazon EMR mira a utilizzare alternative inclusive per termini di settore potenzialmente offensivi o non inclusivi come «master» e «slave». Siamo passati a una nuova terminologia per promuovere un'esperienza più inclusiva e facilitare la comprensione dei componenti del servizio.
Ora descriviamo i «nodi» comecasie descriviamo i tipi di istanze Amazon EMR comedi base,centro, ecompitocasi. Durante la transizione, potresti ancora trovare riferimenti obsoleti a termini obsoleti, come quelli relativi ai gruppi di sicurezza per Amazon EMR.
Diversi gruppi di sicurezza gestiti sono associati all'istanza principale e alle istanze core e task di un cluster. Quando si crea un cluster in una sottorete privata, è necessario un ulteriore gruppo di sicurezza gestito per l'accesso ai servizi. Per ulteriori informazioni sul ruolo dei gruppi di sicurezza gestiti per quanto riguarda la configurazione di rete, consulta Opzioni di Amazon VPC.
Quando vengono specificati i gruppi di sicurezza gestiti per un cluster, è necessario utilizzare lo stesso tipo di gruppo di sicurezza, predefinito o personalizzato, per tutti i gruppi di sicurezza gestiti. Ad esempio, non è possibile specificare un gruppo di sicurezza personalizzato per l'istanza principale e quindi non specificare un gruppo di sicurezza personalizzato per le istanze core e task.
Se utilizzi i gruppi di sicurezza gestiti predefiniti, non è necessario specificarli quando si crea un cluster. Amazon EMR utilizza automaticamente le impostazioni predefinite. Inoltre, se le impostazioni predefinite non esistono ancora nel VPC del cluster, Amazon EMR le crea. Amazon EMR le crea anche se vengono specificate in modo esplicito e non esistono ancora.
Puoi modificare le regole nei gruppi di sicurezza gestiti dopo la creazione dei cluster. Quando crei un nuovo cluster, Amazon EMR controlla le regole nei gruppi di sicurezza gestiti specificati e quindi crea tutte le regole in entrata mancanti necessarie per il nuovo cluster, oltre alle regole che possono essere state aggiunte in precedenza. Salvo diversa indicazione, ogni regola per i gruppi di sicurezza predefiniti gestiti da Amazon EMR viene aggiunta anche ai gruppi di sicurezza personalizzati gestiti da Amazon EMR da te specificati.
I gruppi di sicurezza gestiti predefiniti sono i seguenti:
-
ElasticMapReduce-primario
Per le regole in questo gruppo di sicurezza, consulta Gruppo di sicurezza gestito da Amazon EMR per l'istanza principale (sottoreti pubbliche).
-
ElasticMapReduce-core
Per le regole in questo gruppo di sicurezza, consulta Gruppo di sicurezza gestito da Amazon EMR per le istanze principali e attività (sottoreti pubbliche).
-
ElasticMapReduce-Primario-Privato
Per le regole in questo gruppo di sicurezza, consulta Gruppo di sicurezza gestito da Amazon EMR per l'istanza principale (sottoreti private).
-
ElasticMapReduce-Privato principale
Per le regole in questo gruppo di sicurezza, consulta Gruppo di sicurezza gestito da Amazon EMR per le istanze principali e attività (sottoreti private).
-
ElasticMapReduce-ServiceAccess
Per le regole in questo gruppo di sicurezza, consulta Gruppo di sicurezza gestito da Amazon EMR per l'accesso ai servizi (sottoreti private).
Gruppo di sicurezza gestito da Amazon EMR per l'istanza principale (sottoreti pubbliche)
Il gruppo di sicurezza gestito predefinito per l'istanza principale nelle sottoreti pubbliche includeNome del gruppodiElasticMapReduce-primario. Include le seguenti regole: Se specifichi un gruppo di sicurezza gestito personalizzato, Amazon EMR aggiunge tutte le stesse regole al gruppo di sicurezza personalizzato.
| Type (Tipo) | Protocollo | Intervallo porte | Origine | Informazioni |
|---|---|---|---|---|
| Regole in entrata | ||||
| Tutte le regole ICMP-IPv4 | Tutti | N/D | L'ID di gruppo del gruppo di sicurezza gestito per l'istanza principale. In altre parole, lo stesso gruppo di sicurezza in cui appare la regola. | Tali regole riflessive consentono il traffico in entrata da qualsiasi istanza associata al gruppo di sicurezza specificato. Utilizzando |
| Tutte le regole TCP | TCP | Tutti | ||
| Tutte le regole UDP | UDP | Tutti | ||
| Tutte le regole ICMP-IPV4 | Tutti | N/D | L'ID del gruppo di sicurezza gestito specificato per nodi principali e di task. | Tali regole consentono il traffico ICMP in entrata e il traffico su qualsiasi porta TCP o UDP da qualsiasi istanza principale e di attività associata al gruppo di sicurezza specificato, anche se le istanze si trovano in cluster diversi. |
| Tutte le regole TCP | TCP | Tutti | ||
| Tutte le regole UDP | UDP | Tutti | ||
| Personalizza | TCP | 8443 | Vari intervalli di indirizzi IP Amazon | Queste regole consentono al gestore del cluster di comunicare con il nodo primario. |
Concessione dell'accesso SSH alle origini attendibili per il gruppo di sicurezza primario con la vecchia console
Per modificare i gruppi di sicurezza, è necessario disporre dell'autorizzazione per gestire i gruppi di sicurezza per il VPC in cui si trova il cluster. Per ulteriori informazioni, vedereModifica delle autorizzazioni per un utentee ilPolitica di esempioche consente di gestire i gruppi di sicurezza EC2 nelGuida per l'utente IAM.
Passa alla nuova console Amazon EMR e selezionaPassa alla vecchia consoledalla navigazione laterale. Per ulteriori informazioni su cosa aspettarsi quando passi alla vecchia console, consultaUtilizzo della vecchia console.
Scegliere Clusters (Cluster). Scegliere il Name (Nome) del cluster che si desidera modificare.
Scegliere il link Security groups for Master (Gruppi di sicurezza per Master) in Security and access (Sicurezza e accesso).
ScegliElasticMapReduce-padronedalla lista.
Scegliere la scheda Inbound rules (Regole in entrata), quindi scegliere Edit inbound rules (Modifica le regole in entrata).
Verifica la presenza di una regola in entrata che consenta l'accesso pubblico con le seguenti impostazioni. Se esiste, scegli Delete (Elimina) per rimuoverla.
-
Type (Tipo)
SSH
-
Porta
22
-
Source (Origine)
Personalizzata 0.0.0.0/0
avvertimento
Prima di dicembre 2020, il ElasticMapReduce-master security group aveva una regola preconfigurata per consentire il traffico in entrata sulla porta 22 da tutte le fonti. Questa regola è stata creata per semplificare le connessioni SSH iniziali al nodo primario. Ti consigliamo di rimuovere questa regola in entrata e limitare il traffico a origini affidabili.
-
Scorri fino alla fine dell'elenco di regole e seleziona Add Rule (Aggiungi regola).
-
Per Type (Tipo), seleziona SSH.
Selezionando SSH si inserisce automaticamente TCP per Protocol (Protocollo) e 22 per Port Range (Intervallo porte).
-
Per origine, seleziona My IP (Il mio IP) per aggiungere automaticamente il tuo indirizzo IP come indirizzo di origine. Puoi anche aggiungere un intervallo di indirizzi IP affidabili del client Custom (Personalizzato), o creare regole aggiuntive per altri client. In molti ambienti di rete, gli indirizzi IP vengono allocati in modo dinamico, perciò, nel futuro, potrebbe essere necessario aggiornare gli indirizzi IP per client affidabili.
Seleziona Salva.
Facoltativamente, scegliElasticMapReduce-schiavodall'elenco e ripeti i passaggi precedenti per consentire al client SSH l'accesso ai nodi principali e ai nodi task.
Gruppo di sicurezza gestito da Amazon EMR per le istanze principali e attività (sottoreti pubbliche)
Il gruppo di sicurezza gestito predefinito per le istanze core e task nelle sottoreti pubbliche includeNome del gruppodiElasticMapReduce-nucleo. Il gruppo di sicurezza gestito predefinito ha le regole seguenti e Amazon EMR aggiunge le stesse regole se si specifica un gruppo di sicurezza gestito personalizzato.
| Type (Tipo) | Protocollo | Intervallo porte | Origine | Informazioni |
|---|---|---|---|---|
| Regole in entrata | ||||
| Tutte le regole ICMP-IPV4 | Tutti | N/D | L'ID del gruppo di sicurezza gestito specificato per le istanze principali e di attività. In altre parole, lo stesso gruppo di sicurezza in cui appare la regola. | Tali regole riflessive consentono il traffico in entrata da qualsiasi istanza associata al gruppo di sicurezza specificato. Utilizzando |
| Tutte le regole TCP | TCP | Tutti | ||
| Tutte le regole UDP | UDP | Tutti | ||
| Tutte le regole ICMP-IPV4 | Tutti | N/D | L'ID di gruppo del gruppo di sicurezza gestito per l'istanza principale. | Queste regole consentono tutto il traffico ICMP in entrata e il traffico su qualsiasi porta TCP o UDP da qualsiasi istanza primaria associata al gruppo di sicurezza specificato, anche se le istanze si trovano in cluster diversi. |
| Tutte le regole TCP | TCP | Tutti | ||
| Tutte le regole UDP | UDP | Tutti | ||
Gruppo di sicurezza gestito da Amazon EMR per l'istanza principale (sottoreti private)
Il gruppo di sicurezza gestito predefinito per l'istanza principale nelle sottoreti private ha ilNome del gruppodiElasticMapReduce-Primario-Privato. Il gruppo di sicurezza gestito predefinito ha le regole seguenti e Amazon EMR aggiunge le stesse regole se si specifica un gruppo di sicurezza gestito personalizzato.
| Type (Tipo) | Protocollo | Intervallo porte | Origine | Informazioni |
|---|---|---|---|---|
| Regole in entrata | ||||
| Tutte le regole ICMP-IPv4 | Tutti | N/D | L'ID di gruppo del gruppo di sicurezza gestito per l'istanza principale. In altre parole, lo stesso gruppo di sicurezza in cui appare la regola. | Tali regole riflessive consentono il traffico in entrata da qualsiasi istanza associata al gruppo di sicurezza specificato e raggiungibile dall'interno di una sottorete privata. Utilizzando |
| Tutte le regole TCP | TCP | Tutti | ||
| Tutte le regole UDP | UDP | Tutti | ||
| Tutte le regole ICMP-IPV4 | Tutti | N/D | L'ID gruppo del gruppo di sicurezza gestito specificato per i nodi principali e di task. | Tali regole consentono il traffico ICMP in entrata e il traffico su qualsiasi porta TCP o UDP da qualsiasi istanza principale e di attività associata al gruppo di sicurezza specificato e raggiungibile dalla sottorete privata, anche se le istanze si trovano in cluster diversi. |
| Tutte le regole TCP | TCP | Tutti | ||
| Tutte le regole UDP | UDP | Tutti | ||
| HTTPS (8443) | TCP | 8443 | L'ID del gruppo di sicurezza gestito per l'accesso ai servizi in una sottorete privata. | Questa regola consente al gestore del cluster di comunicare con il nodo primario. |
| Regole in uscita | ||||
| Tutto il traffico | Tutti | Tutti | 0.0.0.0/0 | Fornisce l'accesso in uscita a Internet. |
| TCP personalizzato | TCP | 9443 | L'ID del gruppo di sicurezza gestito per l'accesso ai servizi in una sottorete privata. | Se la precedente regola in uscita predefinita «Tutto il traffico» viene rimossa, questa regola è un requisito minimo per Amazon EMR 5.30.0 e versioni successive. NotaAmazon EMR non aggiunge questa regola quando si utilizza un gruppo di sicurezza gestito personalizzato. |
| TCP personalizzato | TCP | 80 (http) o 443 (https) | L'ID del gruppo di sicurezza gestito per l'accesso ai servizi in una sottorete privata. | Se la precedente regola in uscita predefinita «Tutto il traffico» viene rimossa, questa regola è un requisito minimo per Amazon EMR 5.30.0 e versioni successive per connettersi ad Amazon S3 tramite https. NotaAmazon EMR non aggiunge questa regola quando si utilizza un gruppo di sicurezza gestito personalizzato. |
Gruppo di sicurezza gestito da Amazon EMR per le istanze principali e attività (sottoreti private)
Il gruppo di sicurezza gestito predefinito per le istanze core e task nelle sottoreti private ha ilNome del gruppodiElasticMapReduce-Core-Private. Il gruppo di sicurezza gestito predefinito ha le regole seguenti e Amazon EMR aggiunge le stesse regole se si specifica un gruppo di sicurezza gestito personalizzato.
| Type (Tipo) | Protocollo | Intervallo porte | Origine | Informazioni |
|---|---|---|---|---|
| Regole in entrata | ||||
| Tutte le regole ICMP-IPV4 | Tutti | N/D | L'ID del gruppo di sicurezza gestito specificato per le istanze principali e di attività. In altre parole, lo stesso gruppo di sicurezza in cui appare la regola. | Tali regole riflessive consentono il traffico in entrata da qualsiasi istanza associata al gruppo di sicurezza specificato. Utilizzando |
| Tutte le regole TCP | TCP | Tutti | ||
| Tutte le regole UDP | UDP | Tutti | ||
| Tutte le regole ICMP-IPV4 | Tutti | N/D | L'ID di gruppo del gruppo di sicurezza gestito per l'istanza principale. | Queste regole consentono tutto il traffico ICMP in entrata e il traffico su qualsiasi porta TCP o UDP da qualsiasi istanza primaria associata al gruppo di sicurezza specificato, anche se le istanze si trovano in cluster diversi. |
| Tutte le regole TCP | TCP | Tutti | ||
| Tutte le regole UDP | UDP | Tutti | ||
| HTTPS (8443) | TCP | 8443 | L'ID del gruppo di sicurezza gestito per l'accesso ai servizi in una sottorete privata. | Questa regola consente al cluster manager di comunicare con i nodi principali e di task. |
| Regole in uscita | ||||
| Tutto il traffico | Tutti | Tutti | 0.0.0.0/0 | ConsultaModifica di regole in uscita qui di seguito. |
| TCP personalizzato | TCP | 80 (http) o 443 (https) | L'ID del gruppo di sicurezza gestito per l'accesso ai servizi in una sottorete privata. | Se la precedente regola in uscita predefinita «Tutto il traffico» viene rimossa, questa regola è un requisito minimo per Amazon EMR 5.30.0 e versioni successive per connettersi ad Amazon S3 tramite https. NotaAmazon EMR non aggiunge questa regola quando si utilizza un gruppo di sicurezza gestito personalizzato. |
Modifica di regole in uscita
Per impostazione predefinita, Amazon EMR crea questo gruppo di sicurezza con regole in uscita che consentono tutto il traffico in uscita su protocolli e porte. L'autorizzazione di tutto il traffico in uscita è selezionata perché diverse applicazioni Amazon EMR e cliente eseguibili su cluster Amazon EMR potrebbero richiedere regole di uscita diverse. Amazon EMR non è in grado di anticipare queste impostazioni specifiche durante la creazione di gruppi di sicurezza predefiniti. È possibile definire l'ambito in uscita nei gruppi di sicurezza in modo da includere solo le regole che si adattano ai casi d'uso e alle policy di sicurezza. Questo gruppo di sicurezza richiede almeno le seguenti regole in uscita, ma alcune applicazioni potrebbero richiedere un'uscita aggiuntiva.
| Type (Tipo) | Protocollo | Intervallo porte | Destinazione | Informazioni |
|---|---|---|---|---|
| Tutte le regole TCP | TCP | Tutti | pl-xxxxxxxx |
Elenco dei prefissi Amazon S3 gestiti com.amazonaws.. |
| All Traffic | Tutti | Tutti | sg-xxxxxxxxxxxxxxxxx |
L'ID del gruppo di sicurezza ElasticMapReduce-Core-Private. |
| All Traffic | Tutti | Tutti | sg-xxxxxxxxxxxxxxxxx |
L'ID del gruppo di sicurezza ElasticMapReduce-Primary-Private. |
| TCP personalizzato | TCP | 9443 | sg-xxxxxxxxxxxxxxxxx |
L'ID del gruppo di sicurezza ElasticMapReduce-ServiceAccess. |
Gruppo di sicurezza gestito da Amazon EMR per l'accesso ai servizi (sottoreti private)
Il gruppo di sicurezza gestito predefinito per l'accesso ai servizi nelle sottoreti private dispone diNome del gruppodiElasticMapReduce-ServiceAccess. Dispone di regole in entrata e di regole in uscita che consentono il traffico su HTTPS (porta 8443, porta 9443) per altri i gruppi di sicurezza gestiti nelle sottoreti private. Queste regole consentono al gestore del cluster di comunicare con il nodo primario e con i nodi core e task. Le stesse regole sono necessarie se si utilizzano gruppi di sicurezza personalizzati.
| Type (Tipo) | Protocollo | Intervallo porte | Origine | Informazioni |
|---|---|---|---|---|
| Regole in entrataObbligatorio per i cluster Amazon EMR con Amazon EMR versione 5.30.0 e successive. | ||||
| TCP personalizzato | TCP | 9443 | L'ID di gruppo del gruppo di sicurezza gestito per l'istanza principale. |
Questa regola consente la comunicazione tra il gruppo di sicurezza dell'istanza principale e il gruppo di sicurezza di accesso al servizio. |
| Regole in uscitaObbligatorio per tutti i cluster Amazon EMR | ||||
| TCP personalizzato | TCP | 8443 | L'ID di gruppo del gruppo di sicurezza gestito per l'istanza principale. |
Queste regole consentono al gestore del cluster di comunicare con il nodo primario e con i nodi core e task. |
| TCP personalizzato | TCP | 8443 | L'ID del gruppo di sicurezza gestito specificato per le istanze principali e di attività. |
Queste regole consentono al gestore del cluster di comunicare con il nodo primario e con i nodi core e task. |
