Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Lavorare con gruppi EMR di sicurezza gestiti da Amazon
Nota
Amazon EMR intende utilizzare alternative inclusive per termini di settore potenzialmente offensivi o non inclusivi come «master» e «slave». Siamo passati a una nuova terminologia per promuovere un'esperienza più inclusiva e facilitare la comprensione dei componenti del servizio.
Ora descriviamo i «nodi» come istanze e descriviamo i tipi di EMR istanze Amazon come istanze primarie, core e task. Durante la transizione, potresti ancora trovare riferimenti obsoleti a termini obsoleti, come quelli relativi ai gruppi di sicurezza per Amazon. EMR
I diversi gruppi di sicurezza gestiti sono associati all'istanza primaria e alle istanze principali e attività in un cluster. Quando si crea un cluster in una sottorete privata, è necessario un ulteriore gruppo di sicurezza gestito per l'accesso ai servizi. Per ulteriori informazioni sul ruolo dei gruppi di sicurezza gestiti per quanto riguarda la configurazione di rete, consulta VPCOpzioni Amazon.
Quando vengono specificati i gruppi di sicurezza gestiti per un cluster, è necessario utilizzare lo stesso tipo di gruppo di sicurezza, predefinito o personalizzato, per tutti i gruppi di sicurezza gestiti. Ad esempio, non è possibile specificare un gruppo di sicurezza personalizzato per l'istanza primaria, quindi non specificare un gruppo di sicurezza personalizzato per le istanze principali e le istanze attività.
Se utilizzi i gruppi di sicurezza gestiti predefiniti, non è necessario specificarli quando si crea un cluster. Amazon utilizza EMR automaticamente le impostazioni predefinite. Inoltre, se le impostazioni predefinite non esistono VPC ancora nel cluster, Amazon le EMR crea. Amazon li crea EMR anche se li specifichi esplicitamente e non esistono ancora.
Puoi modificare le regole nei gruppi di sicurezza gestiti dopo la creazione dei cluster. Quando crei un nuovo cluster, Amazon EMR controlla le regole nei gruppi di sicurezza gestiti da te specificati, quindi crea tutte le regole in entrata mancanti di cui il nuovo cluster ha bisogno oltre alle regole che potrebbero essere state aggiunte in precedenza. Salvo diversa indicazione, ogni regola per i gruppi di sicurezza predefiniti EMR gestiti da Amazon viene aggiunta anche ai gruppi di sicurezza EMR gestiti da Amazon personalizzati da te specificati.
I gruppi di sicurezza gestiti predefiniti sono i seguenti:
-
ElasticMapReduce-primario
Per le regole in questo gruppo di sicurezza, consulta Gruppo EMR di sicurezza gestito da Amazon per l'istanza principale (sottoreti pubbliche).
-
ElasticMapReduce-nucleo
Per le regole in questo gruppo di sicurezza, consulta Gruppo EMR di sicurezza gestito da Amazon per istanze core e task (sottoreti pubbliche).
-
ElasticMapReduce-Primario-Privato
Per le regole in questo gruppo di sicurezza, consulta Gruppo EMR di sicurezza gestito da Amazon per l'istanza principale (sottoreti private).
-
ElasticMapReduce-Privato principale
Per le regole in questo gruppo di sicurezza, consulta Gruppo EMR di sicurezza gestito da Amazon per istanze core e task (sottoreti private).
-
ElasticMapReduce-ServiceAccess
Per le regole in questo gruppo di sicurezza, consulta Gruppo EMR di sicurezza gestito da Amazon per l'accesso ai servizi (sottoreti private).
Gruppo EMR di sicurezza gestito da Amazon per l'istanza principale (sottoreti pubbliche)
Il gruppo di sicurezza gestito predefinito per l'istanza principale nelle sottoreti pubbliche ha il nome di gruppo -primary. ElasticMapReduce Include le seguenti regole: Se specifichi un gruppo di sicurezza gestito personalizzato, Amazon EMR aggiunge tutte le stesse regole al gruppo di sicurezza personalizzato.
| Type | Protocollo | Intervallo porte | Origine | Informazioni |
|---|---|---|---|---|
| Regole in entrata | ||||
| Tutti ICMP - IPv4 | Tutti | N/D | L'ID del gruppo di sicurezza gestito dell'istanza primaria. In altre parole, lo stesso gruppo di sicurezza in cui appare la regola. | Tali regole riflessive consentono il traffico in entrata da qualsiasi istanza associata al gruppo di sicurezza specificato. L'utilizzo dell'impostazione predefinita |
| Tutti TCP | TCP | Tutti | ||
| Tutti UDP | UDP | Tutti | ||
| Tutti ICMP - IPV4 | Tutti | N/D | L'ID del gruppo di sicurezza gestito specificato per nodi principali e di task. | Queste regole consentono tutto il ICMP traffico in entrata e il traffico su qualsiasi UDP porta TCP o proveniente da qualsiasi istanza core e task associata al gruppo di sicurezza specificato, anche se le istanze si trovano in cluster diversi. |
| Tutto TCP | TCP | Tutti | ||
| Tutti UDP | UDP | Tutti | ||
| Personalizza | TCP | 8443 | Vari intervalli di indirizzi IP Amazon | Tali regole consentono al cluster manager di comunicare con il nodo primario. |
Per concedere a fonti attendibili l'SSHaccesso al gruppo di sicurezza principale tramite la console
Per modificare i gruppi di sicurezza, è necessario disporre dell'autorizzazione a gestire i gruppi di sicurezza per il VPC quale si trova il cluster. Per ulteriori informazioni, consulta Modifica delle autorizzazioni per un utente e la Politica di esempio che consente la gestione dei gruppi EC2 di sicurezza nella Guida per l'IAMutente.
Accedi a e apri la EMR console Amazon all'indirizzo https://console.aws.amazon.com/emr
. AWS Management Console Scegli Cluster. Scegli l'ID del cluster che desideri modificare.
Nel riquadro Rete e sicurezza, espandi il menu a discesa dei gruppi di EC2 sicurezza (firewall).
In Nodo primario, scegli il tuo gruppo di sicurezza.
Sceglere Edit inbound rules (Modifica regole in entrata).
Verifica la presenza di una regola in entrata che consenta l'accesso pubblico con le seguenti impostazioni. Se esiste, scegli Elimina per rimuoverla.
-
Tipo
SSH
-
Porta
22
-
Origine
Personalizzata 0.0.0.0/0
avvertimento
Prima di dicembre 2020, esisteva una regola preconfigurata per consentire il traffico in entrata sulla porta 22 da tutte le fonti. Questa regola è stata creata per semplificare SSH le connessioni iniziali al nodo primario. Consigliamo vivamente di rimuovere questa regola in entrata e limitare il traffico alle origini affidabili.
-
Scorri fino alla fine dell'elenco di regole e seleziona Aggiungi regola.
-
Per Tipo, selezionare SSH.
La selezione SSH avviene automaticamente TCPper Protocol e 22 per Port Range.
-
Per origine, seleziona Il mio IP per aggiungere in automatico il tuo indirizzo IP come indirizzo di origine. Puoi anche aggiungere un intervallo di indirizzi IP affidabili del client Custom (Personalizzato), o creare regole aggiuntive per altri client. In molti ambienti di rete, gli indirizzi IP vengono allocati in modo dinamico, perciò, nel futuro, potrebbe essere necessario aggiornare gli indirizzi IP per client affidabili.
Seleziona Salva.
Facoltativamente, scegli l'altro gruppo di sicurezza in Core e task nodes nel riquadro Rete e sicurezza e ripeti i passaggi precedenti per consentire al SSH client l'accesso ai nodi principali e ai task.
Gruppo EMR di sicurezza gestito da Amazon per istanze core e task (sottoreti pubbliche)
Il gruppo di sicurezza gestito predefinito per le istanze core e task nelle sottoreti pubbliche ha il nome di gruppo -core. ElasticMapReduce Il gruppo di sicurezza gestito predefinito ha le seguenti regole e Amazon EMR aggiunge le stesse regole se specifichi un gruppo di sicurezza gestito personalizzato.
| Type | Protocollo | Intervallo porte | Origine | Informazioni |
|---|---|---|---|---|
| Regole in entrata | ||||
| Tutti ICMP - IPV4 | Tutti | N/D | L'ID del gruppo di sicurezza gestito specificato per le istanze principali e di attività. In altre parole, lo stesso gruppo di sicurezza in cui appare la regola. | Tali regole riflessive consentono il traffico in entrata da qualsiasi istanza associata al gruppo di sicurezza specificato. L'utilizzo dell'impostazione predefinita |
| Tutti TCP | TCP | Tutti | ||
| Tutti UDP | UDP | Tutti | ||
| Tutti ICMP - IPV4 | Tutti | N/D | L'ID del gruppo di sicurezza gestito dell'istanza primaria. | Queste regole consentono tutto il ICMP traffico in entrata e il traffico su qualsiasi UDP porta TCP o proveniente da qualsiasi istanza primaria associata al gruppo di sicurezza specificato, anche se le istanze si trovano in cluster diversi. |
| Tutto TCP | TCP | Tutti | ||
| Tutti UDP | UDP | Tutti | ||
Gruppo EMR di sicurezza gestito da Amazon per l'istanza principale (sottoreti private)
Il gruppo di sicurezza gestito predefinito per l'istanza principale nelle sottoreti private ha il nome di gruppo -Primary-Private. ElasticMapReduce Il gruppo di sicurezza gestito predefinito ha le seguenti regole e Amazon EMR aggiunge le stesse regole se specifichi un gruppo di sicurezza gestito personalizzato.
| Type | Protocollo | Intervallo porte | Origine | Informazioni |
|---|---|---|---|---|
| Regole in entrata | ||||
| Tutti ICMP - IPv4 | Tutti | N/D | L'ID del gruppo di sicurezza gestito dell'istanza primaria. In altre parole, lo stesso gruppo di sicurezza in cui appare la regola. | Tali regole riflessive consentono il traffico in entrata da qualsiasi istanza associata al gruppo di sicurezza specificato e raggiungibile dall'interno di una sottorete privata. L'utilizzo dell'impostazione predefinita |
| Tutti TCP | TCP | Tutti | ||
| Tutti UDP | UDP | Tutti | ||
| Tutti ICMP - IPV4 | Tutti | N/D | L'ID gruppo del gruppo di sicurezza gestito specificato per i nodi principali e di task. | Queste regole consentono tutto il ICMP traffico in entrata e il traffico su qualsiasi UDP porta TCP o proveniente da qualsiasi istanza core e task associata al gruppo di sicurezza specificato e raggiungibile dall'interno della sottorete privata, anche se le istanze si trovano in cluster diversi. |
| Tutto TCP | TCP | Tutti | ||
| Tutti UDP | UDP | Tutti | ||
| HTTPS(843) | TCP | 8443 | L'ID del gruppo di sicurezza gestito per l'accesso ai servizi in una sottorete privata. | Questa regola consente al cluster manager di comunicare con il nodo primario. |
| Regole in uscita | ||||
| Tutto il traffico | Tutti | Tutti | 0.0.0.0/0 | Fornisce l'accesso in uscita a Internet. |
| Personalizzato TCP | TCP | 9443 | L'ID del gruppo di sicurezza gestito per l'accesso ai servizi in una sottorete privata. | Se la precedente regola in uscita predefinita «Tutto il traffico» viene rimossa, questa regola è un requisito minimo per Amazon EMR 5.30.0 e versioni successive. NotaAmazon EMR non aggiunge questa regola quando utilizzi un gruppo di sicurezza gestito personalizzato. |
| Personalizzato TCP | TCP | 80 (http) o 443 (https) | L'ID del gruppo di sicurezza gestito per l'accesso ai servizi in una sottorete privata. | Se la precedente regola in uscita predefinita «Tutto il traffico» viene rimossa, questa regola è un requisito minimo per Amazon EMR 5.30.0 e versioni successive per connettersi ad Amazon S3 tramite https. NotaAmazon EMR non aggiunge questa regola quando utilizzi un gruppo di sicurezza gestito personalizzato. |
Gruppo EMR di sicurezza gestito da Amazon per istanze core e task (sottoreti private)
Il gruppo di sicurezza gestito predefinito per le istanze core e task nelle sottoreti private ha il nome di gruppo -Core-Private. ElasticMapReduce Il gruppo di sicurezza gestito predefinito ha le seguenti regole e Amazon EMR aggiunge le stesse regole se specifichi un gruppo di sicurezza gestito personalizzato.
| Type | Protocollo | Intervallo porte | Origine | Informazioni |
|---|---|---|---|---|
| Regole in entrata | ||||
| Tutti ICMP - IPV4 | Tutti | N/D | L'ID del gruppo di sicurezza gestito specificato per le istanze principali e di attività. In altre parole, lo stesso gruppo di sicurezza in cui appare la regola. | Tali regole riflessive consentono il traffico in entrata da qualsiasi istanza associata al gruppo di sicurezza specificato. L'utilizzo dell'impostazione predefinita |
| Tutti TCP | TCP | Tutti | ||
| Tutti UDP | UDP | Tutti | ||
| Tutti ICMP - IPV4 | Tutti | N/D | L'ID del gruppo di sicurezza gestito dell'istanza primaria. | Queste regole consentono tutto il ICMP traffico in entrata e il traffico su qualsiasi UDP porta TCP o proveniente da qualsiasi istanza primaria associata al gruppo di sicurezza specificato, anche se le istanze si trovano in cluster diversi. |
| Tutto TCP | TCP | Tutti | ||
| Tutti UDP | UDP | Tutti | ||
| HTTPS(843) | TCP | 8443 | L'ID del gruppo di sicurezza gestito per l'accesso ai servizi in una sottorete privata. | Questa regola consente al cluster manager di comunicare con i nodi principali e di task. |
| Regole in uscita | ||||
| Tutto il traffico | Tutti | Tutti | 0.0.0.0/0 | ConsultaModifica di regole in uscita qui di seguito. |
| Personalizzato TCP | TCP | 80 (http) o 443 (https) | L'ID del gruppo di sicurezza gestito per l'accesso ai servizi in una sottorete privata. | Se la precedente regola in uscita predefinita «Tutto il traffico» viene rimossa, questa regola è un requisito minimo per Amazon EMR 5.30.0 e versioni successive per connettersi ad Amazon S3 tramite https. NotaAmazon EMR non aggiunge questa regola quando utilizzi un gruppo di sicurezza gestito personalizzato. |
Modifica di regole in uscita
Per impostazione predefinita, Amazon EMR crea questo gruppo di sicurezza con regole in uscita che consentono tutto il traffico in uscita su tutti i protocolli e le porte. L'opzione Consenti tutto il traffico in uscita è selezionata perché diverse applicazioni Amazon EMR e per i clienti che possono essere eseguite su EMR cluster Amazon possono richiedere regole di uscita diverse. Amazon non EMR è in grado di anticipare queste impostazioni specifiche durante la creazione di gruppi di sicurezza predefiniti. È possibile definire l'ambito in uscita nei gruppi di sicurezza in modo da includere solo le regole che si adattano ai casi d'uso e alle policy di sicurezza. Questo gruppo di sicurezza richiede almeno le seguenti regole in uscita, ma alcune applicazioni potrebbero richiedere un'uscita aggiuntiva.
| Type | Protocollo | Intervallo porte | Destinazione | Informazioni |
|---|---|---|---|---|
| Tutti TCP | TCP | Tutti | pl-xxxxxxxx |
Elenco dei prefissi Amazon S3 gestiti com.amazonaws.. |
| All Traffic | Tutti | Tutti | sg-xxxxxxxxxxxxxxxxx |
L'ID del gruppo di sicurezza ElasticMapReduce-Core-Private. |
| All Traffic | Tutti | Tutti | sg-xxxxxxxxxxxxxxxxx |
L'ID del gruppo di sicurezza ElasticMapReduce-Primary-Private. |
| Personalizzato TCP | TCP | 9443 | sg-xxxxxxxxxxxxxxxxx |
L'ID del gruppo di sicurezza ElasticMapReduce-ServiceAccess. |
Gruppo EMR di sicurezza gestito da Amazon per l'accesso ai servizi (sottoreti private)
Il gruppo di sicurezza gestito predefinito per l'accesso al servizio nelle sottoreti private ha il nome del gruppo di -. ElasticMapReduce ServiceAccess Dispone di regole in entrata e regole in uscita che consentono il trasferimento del traffico HTTPS (porta 8443, porta 9443) verso altri gruppi di sicurezza gestiti nelle sottoreti private. Tali regole consentono al cluster manager di comunicare con il nodo primario e con i nodi principale e attività. Le stesse regole sono necessarie se si utilizzano gruppi di sicurezza personalizzati.
| Type | Protocollo | Intervallo porte | Origine | Informazioni |
|---|---|---|---|---|
| Regole in entrata obbligatorie per EMR i cluster Amazon con Amazon EMR release 5.30.0 e successive. | ||||
| Personalizzato TCP | TCP | 9443 | L'ID del gruppo di sicurezza gestito dell'istanza primaria. |
Questa regola consente la comunicazione tra il gruppo di sicurezza dell'istanza primaria e il gruppo di sicurezza di accesso al servizio. |
| Regole in uscita Obbligatorie per tutti i cluster Amazon EMR | ||||
| Personalizzato TCP | TCP | 8443 | L'ID del gruppo di sicurezza gestito dell'istanza primaria. |
Tali regole consentono al cluster manager di comunicare con il nodo primario e con i nodi principale e attività. |
| Personalizzato TCP | TCP | 8443 | L'ID del gruppo di sicurezza gestito specificato per le istanze principali e di attività. |
Tali regole consentono al cluster manager di comunicare con il nodo primario e con i nodi principale e attività. |
