Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sicurezza in Amazon EMR
La sicurezza e la conformità sono una responsabilità che condividi AWS. Questo modello di responsabilità condivisa può contribuire ad alleggerire l'onere operativo in quanto AWS gestisce, gestisce e controlla i componenti, dal sistema operativo host e dal livello di virtualizzazione fino alla sicurezza fisica delle strutture in cui operano EMR i cluster. Ti assumi la responsabilità, la gestione e l'aggiornamento dei EMR cluster Amazon, nonché la configurazione del software applicativo e i controlli di sicurezza AWS forniti. Questa differenziazione di responsabilità viene comunemente definita sicurezza del cloud rispetto alla sicurezza nel cloud.
-
Sicurezza del cloud: AWS è responsabile della protezione dell'infrastruttura in esecuzione Servizi AWS . AWS AWS ti offre anche servizi che puoi utilizzare in modo sicuro. I revisori di terze parti testano e verificano regolarmente l'efficacia della sicurezza come parte dei programmi di conformitàAWS
. Per maggiori informazioni sui programmi di conformità applicabili ad AmazonEMR, consulta Servizi AWS la sezione Ambito per programma di conformità . -
Sicurezza nel cloud: sei anche responsabile dell'esecuzione di tutte le attività di configurazione e gestione della sicurezza necessarie per proteggere un EMR cluster Amazon. I clienti che distribuiscono un EMR cluster Amazon sono responsabili della gestione del software applicativo installato sulle istanze e della configurazione delle funzionalità AWS fornite, come i gruppi di sicurezza, la crittografia e il controllo degli accessi, in base ai requisiti, alle leggi e ai regolamenti applicabili.
Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa quando usi AmazonEMR. Gli argomenti di questo capitolo mostrano come configurare Amazon EMR e utilizzarne altri Servizi AWS per raggiungere i tuoi obiettivi di sicurezza e conformità.
Sicurezza della rete e dell'infrastruttura
In quanto servizio gestito, Amazon EMR è protetto dalle procedure di sicurezza di rete AWS globali descritte nel white paper Amazon Web Services: panoramica dei processi di sicurezza
-
I gruppi EC2 di sicurezza di Amazon fungono da firewall virtuale per le istanze di EMR cluster Amazon, limitando il traffico di rete in entrata e in uscita. Per ulteriori informazioni, consulta Controllare il traffico di rete con gruppi di sicurezza.
-
Amazon EMR block public access (BPA) ti impedisce di avviare un cluster in una sottorete pubblica se il cluster ha una configurazione di sicurezza che consente il traffico in entrata da indirizzi IP pubblici su una porta. Per ulteriori informazioni, consulta Using Amazon EMR block public access.
-
Secure Shell (SSH) aiuta a fornire agli utenti un modo sicuro per connettersi alla riga di comando sulle istanze del cluster. È inoltre possibile utilizzare SSH per visualizzare le interfacce Web ospitate dalle applicazioni sul nodo master di un cluster. Per ulteriori informazioni, consulta Use an EC2 key pair for SSH credenziali e Connect to a cluster.
Aggiornamenti alla versione predefinita di Amazon Linux AMI per Amazon EMR
Importante
EMRi cluster che eseguono Amazon Linux o Amazon Linux 2 Amazon Machine Images (AMIs) utilizzano il comportamento predefinito di Amazon Linux e non scaricano e installano automaticamente aggiornamenti del kernel importanti e critici che richiedono un riavvio. Questo è lo stesso comportamento delle altre EC2 istanze Amazon che eseguono Amazon Linux AMI predefinito. Se nuovi aggiornamenti software di Amazon Linux che richiedono un riavvio (ad esempio kernel e CUDA aggiornamenti) diventano disponibili dopo la disponibilità di una EMR versione di Amazon, le istanze EMR cluster che eseguono l'impostazione predefinita AMI non scaricano e installano automaticamente tali aggiornamenti. NVIDIA Per ottenere gli aggiornamenti del kernel, puoi personalizzare Amazon EMR AMI per utilizzare la versione più recente di Amazon Linux AMI.
A seconda dell'assetto di sicurezza dell'applicazione e la durata di esecuzione di un cluster, è possibile scegliere di riavviare periodicamente il cluster per applicare gli aggiornamenti di sicurezza, oppure creare un'operazione di bootstrap per personalizzare l'installazione dei pacchetti e degli aggiornamenti. È anche possibile scegliere di provare e quindi installare determinati aggiornamenti di sicurezza sulle istanze del cluster in esecuzione. Per ulteriori informazioni, consulta Utilizzo della versione predefinita di Amazon Linux AMI per Amazon EMR. Tieni presente che la configurazione di rete deve consentire l'HTTPSingresso HTTP e l'uscita verso i repository Linux in Amazon S3, altrimenti gli aggiornamenti di sicurezza non avranno esito positivo.
AWS Identity and Access Management con Amazon EMR
AWS Identity and Access Management (IAM) è un AWS servizio che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. IAMgli amministratori controllano chi può essere autenticato (effettuato l'accesso) e autorizzato (disporre delle autorizzazioni) a utilizzare le risorse Amazon. EMR IAMle identità includono utenti, gruppi e ruoli. Un IAM ruolo è simile a un IAM utente, ma non è associato a una persona specifica e deve essere assunto da qualsiasi utente che necessiti di autorizzazioni. Per ulteriori informazioni, AWS Identity and Access Management consulta Amazon EMR. Amazon EMR utilizza più IAM ruoli per aiutarti a implementare i controlli di accesso per EMR i cluster Amazon. IAMè un AWS servizio che puoi utilizzare senza costi aggiuntivi.
-
IAMrole for Amazon EMR (EMRrole): controlla in che modo il EMR servizio Amazon è in grado di accedere ad altri utenti per tuo Servizi AWS conto, ad esempio il provisioning EC2 delle istanze Amazon all'avvio del EMR cluster Amazon. Per ulteriori informazioni, consulta Configurare i ruoli IAM di servizio per EMR le autorizzazioni Servizi AWS e le risorse di Amazon.
-
IAMruolo per EC2 le istanze del cluster (profilo dell'EC2istanza): un ruolo assegnato a ogni EC2 istanza del EMR cluster Amazon all'avvio dell'istanza. I processi applicativi eseguiti sul cluster utilizzano questo ruolo per interagire con altri Servizi AWS, come Amazon S3. Per ulteriori informazioni, consulta IAMil ruolo per le EC2 istanze del cluster.
-
IAMruolo per le applicazioni (ruolo di runtime): un IAM ruolo che puoi specificare quando invii un lavoro o una query a un EMR cluster Amazon. Il job o la query che invii al tuo EMR cluster Amazon utilizza il ruolo di runtime per accedere alle AWS risorse, come gli oggetti in Amazon S3. Puoi specificare ruoli di runtime con Amazon EMR for Spark e Hive job. Utilizzando i ruoli di runtime, puoi isolare i lavori in esecuzione sullo stesso cluster utilizzando ruoli diversi. IAM Per ulteriori informazioni, consulta Usare IAM il ruolo come ruolo di runtime con Amazon EMR.
Le identità della forza lavoro si riferiscono agli utenti che creano o gestiscono carichi di lavoro in. AWS Amazon EMR fornisce supporto per le identità della forza lavoro con quanto segue:
-
AWS IAMidentity center (Idc) è consigliato Servizio AWS per gestire l'accesso degli utenti alle risorse. AWS È un unico posto in cui è possibile assegnare le identità della forza lavoro e accedere in modo coerente a più AWS account e applicazioni. Amazon EMR supporta le identità della forza lavoro tramite una propagazione affidabile delle identità. Grazie alla funzionalità affidabile di propagazione delle identità, un utente può accedere all'applicazione e tale applicazione può passare l'identità dell'utente ad altri Servizi AWS per autorizzare l'accesso a dati o risorse. Per ulteriori informazioni, consulta la sezione Attivazione del supporto per il centro di AWS IAM identità con Amazon EMR.
Lightweight Directory Access Protocol (LDAP) è un protocollo applicativo aperto, indipendente dal fornitore e standard di settore per l'accesso e la gestione delle informazioni su utenti, sistemi, servizi e applicazioni sulla rete. LDAPè comunemente usato per l'autenticazione degli utenti su server di identità aziendali come Active Directory (AD) e Open. LDAP L'attivazione LDAP con EMR i cluster consente agli utenti di utilizzare le credenziali esistenti per autenticarsi e accedere ai cluster. Per ulteriori informazioni, consulta la pagina relativa all'attivazione del supporto LDAP con Amazon EMR.
Kerberos è un protocollo di autenticazione di rete progettato per fornire un'autenticazione avanzata per le applicazioni client/server utilizzando la crittografia a chiave segreta. Quando usi Kerberos, Amazon EMR configura Kerberos per le applicazioni, i componenti e i sottosistemi che installa nel cluster in modo che siano autenticati tra loro. Per accedere a un cluster con Kerberos configurato, un principale kerberos deve essere presente nel controller di dominio Kerberos (). KDC Per ulteriori informazioni, consulta Abilitazione del supporto per Kerberos con Amazon. EMR
Cluster single-tenant e multi-tenant
Per impostazione predefinita, un cluster è configurato per una singola tenancy con il EC2 profilo di istanza come identità. IAM In un cluster single-tenant, ogni job ha accesso completo e completo al cluster e l'accesso a tutte le Servizi AWS risorse viene effettuato sulla base del profilo dell'EC2istanza. In un cluster multi-tenant, i tenant sono isolati gli uni dagli altri e non hanno accesso completo ai cluster e alle istanze del cluster. EC2 L'identità nei cluster multi-tenant è rappresentata dai ruoli di runtime o dagli identificativi della forza lavoro. In un cluster multi-tenant, puoi anche abilitare il supporto per il controllo granulare degli accessi () tramite o Apache Ranger. FGAC AWS Lake Formation Un cluster con ruoli di runtime o FGAC abilitato, l'accesso al profilo EC2 Instance viene disabilitato anche tramite iptables.
Importante
Tutti gli utenti che hanno accesso a un cluster single-tenant possono installare qualsiasi software sul sistema operativo Linux (OS), modificare o rimuovere i componenti software installati da Amazon EMR e influire sulle EC2 istanze che fanno parte del cluster. Se vuoi assicurarti che gli utenti non possano installare o modificare le configurazioni di un EMR cluster Amazon, ti consigliamo di abilitare la multi-tenancy per il cluster. Puoi abilitare la multi-tenancy su un cluster abilitando il supporto per runtime role, AWS IAM identity center, Kerberos o. LDAP
Protezione dei dati
Con AWS, puoi controllare i tuoi dati utilizzando Servizi AWS strumenti per determinare in che modo i dati sono protetti e chi può accedervi. Servizi come AWS Identity and Access Management (IAM) consentono di gestire in modo sicuro l'accesso Servizi AWS e le risorse. AWS CloudTrail consente il rilevamento e il controllo. Amazon EMR semplifica la crittografia dei dati inattivi in Amazon S3 utilizzando chiavi gestite o gestite completamente AWS da te. Amazon supporta EMR anche l'abilitazione della crittografia per i dati in transito. Per ulteriori informazioni, consulta crittografare i dati a riposo e in transito.
Controllo dell'accesso ai dati
Con il controllo dell'accesso ai dati, puoi controllare a quali dati può accedere un'IAMidentità o un'identità della forza lavoro. Amazon EMR supporta i seguenti controlli di accesso:
-
IAMpolitiche basate sull'identità: gestisci le autorizzazioni per i IAM ruoli che utilizzi con Amazon. EMR IAMle politiche possono essere combinate con l'etichettatura per controllare l'accesso su base individuale. cluster-by-cluster Per ulteriori informazioni, AWS Identity and Access Management consulta Amazon EMR.
-
AWS Lake Formationcentralizza la gestione delle autorizzazioni dei dati e ne semplifica la condivisione all'interno dell'organizzazione e all'esterno. Puoi usare Lake Formation per abilitare un accesso granulare a livello di colonna a database e tabelle nel Glue Data Catalog. AWS Per ulteriori informazioni, consulta Utilizzo AWS Lake Formation con Amazon EMR.
-
L'accesso ad Amazon S3 concede identità di mappe, identità di mappe in directory come Active Directory o AWS Identity and Access Management (IAM) principal, ai set di dati in S3. Inoltre, l'accesso S3 garantisce l'identità dell'utente finale del registro e l'applicazione utilizzata per accedere ai dati S3 in. AWS CloudTrail Per ulteriori informazioni, consulta Usare le concessioni di accesso di Amazon S3 con Amazon. EMR
-
Apache Ranger è un framework per abilitare, monitorare e gestire una sicurezza completa dei dati su tutta la piattaforma Hadoop. Amazon EMR supporta il controllo granulare degli accessi basato su Apache Ranger per Apache Hive Metastore e Amazon S3. Per ulteriori informazioni, consulta Integrare Apache Ranger con Amazon. EMR