Configurazioni di sicurezza Protezione dei dati AWS Identity and Access Management con Amazon EMR Kerberos Lake Formation Secure Socket Shell (SSH)Gruppi di sicurezza Amazon EC2 Aggiornamenti per l'AMI predefinita di Amazon Linux

Sicurezza in Amazon EMR

Per AWS, la sicurezza del cloud ha la massima priorità. In quanto cliente AWS, è possibile trarre vantaggio da un'architettura di data center e di rete progettata per soddisfare i requisiti delle organizzazioni più esigenti a livello di sicurezza.

La sicurezza è una responsabilità condivisa tra te e AWS. Il modello di responsabilità condivisa descrive questo come sicurezza del cloud e sicurezza nel cloud:

La sicurezza del cloud: AWS è responsabile della protezione dell'infrastruttura che esegue i servizi AWS nel cloud AWS. AWS fornisce inoltre servizi che puoi utilizzare in sicurezza. I revisori di terze parti testano e verificano regolarmente l'efficacia della sicurezza come parte dei programmi di conformità AWS. Per ulteriori informazioni sui programmi di conformità che si applicano ad Amazon EMR, consulta Servizi AWS coperti dal programma di conformità.
Sicurezza nel cloud: la tua responsabilità è determinata dal servizio AWS che utilizzi. Inoltre, sei responsabile anche di altri fattori, tra cui la riservatezza dei dati, i requisiti dell'azienda e le leggi e le normative applicabili.

La presente documentazione aiuta a comprendere come applicare il modello di responsabilità condivisa quando si utilizza Amazon EMR. Quando sviluppi soluzioni su Amazon EMR, utilizza le seguenti tecnologie per proteggere le risorse e i dati del cluster in base ai requisiti aziendali. Gli argomenti in questo capitolo mostrano come configurare Amazon EMR e utilizzare altri servizi AWS per soddisfare gli obiettivi di sicurezza e conformità.

Configurazioni di sicurezza

Le configurazioni di sicurezza in Amazon EMR sono modelli per impostazioni di sicurezza diverse. Puoi creare una configurazione di sicurezza per riutilizzare in modo pratico un'impostazione di sicurezza ogni volta che crei un cluster. Per ulteriori informazioni, consulta Utilizzo delle configurazioni di sicurezza per impostare la sicurezza del cluster.

Protezione dei dati

Puoi implementare la crittografia dei dati per proteggere i dati a riposo in Amazon S3, i dati a riposo nell'archiviazione delle istanze del cluster e i dati in transito. Per ulteriori informazioni, consulta Crittografia dei dati a riposo e in transito.

AWS Identity and Access Management con Amazon EMR

AWS Identity and Access Management (IAM) è un servizio AWS che consente agli amministratori di controllare in modo sicuro l'accesso alle risorse AWS. Gli amministratori IAM controllano chi è authenticated (autenticato) (accesso effettuato) e authorized (autorizzato) (dispone di autorizzazioni) a utilizzare risorse Amazon EMR. IAM è un servizio AWS che è possibile utilizzare senza alcun costo aggiuntivo.

Policy IAM basate su identità: le policy IAM concedono o negano a utenti e gruppi le autorizzazioni per eseguire operazioni. Le policy possono essere combinate con le funzionalità di tagging per controllare gli accessi cluster per cluster. Per ulteriori informazioni, consulta AWS Identity and Access Management per Amazon EMR.
Ruoli IAM: il ruolo di servizio Amazon EMR, il profilo dell'istanza e il ruolo collegato ai servizi controllano come Amazon EMR può accedere ad altri servizi AWS. Per ulteriori informazioni, consulta Configurazione dei ruoli di servizio IAM per le autorizzazioni di Amazon EMR per i servizi e risorse AWS.
Ruoli IAM per le richieste EMRFS ad Amazon S3: quando Amazon EMR accede ad Amazon S3, puoi specificare il ruolo IAM da utilizzare in funzione dell'utente, del gruppo o della posizione dei dati EMRFS in Amazon S3. Questo consente di controllare in modo preciso se gli utenti del cluster possono accedere ai file da Amazon EMR. Per ulteriori informazioni, consulta Configurazione di ruoli IAM per le richieste EMRFS ad Amazon S3.

Kerberos

Puoi configurare Kerberos per fornire un'autenticazione efficace tramite crittografia con chiave segreta. Per ulteriori informazioni, consulta Utilizzo di Kerberos per l'autenticazione con Amazon EMR.

Lake Formation

Puoi utilizzare le autorizzazioni Lake Formation insieme ad AWS Glue Data Catalog per fornire accesso granulare a livello di colonna a database e tabelle in AWS Glue Data Catalog. Lake Formation consente l'accesso federato single sign-on ai EMR Notebooks o Apache Zeppelin da un sistema di identità aziendale. Per ulteriori informazioni, consulta Integrazione di Amazon EMR con AWS Lake Formation.

Secure Socket Shell (SSH)

SSH consente di utilizzare un modo sicuro per connettersi alla riga di comando sulle istanze di cluster. Fornisce inoltre il tunneling per visualizzare le interfacce Web che le applicazioni ospitano sul nodo master. I clienti possono eseguire l'autenticazione utilizzando Kerberos o una coppia di chiavi Amazon EC2. Per ulteriori informazioni, consulta Utilizzo di una coppia di chiavi EC2 per le credenziali SSH e Connessione a un cluster.

Gruppi di sicurezza Amazon EC2

I gruppi di sicurezza agiscono come firewall virtuale per le istanze di cluster EMR, limitando il traffico di rete in entrata e in uscita. Per ulteriori informazioni, consulta Controllo del traffico di rete con gruppi di sicurezza.

Aggiornamenti per l'AMI predefinita di Amazon Linux per Amazon EMR

Importante

I cluster Amazon EMR che eseguono le AMI (Amazon Linux Machine Images) Amazon Linux o Amazon Linux 2 utilizzano il comportamento predefinito di Amazon Linux e non scaricano e installano automaticamente aggiornamenti importanti e critici dei kernel che richiedono un riavvio. Si tratta dello stesso comportamento assunto da altre istanze Amazon EC2 che eseguono l'AMI predefinita di Amazon Linux. Se nuovi aggiornamenti software Amazon Linux che richiedono un riavvio (ad esempio, aggiornamenti del kernel, NVIDIA e CUDA) risultano disponibili dopo il rilascio di una versione di Amazon EMR, le istanze del cluster Amazon EMR che eseguono l'AMI predefinita non scaricano e installano automaticamente tali aggiornamenti. Per ottenere gli aggiornamenti del kernel, puoi personalizzare l'AMI di Amazon EMR per utilizzare l'AMI di Amazon Linux più recente.

A seconda dell'assetto di sicurezza dell'applicazione e la durata di esecuzione di un cluster, è possibile scegliere di riavviare periodicamente il cluster per applicare gli aggiornamenti di sicurezza, oppure creare un'operazione di bootstrap per personalizzare l'installazione dei pacchetti e degli aggiornamenti. È anche possibile scegliere di provare e quindi installare determinati aggiornamenti di sicurezza sulle istanze del cluster in esecuzione. Per ulteriori informazioni, consulta Utilizzo dell'AMI Amazon Linux predefinita per Amazon EMR. Tieni presente che la tua configurazione di rete deve consentire l'uscita HTTP e HTTPS ai repository Amazon Linux in Amazon S3, altrimenti gli aggiornamenti della sicurezza non avranno esito positivo.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzo degli strumenti di Business Intelligence con Amazon EMR

Utilizzo delle configurazioni di sicurezza per impostare la sicurezza del cluster