Amazon EMR の使用によるパブリックアクセスブロックの使用 - Amazon EMR

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EMR の使用によるパブリックアクセスブロックの使用

Amazon EMR のパブリックアクセスブロックにより、クラスターに関連付けられているセキュリティグループに、ポートで IPv4 0.0.0.0/0 または IPv6። /0 (パブリックアクセス) からのインバウンドトラフィックを許可するルールがある場合に、パブリックサブネットのクラスターの起動が禁止されます (ポートが例外として指定されている場合を除く)。ポート 22 は、デフォルトで例外になります。ポートまたはポートの範囲でパブリックアクセスを許可するように例外を設定できます。パブリックアクセスをブロックすることは、プライベートサブネットでは有効になりません。

パブリックアクセスのブロックは、各AWSリージョンAWSアカウント. つまり、各リージョンで、そのリージョンのアカウントによって作成されるすべてのクラスターで、パブリックアクセスをブロックできます。

重要

アカウントのパブリックアクセスのブロックをオフにすることはお勧めしません。

パブリックアクセスのブロックは、クラスターの作成時にのみ適用されます。パブリックアクセスをブロックしても、適切なアクセス許可を持つ IAM プリンシパルがセキュリティグループ設定を更新して実行中のクラスターでパブリックアクセスを許可することはブロックされません。

ブロックパブリックアクセスは、リージョン内の Amazon EMR クラスターへのパブリックネットワークアクセスを一元的に管理するのに役立つアカウントレベルの設定です。アカウントユーザーがブロックパブリックアクセス設定を有効にしたリージョンでクラスターを起動すると、Amazon EMR は設定で定義されたポートルールをチェックし、クラスターに関連付けられたセキュリティグループで指定されたインバウンドトラフィックルールと比較します。これらのセキュリティグループにパブリック IP アドレスへのポートを開くインバウンドルールがあり、これらのポートがブロックパブリックアクセス設定で例外として設定されていない場合、Amazon EMR はクラスターの作成に失敗し、ユーザーに例外を送信します。

アカウントのセキュリティグループとブロックパブリックアクセス設定は、いつでも更新できます。Amazon EMR は、このような更新の後、すでに実行中のクラスターをブロックパブリックアクセス設定に照らしてチェックせず、すでに実行中のクラスターは失敗しません。

Amazon EMR ブロックパブリックアクセスは、以下のリージョンで利用できます。

  • 米国東部 (バージニア北部) - us-east-1

  • 米国東部 (オハイオ) - us-east-2

  • ヨーロッパ (ストックホルム)-eu-north-1

  • アジアパシフィック (ムンバイ)-ap-south-1

  • 欧州 (パリ)-eu-west-3

  • ヨーロッパ (アイルランド)-eu-west-1

  • 欧州 (フランクフルト)-eu-central-1

  • 南米 (サンパウロ)-sa-east-1

  • アジアパシフィック (ソウル)-ap-northeast-2

  • 欧州 (ロンドン)-eu-west-2

  • アジアパシフィック (東京) - ap-northeast-1

  • 米国東部 (オレゴン) - us-west-2

  • 米国西部 (北カリフォルニア)-us-west-1

  • アジアパシフィック (シンガポール)-ap-southeast-1

  • アジアパシフィック (シドニー) - ap-southeast-2

  • カナダ (中部)-ca-central-1

パブリックアクセスブロックの設定

パブリックアクセスのためのブロック設定を有効または無効にするには、AWS Management Consoleとすると、AWS CLI、および Amazon EMR API から入手できます。設定はリージョンごとにアカウント全体に適用されます。クラスターのセキュリティを維持するには、BPA を有効にしておくことをお勧めします。

  1. で Amazon EMR コンソールを開きます。https://console.aws.amazon.com/elasticmapreduce/

  2. ナビゲーションバーの [Region (リージョン)] で、設定するリージョンが選択されていることを確認します。

  3. [Block public access (パブリックアクセスブロック)] を選択します。

  4. [Block public access settings (パブリックアクセスブロック設定)] で、以下の手順を実行します。

    目的 操作

    パブリックアクセスブロックをオンまたはオフにする

    [変更] を選択し、必要に応じて [オン] または [オフ] を選択してから、チェックマークを選択して確定します。

    例外のリスト内のポートを編集する

    1. [例外] で、[Edit (編集)] を選択します。

    2. 例外のリストにポートを追加するには、[Add a port range (ポート範囲の追加)] を選択し、新しいポートまたはポート範囲を入力します。追加するポートまたはポート範囲ごとにこの操作を繰り返します。

    3. ポートまたはポート範囲を削除するには、[ポート範囲] リストのそのエントリの横にある [x] を選択します。

    4. [Save Changes] を選択します。

以下の例に示すように、aws emr put-block-public-access-configuration コマンドを使用して、パブリックアクセスブロックを設定します。

目的 操作

パブリックアクセスブロックをオンにする

以下の例に示すように、BlockPublicSecurityGroupRulestrue に設定します。クラスターを起動するには、クラスターに関連付けられているセキュリティグループのインバウンドルールで、パブリックアクセスを許可できません。

aws emr put-block-public-access-configuration --block-public-access-configuration BlockPublicSecurityGroupRules=true

パブリックアクセスブロックをオフにする

以下の例に示すように、BlockPublicSecurityGroupRulesfalse に設定します。クラスターに関連付けられているセキュリティグループのインバウンドルールで、任意のポートでのパブリックアクセスを許可できます。この設定はお勧めしません。

aws emr put-block-public-access-configuration --block-public-access-configuration BlockPublicSecurityGroupRules=false

パブリックアクセスブロックをオンにし、例外とするポートを指定する

以下の例では、パブリックアクセスブロックを有効にし、例外としてポート 22 とポート 100 〜 101 を指定しています。これにより、関連付けられているセキュリティグループのインバウンドルールで、ポート 22、ポート 100、またはポート 101 でのパブリックアクセスを許可している場合は、クラスターを作成できます。

aws emr put-block-public-access-configuration --block-public-access-configuration '{ "BlockPublicSecurityGroupRules": true, "PermittedPublicSecurityGroupRuleRanges": [ { "MinRange": 22, "MaxRange": 22 }, { "MinRange": 100, "MaxRange": 101 } ] }'