接続する前に: インバウンドトラフィックを承認する - Amazon EMR

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

接続する前に: インバウンドトラフィックを承認する

Amazon EMR クラスターに接続する前に、コンピュータの IP アドレスなどの、信頼できるクライアントからのインバウンド SSH トラフィック (ポート 22) を承認する必要があります。これを行うには、接続先のノードのマネージドセキュリティグループルールを編集します。例えば、次の手順は、デフォルトの ElasticMapReduceマスターセキュリティグループに SSH アクセスのインバウンドルールを追加する方法を示しています。

Amazon EMR でセキュリティグループを使用する詳細については、「セキュリティグループを使用してネットワークトラフィックを制御する」を参照してください。

New console
新しいコンソールを使用して、信頼できるソースにプライマリセキュリティグループへの SSH アクセス許可を付与するには

セキュリティグループを編集するには、クラスターが存在する VPC のセキュリティグループを管理する権限が必要です。詳細については、「IAM ユーザーガイド」の「IAM ユーザーのアクセス許可の変更」と、EC2 セキュリティグループを管理できるようにする「ポリシーの例」を参照してください。

  1. にサインインし AWS Management Console、https://console.aws.amazon.com/emr で Amazon EMR コンソールを開きます。

  2. 左側のナビゲーションペインの [EMR on EC2][クラスター] を選択し、更新するクラスターを選択します。選択すると、クラスターの詳細ページが開きます。このページの [プロパティ] タブは事前に選択されます。

  3. [プロパティ] タブの [ネットワーク] で、[EC2 セキュリティグループ (ファイアウォール)] の横にある矢印を選択してこのセクションを展開します。[プライマリノード] で、セキュリティグループリンクを選択します。これにより、EC2 コンソールが開きます。

  4. [インバウンドルール] タブを選択してから、[インバウンドルールの編集] を選択します。

  5. 次の設定で、パブリックアクセスを許可するインバウンドルールを確認します。存在する場合は、[Delete] (削除) をクリックして削除します。

    • タイプ

      SSH

    • [ポート]

      22

    • ソース

      Custom 0.0.0.0/0

    警告

    2020 年 12 月以前は、 ElasticMapReduce-master セキュリティグループには、すべてのソースからのインバウンドトラフィックをポート 22 で許可する事前設定済みのルールがありました。このルールは、プライマリノードへの最初の SSH 接続を簡素化するために作成されたものです。このインバウンドルールを削除して、信頼できる送信元のみにトラフィックを制限することを強くお勧めします。

  6. ルールのリストの下部までスクロールし、[Add Rule] (ルールの追加) を選択します。

  7. [Type (タイプ)] で、[SSH] を選択します。SSH を選択すると、[プロトコル][TCP] が、[ポート範囲][22] が自動的に入力されます。

  8. [source] (送信元) には、[My IP] (マイ IP) を選択して、IP アドレスを送信元アドレスとして自動的に追加します。[Custom] (カスタム) で信頼済みクライアントの IP アドレスの範囲を追加することも、他のクライアントに追加のルールを作成することもできます。多くのネットワーク環境では IP アドレスを動的に割り当てるため、将来的に信頼済みクライアントの IP アドレスを更新することが必要になる場合があります。

  9. [保存] を選択します。

  10. 必要に応じてステップ 3 に戻り、[コアノードとタスクノード] を選択し、ステップ 4~8 を繰り返します。これにより、コアノードとタスクノードに SSH によるクライアントアクセス許可が付与されます。

Old console
コンソールを使用して、信頼できるソースにプライマリセキュリティグループへの SSH アクセスを許可するには

セキュリティグループを編集するには、クラスターが存在する VPC のセキュリティグループを管理する権限が必要です。詳細については、「IAM ユーザーガイド」の「IAM ユーザーのアクセス許可の変更」と、EC2 セキュリティグループを管理できるようにする「ポリシーの例」を参照してください。

  1. にサインインし AWS Management Console、https://console.aws.amazon.com/emr で Amazon EMR コンソールを開きます。

  2. [Clusters] を選択します。変更するクラスターの ID を選択します。

  3. ネットワークとセキュリティペインで、EC2 セキュリティグループ (ファイアウォール) ドロップダウンを展開します。

  4. プライマリノード で、セキュリティグループを選択します。

  5. [Edit inbound rules] (インバウンドルールの編集) を選択します。

  6. 次の設定で、パブリックアクセスを許可するインバウンドルールを確認します。存在する場合は、[Delete] (削除) をクリックして削除します。

    • タイプ

      SSH

    • [ポート]

      22

    • ソース

      Custom 0.0.0.0/0

    警告

    2020 年 12 月以前は、すべてのソースからのインバウンドトラフィックをポート 22 で許可する事前設定されたルールがありました。このルールは、プライマリノードへの最初の SSH 接続を簡素化するために作成されたものです。このインバウンドルールを削除して、信頼できる送信元のみにトラフィックを制限することを強くお勧めします。

  7. ルールのリストの下部までスクロールし、[Add Rule] (ルールの追加) を選択します。

  8. [Type (タイプ)] で、[SSH] を選択します。

    SSH を選択すると、[Protocol] (プロトコル) に [TCP] が、[Port Range] (ポート範囲) に [22] が自動的に入力されます。

  9. [source] (送信元) には、[My IP] (マイ IP) を選択して、IP アドレスを送信元アドレスとして自動的に追加します。[Custom] (カスタム) で信頼済みクライアントの IP アドレスの範囲を追加することも、他のクライアントに追加のルールを作成することもできます。多くのネットワーク環境では IP アドレスを動的に割り当てるため、将来的に信頼済みクライアントの IP アドレスを更新することが必要になる場合があります。

  10. [保存] を選択します。

  11. 必要に応じて、ネットワークとセキュリティペインの Core ノードとタスクノードで他のセキュリティグループを選択し、上記のステップを繰り返して、SSH クライアントがコアノードとタスクノードにアクセスできるようにします。