セキュリティグループを使用してネットワークトラフィックを制御する - Amazon EMR

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティグループを使用してネットワークトラフィックを制御する

セキュリティグループは、クラスター内の EC2 インスタンスの仮想ファイアウォールとして機能し、インバウンドトラフィックとアウトバウンドトラフィックをコントロールします。各セキュリティグループには、インバウンドトラフィックをコントロールする一連のルールと、アウトバウンドトラフィックをコントロールする別個の一連のルールがあります。詳細については、「」を参照してください。Linux インスタンス用の Amazon EC2 Amazon セキュリティグループ()Linux インスタンス用 Amazon EC2 ユーザーガイド

Amazon EMR では 2 つのクラスのセキュリティグループを使用します。Amazon EMR が管理するセキュリティグループおよび追加のセキュリティグループ

すべてのクラスターにはマネージドセキュリティグループが関連付けられています。デフォルトのマネージドセキュリティグループを使用するか、カスタムのマネージドセキュリティグループを指定できます。どちらの場合でも、Amazon EMR は、クラスターがクラスターインスタンスと AWS のサービス間で通信するために必要なルールを、マネージドセキュリティグループに自動的に追加します。

追加セキュリティグループはオプションです。マネージドセキュリティグループに加えて、それらを指定して、クラスターインスタンスへのアクセスを調整できます。追加セキュリティグループには、定義したルールのみが含まれます。Amazon EMR はこれらを変更しません。

Amazon EMR がマネージドセキュリティグループで作成するルールでは、クラスターは内部コンポーネント間で通信できます。ユーザーおよびアプリケーションがクラスター外からクラスターにアクセスできるようにするには、マネージドセキュリティグループでルールを編集するか、追加のルールを持つ追加のセキュリティグループを作成するか、または両方を実行できます。

重要

マネージドセキュリティグループでルールを編集すると、意図しない結果になることがあります。クラスターが正しく動作するために必要なトラフィックを意図せずにブロックする可能性があり、ノードに到達できないためエラーが発生します。実装の前にセキュリティグループ設定を注意深く計画してテストしてください。

クラスターを作成するときは、セキュリティグループのみを指定できます。クラスターの実行中は、クラスターまたはクラスターインスタンスに追加できませんが、既存のセキュリティグループからルールを編集、追加および削除できます。ルールを保存するとすぐに有効になります。

デフォルトでは、セキュリティグループは制限されています。トラフィックを許可するルールが追加されていない限り、トラフィックは拒否されます。同じトラフィックと同じソースに適用されるルールが複数ある場合、最も許容度の大きいルールが適用されます。たとえば、IP アドレス 192.0.2.12/32 からの SSH を許可するルールと、IP アドレス範囲 192.0.2.0/24 からのすべての TCP トラフィックへのアクセスを許可する別のルールがある場合、192.0.2.12 を含む範囲からのすべての TCP トラフィックを許可するルールが優先されます。この場合、192.0.2.12 のクライアントには、意図した以上のアクセスがある場合があります。

セキュリティグループのルールを編集するときには注意が必要です。必要なプロトコルとポートには、必ず信頼済みクライアントからのトラフィックのみを許可するルールを追加してください。パブリックアクセス、つまり IPv4 0.0.0.0/0 または IPv6 ::/0 として指定されたソースからのトラフィックを許可するインバウンドルールはお勧めしません。Amazon EMR のパブリックアクセスブロックは、使用する各リージョンで設定して、例外のリストに追加していないポートでのパブリックアクセスをルールで許可する場合は、クラスターの作成を禁止することができます。2019 年 7 月以降に作成された AWS アカウントの場合、Amazon EMR ブロックパブリックアクセスはデフォルトでオンになっています。2019 年 7 月より前に作成された AWS アカウントの場合、Amazon EMR のパブリックアクセスブロックはデフォルトでオフになっています。詳細については、「Amazon EMR のパブリックアクセスの使用」を参照してください。