セキュリティグループによるネットワークトラフィックの制御 - Amazon EMR

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティグループによるネットワークトラフィックの制御

セキュリティグループは、クラスター内の EC2 インスタンスの仮想ファイアウォールとして機能し、インバウンドトラフィックとアウトバウンドトラフィックをコントロールします。各セキュリティグループには、インバウンドトラフィックをコントロールする一連のルールと、アウトバウンドトラフィックをコントロールする別個の一連のルールがあります。詳細については、「」を参照してください。Linux インスタンス用の Amazon EC2 セキュリティグループLinux インスタンス用 Amazon EC2 ユーザーガイド

Amazon EMR では 2 つのクラスのセキュリティグループを使用します。Amazon EMR が管理するセキュリティグループおよび追加のセキュリティグループ

すべてのクラスターにはマネージドセキュリティグループが関連付けられています。デフォルトのマネージドセキュリティグループを使用するか、カスタムのマネージドセキュリティグループを指定できます。Amazon EMR は、どちらの場合でも、クラスターがクラスターインスタンスとの間で通信するために必要なルールを自動的にマネージドセキュリティグループに追加します。AWSのサービス。

追加セキュリティグループはオプションです。マネージドセキュリティグループに加えて、それらを指定して、クラスターインスタンスへのアクセスを調整できます。追加のセキュリティグループには、定義したルールのみが含まれます。Amazon EMR はこれらを変更しません。

Amazon EMR がマネージドセキュリティグループで作成するルールでは、クラスターは内部コンポーネント間で通信できます。ユーザーおよびアプリケーションがクラスター外からクラスターにアクセスできるようにするには、マネージドセキュリティグループでルールを編集するか、追加のルールを持つ追加のセキュリティグループを作成するか、または両方を実行できます。

重要

マネージドセキュリティグループでルールを編集すると、意図しない結果になることがあります。クラスターが正しく動作するために必要なトラフィックを意図せずにブロックする可能性があり、ノードに到達できないためエラーが発生します。実装の前にセキュリティグループ設定を注意深く計画してテストしてください。

クラスターを作成するときは、セキュリティグループのみを指定できます。クラスターの実行中は、クラスターまたはクラスターインスタンスに追加できませんが、既存のセキュリティグループからルールを編集、追加および削除できます。ルールを保存するとすぐに有効になります。

デフォルトでは、セキュリティグループは制限されています。トラフィックを許可するルールが追加されていない限り、トラフィックは拒否されます。同じトラフィックと同じソースに適用されるルールが複数ある場合、最も許容度の大きいルールが適用されます。たとえば、IP アドレス 192.0.2.12/32 からの SSH を許可するルールと、IP アドレス範囲 192.0.2.0/24 からのすべての TCP トラフィックへのアクセスを許可する別のルールがある場合、192.0.2.12 を含む範囲からのすべての TCP トラフィックを許可するルールが優先されます。この場合、192.0.2.12 のクライアントには、意図した以上のアクセスがある場合があります。

セキュリティグループのルールを編集するときには注意が必要です。必要なプロトコルとポートには、必ず信頼済みクライアントからのトラフィックのみを許可するルールを追加してください。パブリックアクセス、つまり IPv4 0.0.0.0/0 または IPv6 ::/0 として指定されたソースからのトラフィックを許可するインバウンドルールはお勧めしません。ルールで例外のリストに追加していない任意のポートでパブリックアクセスを許可する場合は、使用する各リージョンでクラスターの作成を禁止するように Amazon EMR のパブリックアクセスブロックを設定できます。を使用する場合AWS2019 年 7 月以降に作成されたアカウントでは、Amazon EMR のパブリックアクセスブロックブロックはデフォルトでオンになっています。を使用する場合AWSアカウントの場合、Amazon EMR のパブリックアクセスブロックはデフォルトでオフになっています。詳細については、「Amazon EMR の使用によるパブリックアクセスブロックの使用」を参照してください。