セキュリティグループを使用してネットワークトラフィックを制御する - Amazon EMR

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティグループを使用してネットワークトラフィックを制御する

セキュリティグループは、クラスター内の EC2 インスタンスの仮想ファイアウォールとして機能し、インバウンドトラフィックとアウトバウンドトラフィックをコントロールします。各セキュリティグループには、インバウンドトラフィックをコントロールする一連のルールと、アウトバウンドトラフィックをコントロールする別個の一連のルールがあります。詳細については、「Amazon EC2 Linux インスタンス用ユーザーガイド」の「Linux インスタンス用 Amazon EC2 セキュリティグループ」を参照してください。

Amazon EMR では 2 つのクラスのセキュリティグループ (セキュリティグループ) を使用します。Amazon EMR が管理するセキュリティグループとその他のセキュリティグループ

すべてのクラスターにはマネージドセキュリティグループが関連付けられています。Amazon EMR が作成するデフォルトのマネージドセキュリティグループを使用するか、カスタムマネージドセキュリティグループを指定できます。どちらの場合でも、クラスターがクラスターインスタンスと AWS のサービス間で通信するために必要なルールが Amazon EMR によってマネージドセキュリティグループに自動的に追加されます。

追加セキュリティグループはオプションです。マネージドセキュリティグループに加えて、それらを指定して、クラスターインスタンスへのアクセスを調整できます。追加のセキュリティグループには、定義したルールのみが含まれます。Amazon EMR はそれらを変更しません。

Amazon EMR がマネージドセキュリティグループで作成するルールでは、クラスターは内部コンポーネント間で通信できます。ユーザーおよびアプリケーションがクラスター外からクラスターにアクセスできるようにするには、マネージドセキュリティグループでルールを編集するか、追加のルールを持つ追加のセキュリティグループを作成するか、または両方を実行できます。

重要

マネージドセキュリティグループでルールを編集すると、意図しない結果になることがあります。クラスターが正しく動作するために必要なトラフィックを意図せずにブロックする可能性があり、ノードに到達できないためエラーが発生します。実装の前にセキュリティグループ設定を注意深く計画してテストしてください。

クラスターを作成するときは、セキュリティグループのみを指定できます。クラスターの実行中は、クラスターまたはクラスターインスタンスに追加できませんが、既存のセキュリティグループからルールを編集、追加および削除できます。ルールを保存するとすぐに有効になります。

デフォルトでは、セキュリティグループは制限されています。トラフィックを許可するルールが追加されていない限り、トラフィックは拒否されます。同じトラフィックと同じソースに適用されるルールが複数ある場合、最も許容度の大きいルールが適用されます。たとえば、IP アドレス 192.0.2.12/32 からの SSH を許可するルールと、IP アドレス範囲 192.0.2.0/24 からのすべての TCP トラフィックへのアクセスを許可する別のルールがある場合、192.0.2.12 を含む範囲からのすべての TCP トラフィックを許可するルールが優先されます。この場合、192.0.2.12 のクライアントには、意図した以上のアクセスがある場合があります。

重要

セキュリティグループルールを編集してポートを開く場合は注意が必要です。ワークロードの実行に必要なプロトコルとポートについて、信頼できる認証されたクライアントからのトラフィックのみを許可するルールを必ず追加してください。

ルールの例外のリストに追加していない任意のポートでパブリックアクセスを許可する場合は、使用する各リージョンでクラスターの作成を禁止するように、Amazon EMR のパブリックアクセスブロックを設定できます。2019 年 7 月以降に作成された AWS アカウントの場合、Amazon EMR のパブリックアクセスブロックはデフォルトでオンになっています。2019 年 7 月より前に作成された AWS アカウントの場合、Amazon EMR のパブリックアクセスブロックはデフォルトでオフになっています。詳細については、「Amazon EMR のパブリックアクセスブロックの使用」を参照してください。