Amazon EMR のセキュリティ - Amazon EMR

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EMR のセキュリティ

AWS では、クラウドのセキュリティが最優先事項です。AWS のお客様は、セキュリティを非常に重視する組織の要件を満たせるように構築されたデータセンターとネットワークアーキテクチャーから利点を得ます。

セキュリティは、AWS とユーザーの間の共有責任です。共有責任モデルでは、これをクラウドセキュリティおよびクラウドのセキュリティとして説明しています。

  • クラウドのセキュリティ - AWS は、AWS クラウドで AWS サービスを実行するインフラストラクチャを保護する責任を負います。また、AWS は、安全に使用できるサービスを供給します。AWS コンプライアンスプログラムの一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。Amazon EMR に適用されるコンプライアンスプログラムの詳細については、「」AWSコンプライアンスプログラムによる対象範囲内のサービス

  • クラウド内のセキュリティ – お客様の責任は使用する AWS のサービスによって決まります。また、お客様は、お客様のデータの機密性、企業の要件、および適用可能な法律および規制などの他の要因についても責任を担います。

このドキュメントは、Amazon EMR を使用する際の責任共有モデルの適用方法を理解するのに役立ちます。Amazon EMR でソリューションを開発するときは、次のテクノロジーを使用して、ビジネス要件に応じてクラスターリソースとデータを保護します。この章のトピックでは、Amazon EMR を設定し、その他の使用方法を説明します。AWSセキュリティとコンプライアンス目標を達成するためのサービス。

セキュリティ設定

Amazon EMR のセキュリティ設定は、さまざまなセキュリティセットアップのテンプレートです。セキュリティ設定を作成して、クラスターを作成するたびにセキュリティセットアップを簡単に再利用できます。詳細については、「」を参照してくださいセキュリティ構成を使用してクラスターセキュリティを設定する

データ保護

データの暗号化を実装して、Amazon S3 の保管時のデータ、クラスターインスタンスストレージでの保管時のデータ、伝送中のデータを保護できます。詳細については、「」を参照してください保管中と転送中のデータを暗号化する

AWS Identity and Access ManagementAmazon EMR で

AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全にコントロールするために役立つ AWS のサービスです。IAM 管理者は、誰にできるかを制御します。認証済み(サインイン) と承認済みAmazon EMR リソースを使用するには (権限を持つ)。IAM は、AWSのサービスで追加料金は発生しません。

  • IAM アイデンティティベースのポリシー— IAM ポリシーは、IAM ユーザーおよびグループによるアクションの実行を許可または拒否します。ポリシーはタグ付けと組み合わせて、クラスター単位でアクセスをコントロールすることができます。詳細については、「」を参照してくださいAWS Identity and Access ManagementAmazon EMR 用

  • IAM; ロール— Amazon EMR サービスロール、インスタンスプロファイル、サービスにリンクされたロールは、Amazon EMR が他にアクセスする方法を制御します。AWSのサービス。詳細については、「」を参照してくださいAmazon EMR アクセス権限の IAM サービスロールをAWSサービスとリソース

  • Amazon S3 への EMRFS リクエストの IAM ロール— Amazon EMR が Amazon S3 にアクセスする際に、ユーザー、グループ、または Amazon S3 の EMRFS データの場所に基づいて、使用する IAM ロールを指定できます。これにより、クラスターユーザーが Amazon EMR 内からファイルにアクセスできるかどうかを正確に制御できます。詳細については、「」を参照してくださいAmazon S3 への EMRFS リクエストの IAM ロールの設定

Kerberos

Kerberos を設定して、シークレットキーの暗号化を使用して、強力な認証を行うことができます。詳細については、「」を参照してくださいKerberos 認証を使用する

Lake Formation

Lake Formation 権限は、AWSデータカタログをGlue して、内のデータベースとテーブルへのきめ細かな列レベルのアクセスを提供するAWSGlue データカタログ。Lake Formation により、企業の ID システムから EMR ノートブックまたは Apache Zeppelin へのフェデレーションシングルサインオンが可能になります。詳細については、「」を参照してくださいAmazon EMR をとの統合AWS Lake Formation

Secure Socket Shell (SSH)

SSH は、クラスターインスタンスのコマンドラインにユーザーが安全に接続できるようにする上で役立ちます。また、トンネリングを使用して、アプリケーションがマスターノードでホストしているウェブインターフェイスを表示することもできます。クライアント認証には、Kerberos または Amazon EC2 のkey pair を使用します。詳細については、「SSH 認証情報に Amazon EC2 のkey pair を使用する」および「クラスターConnect する」を参照してください。

Amazon EC2 セキュリティグループ

セキュリティグループは、EMR クラスターインスタンスの仮想ファイアウォールとして機能し、インバウンドとアウトバウンドのネットワークトラフィックを制限します。詳細については、「」を参照してくださいセキュリティグループによるネットワークトラフィックの制御

Amazon EMR 用のデフォルトの Amazon Linux AMI への更新

重要

Amazon Linux または Amazon Linux 2 AMI (Amazon Linux マシンイメージ) を実行している Amazon EMR クラスターは、デフォルトの Amazon Linux 動作を使用し、再起動が必要な重要かつ重要なカーネル更新を自動的にダウンロードしてインストールすることはありません。これは、デフォルトの Amazon Linux AMI を実行している他の Amazon EC2 インスタンスと同じ動作です。Amazon EMR バージョンのリリース後に、再起動が必要な新しい Amazon Linux ソフトウェアアップデート(カーネル、NVIDIA、CUDA アップデートなど)が使用可能になった場合、デフォルトの AMI を実行する Amazon EMR クラスターインスタンスは、それらの更新を自動的にダウンロードおよびインストールしません。カーネルの更新を取得するには、Amazon EMR AMI をカスタマイズする最新の Amazon Linux AMI を使用する

アプリケーションのセキュリティ体制やクラスターが実行される時間に応じて、クラスターを定期的に再起動してセキュリティ更新を適用したり、ブートストラップアクションを作成してパッケージのインストールと更新をカスタマイズすることもできます。実行中のクラスターインスタンスで、選択したセキュリティ更新をテストしてインストールすることもできます。詳細については、「」を参照してくださいAmazon EMR 用のデフォルトの Amazon Linux AMI を使用する ネットワーク設定では、Amazon S3 の Amazon Linux リポジトリへの HTTP および HTTPS の出力が許可されている必要があります。そうしないと、セキュリティ更新は成功しません。