Amazon EMR のセキュリティ - Amazon EMR

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EMR のセキュリティ

AWS では、クラウドのセキュリティが最優先事項です。AWS のお客様は、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャーから利点を得られます。

セキュリティは、AWS とお客様の間の共有責任です。共有責任モデルでは、これをクラウドセキュリティおよびクラウドのセキュリティとして説明しています。

  • クラウドのセキュリティ - AWS は、AWS クラウドで AWS サービスを実行するインフラストラクチャを保護する責任を負います。また、AWS は、使用するサービスを安全に提供します。AWS コンプライアンスプログラムの一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。Amazon EMR に適用されるコンプライアンスプログラムの詳細については、AWSコンプライアンスプログラムによる対象範囲内のサービス

  • クラウド内のセキュリティ – お客様の責任は使用する AWS のサービスによって決まります。また、お客様は、お客様のデータの機密性、企業の要件、および適用可能な法律および規制などの他の要因についても責任を担います。

このドキュメントは、Amazon EMR を使用する際の責任共有モデルの適用方法を理解するのに役立ちます。Amazon EMR でソリューションを開発するときは、以下のテクノロジーを使用して、ビジネス要件に基づいてクラスターリソースとデータを保護してください。この章のトピックでは、Amazon EMR を設定し、他のAWSセキュリティとコンプライアンス目標を達成します。

セキュリティ設定

Amazon EMR のセキュリティ設定は、さまざまなセキュリティセットアップのテンプレートです。セキュリティ設定を作成して、クラスターを作成するたびにセキュリティセットアップを簡単に再利用できます。詳細については、「セキュリティ構成を使用してクラスターのセキュリティを設定する」を参照してください。

データ保護

Amazon S3 での保管時のデータ、クラスターインスタンスストレージでの保管時のデータ、伝送中のデータを保護するデータの暗号化を実装できます。詳細については、「保管中と転送中のデータを暗号化する」を参照してください。

AWS Identity and Access ManagementAmazon EMR との連携

AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全にコントロールするために役立つ AWS のサービスです。IAM 管理者は、認証された(サインイン) と承認済み(権限を持っている)が Amazon EMR リソースを使用できるようにします。IAM は、追加料金なしで使用できる AWS のサービスです。

  • IAM アイデンティティベースのポリシー— IAM ポリシーは、IAM ユーザーおよびグループによるアクションの実行を許可または拒否します。ポリシーはタグ付けと組み合わせて、クラスター単位でアクセスをコントロールすることができます。詳細については、「AWS Identity and Access ManagementAmazon EMR 用」を参照してください。

  • IAM; ロール— Amazon EMR サービスロール、インスタンスプロファイル、サービスにリンクされたロールは、Amazon EMR が他のAWSのサービス。詳細については、「Amazon EMR アクセス許可の IAM サービスロールをAWSのサービスとリソース」を参照してください。

  • Amazon S3 への EMRFS リクエストの IAM ロールAmazon EMR が Amazon S3 にアクセスする場合、ユーザー、グループ、または Amazon S3 での EMRFS データの場所に基づいて、使用する IAM ロールを指定できます。これにより、クラスターユーザーが Amazon EMR 内からファイルにアクセスできるかどうかを適確に制御できます。詳細については、「Amazon S3 への EMRFS リクエストの IAM ロールの設定」を参照してください。

Kerberos

Kerberos を設定して、シークレットキーの暗号化を使用して、強力な認証を行うことができます。詳細については、「Kerberos 認証を使用する」を参照してください。

Lake Formation

Lake Formation アクセス許可は、AWSデータカタログをGlue して、データベースとテーブルへのきめ細かな列レベルのアクセスを提供します。AWSGlue データカタログ。Lake Formation により、企業の ID システムから EMR ノートブックまたは Apache Zeppelin へのフェデレーションシングルサインオンが可能になります。詳細については、「Amazon EMR との統合AWS Lake Formation」を参照してください。

Secure Socket Shell (SSH)

SSH は、クラスターインスタンスのコマンドラインにユーザーが安全に接続できるようにする上で役立ちます。また、トンネリングを使用して、アプリケーションがマスターノードでホストしているウェブインターフェイスを表示することもできます。クライアントは、Kerberos または Amazon EC2 key pair を使用して認証できます。詳細については、SSH 認証情報に Amazon EC2 のkey pair を使用する およびクラスターConnect するを参照してください。

Amazon EC2 セキュリティグループ

セキュリティグループは、EMR クラスターインスタンスの仮想ファイアウォールとして機能し、インバウンドとアウトバウンドのネットワークトラフィックを制限します。詳細については、「セキュリティグループを使用してネットワークトラフィックの制御」を参照してください。

Amazon EMR 用のデフォルトの Amazon Linux AMI の更新

重要

Amazon Linux または Amazon Linux 2 AMI(Amazon Linux マシンイメージ)を実行している Amazon EMR クラスターは、デフォルトの Amazon Linux 動作を使用し、再起動を必要とする重要かつ重要なカーネルアップデートを自動的にダウンロードしてインストールしません。これは、デフォルトの Amazon Linux AMI を実行している他の Amazon EC2 インスタンスと同じ動作です。Amazon EMR バージョンのリリース後に再起動が必要な新しい Amazon Linux ソフトウェアアップデート(カーネル、NVIDIA、CUDA アップデートなど)が利用可能になった場合、デフォルトの AMI を実行する Amazon EMR クラスターインスタンスは、これらのアップデートを自動的にダウンロードしてインストールしません。カーネルの更新を取得するには、Amazon EMR AMI をカスタマイズする最新の Amazon Linux AMI を使用する

アプリケーションのセキュリティ体制やクラスターが実行される時間に応じて、クラスターを定期的に再起動してセキュリティ更新を適用したり、ブートストラップアクションを作成してパッケージのインストールと更新をカスタマイズすることもできます。実行中のクラスターインスタンスで、選択したセキュリティ更新をテストしてインストールすることもできます。詳細については、「Amazon EMR 用のデフォルトの Amazon Linux AMI の使用」を参照してください。ネットワーク設定では、Amazon S3 の Amazon Linux リポジトリへの HTTP および HTTPS 出力を許可する必要があります。許可しないと、セキュリティ更新は成功しません。