Amazon EMR 퍼블릭 액세스 차단 사용 - Amazon EMR

Amazon EMR 퍼블릭 액세스 차단 사용

포트가 예외로 지정되지 않은 한, Amazon EMR 퍼블릭 액세스 차단은 클러스터와 연결된 보안 그룹에 포트의 IPv4 0.0.0.0/0 또는 IPv6 ::/0(퍼블릭 액세스)에서의 인바운드 트래픽을 허용하는 규칙이 있을 때 클러스터가 시작되지 않도록 합니다. 포트 22는 기본적으로 예외로 설정됩니다. 포트 또는 포트 범위에서 퍼블릭 액세스를 허용하도록 예외를 구성할 수 있습니다. 또한 퍼블릭 액세스 차단을 활성화 또는 비활성화할 수 있습니다. 이 기능은 활성화하는 것이 좋습니다.

AWS 계정의 AWS 리전마다 퍼블릭 액세스 차단이 활성화 및 구성됩니다. 즉, 각 리전에는 해당 리전의 계정으로 생성된 모든 클러스터에 적용되는 퍼블릭 액세스 차단 구성이 있습니다.

참고

2019일 11월 25일 이전에 한 리전에서 클러스터를 생성한 계정의 경우, 해당 리전에서 공용 액세스 차단이 기본적으로 비활성화됩니다. 이 기능을 사용하려면 이 기능을 수동으로 활성화하고 구성해야 합니다. 이 날짜 이전에 리전에서 EMR 클러스터를 생성하지 않은 계정의 경우, 해당 리전에서 공용 액세스 차단이 기본적으로 활성화됩니다.

퍼블릭 액세스 차단 구성

AWS Management 콘솔, AWS CLI 및 Amazon EMR API를 사용하여 퍼블릭 액세스 차단 설정을 활성화 및 비활성화할 수 있습니다. 설정은 리전별로 계정에 적용됩니다.

  1. https://console.aws.amazon.com/elasticmapreduce/에서 Amazon EMR 콘솔을 엽니다.

  2. 탐색 모음에서 구성하려는 리전이 선택되어 있는지 확인합니다.

  3. Block public access(퍼블릭 액세스 차단)를 선택합니다.

  4. Block public access settings(퍼블릭 액세스 차단 설정)에서 다음 단계를 완료합니다.

    원하는 작업 수행할 작업

    퍼블릭 액세스 차단 설정 또는 해제

    변경을 선택하고 필요에 따라 설정 또는 해제를 선택한 다음 확인 표시를 선택하여 확인합니다.

    예외 목록에서 포트 편집

    1. Exceptions(예외)에서 편집을 선택합니다.

    2. 예외 목록에 포트를 추가하려면 Add a port range(포트 범위 추가)를 선택하고 새 포트 또는 포트 범위를 입력합니다. 추가할 각 포트 또는 포트 범위에 대해 반복합니다.

    3. 포트 또는 포트 범위를 제거하려면 Port ranges(포트 범위) 목록에서 항목 옆에 있는 x를 선택합니다.

    4. 변경 사항 저장을 선택합니다.

다음 예제와 같이 aws emr put-block-public-access-configuration 명령을 사용하여 퍼블릭 액세스 차단을 구성합니다.

원하는 작업 수행할 작업

퍼블릭 액세스 차단 설정

다음 예제에 표시된 대로 BlockPublicSecurityGroupRulestrue로 설정합니다. 클러스터를 시작하려면 클러스터와 연결된 보안 그룹에 퍼블릭 액세스를 허용하는 인바운드 규칙이 없어야 합니다.

aws emr put-block-public-access-configuration --block-public-access-configuration BlockPublicSecurityGroupRules=true

퍼블릭 액세스 차단 해제

다음 예제에 표시된 대로 BlockPublicSecurityGroupRulesfalse로 설정합니다. 클러스터와 연결된 보안 그룹에는 모든 포트에서 퍼블릭 액세스를 허용하는 인바운드 규칙이 있을 수 있습니다. 이 구성은 권장하지 않습니다.

aws emr put-block-public-access-configuration --block-public-access-configuration BlockPublicSecurityGroupRules=false

퍼블릭 액세스 차단 설정 및 포트를 예외로 지정

다음 예는 퍼블릭 액세스 차단을 설정하고 포트 22 및 포트 100-101을 예외로 지정합니다. 이렇게 하면 연결된 보안 그룹에 포트 22, 포트 100 또는 포트 101에서의 퍼블릭 액세스를 허용하는 인바운드 규칙이 있는 경우 클러스터를 생성할 수 있습니다.

aws emr put-block-public-access-configuration --block-public-access-configuration '{ "BlockPublicSecurityGroupRules": true, "PermittedPublicSecurityGroupRuleRanges": [ { "MinRange": 22, "MaxRange": 22 }, { "MinRange": 100, "MaxRange": 101 } ] }'