Amazon EMR 관리형 보안 그룹 작업 - Amazon EMR

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

Amazon EMR 관리형 보안 그룹 작업

다른 관리형 보안 그룹은 마스터 인스턴스 및 클러스터의 코어 및 작업 인스턴스와 연관됩니다. 개인 서브넷에 클러스터를 만들 때 서비스 액세스를 위한 추가 관리형 보안 그룹이 필요합니다. 네트워크 구성과 관련된 관리형 보안 그룹의 역할에 대한 자세한 내용은 Amazon VPC 옵션 단원을 참조하십시오.

클러스터에 대해 관리형 보안 그룹을 지정하는 경우 모든 관리형 보안 그룹에 대해 동일한 유형의 보안 그룹(기본값 또는 사용자 지정)을 사용해야 합니다. 예를 들어 마스터 인스턴스에 대해 사용자 지정 보안 그룹을 지정한 다음 코어 및 작업 인스턴스에 대해 사용자 지정 보안 그룹을 지정할 수 없습니다.

기본 관리형 보안 그룹을 사용하는 경우 클러스터를 만들 때 지정할 필요가 없습니다. Amazon EMR은 기본값을 자동으로 사용합니다. 또한 기본값이 클러스터의 VPC에 없으면 Amazon EMR이 이를 생성합니다. 또한 명시적으로 지정했는데 아직 존재하지 않는 경우에도 Amazon EMR에서 생성합니다.

클러스터를 생성한 후에는 관리형 보안 그룹의 규칙을 편집할 수 있습니다. 새 클러스터를 만들 때 Amazon EMR 은 지정한 관리 보안 그룹의 규칙을 확인한 다음 누락된 보안 그룹을 작성합니다. 인바운드 새 클러스터가 필요로 하는 규칙과 이전에 추가된 규칙 달리 구체적으로 언급되지 않은 경우 기본 EMR 관리형 보안 그룹에 대한 각 규칙은 사용자 지정 EMR 관리형 보안 그룹에도 추가됩니다.

기본 관리형 보안 그룹은 다음과 같습니다.

마스터 인스턴스에 대한 Amazon EMR 관리형 보안 그룹(퍼블릭 서브넷)

공용 서브넷의 마스터 인스턴스에 대한 기본 관리 보안 그룹에는 그룹 이름 / 탄성 맵 감소-마스터. 다음과 같은 규칙이 있습니다. 사용자 지정 관리 보안 그룹을 지정하는 경우 Amazon EMR SSH 규칙을 제외한 모든 동일한 규칙을 추가합니다.

유형 프로토콜 포트 범위 소스 세부 정보
인바운드 규칙
모든 ICMP - IPv4 전체 해당 사항 없음 마스터 인스턴스에 대한 관리형 보안 그룹의 그룹 ID입니다. 즉, 규칙이 나타나는 보안 그룹과 동일합니다.

이러한 재귀 규칙은 지정된 보안 그룹과 연관된 모든 인바운드 트래픽을 허용합니다. 다중 클러스터에 대해 기본 ElasticMapReduce-master를 사용하면 해당 클러스터의 코어 및 작업 노드가 ICMP 또는 TCP 또는 UDP 포트를 통해 서로 통신할 수 있습니다. 클러스터 간 액세스를 제한하기 위해 사용자 지정 관리 보안 그룹을 지정합니다.

모든 TCP TCP 전체
모든 UDP UDP 전체
모든 ICMP - IPV4 전체 해당 사항 없음 코어 및 작업 노드에 대해 지정된 관리형 보안 그룹의 그룹 ID입니다.

이러한 규칙은 인스턴스가 다른 클러스터에 있더라도 지정된 보안 그룹과 연결된 모든 코어 및 작업 인스턴스의 모든 인바운드 ICMP 트래픽 및 TCP 또는 UDP 포트를 통한 트래픽을 허용합니다.

모든 TCP TCP 전체
모든 UDP UDP 전체
사용자 지정 TCP 8443 다양한 Amazon IP 주소 범위 이러한 규칙을 사용하면 클러스터 관리자가 마스터 노드와 통신할 수 있습니다.
SSH TCP 22 0.0.0.0/0

모든 소스의 인바운드 SSH 연결 허용

주의

이 인바운드 규칙을 편집하여 신뢰할 수 있는 소스에서 오는 트래픽으로 제한할 것을 적극 권장합니다. 또는 액세스를 제한하는 사용자 지정 EMR 관리형 보안 그룹을 지정합니다. 자세한 내용은 procedure to remove public access to SSH 단원을 참조하십시오.

SSH를 사용하여 ElasticMapReduce-master 보안 그룹에 대한 퍼블릭 액세스를 허용하는 인바운드 규칙을 제거하려면

다음 절차에서는 이전에 ElasticMapReduce-master 보안 그룹을 편집하지 않았다고 가정합니다. 또한 보안 그룹을 편집하려면 클러스터가 있는 VPC에 대한 보안 그룹을 관리할 수 있는 IAM 보안 주체 또는 루트 사용자로 AWS에 로그인해야 합니다. 자세한 내용은 IAM 사용 설명서에서 EC2 보안 그룹의 관리를 허용하는 예제 정책IAM 사용자에 대한 권한 변경을 참조하십시오.

  1. https://console.aws.amazon.com/elasticmapreduce/에서 Amazon EMR 콘솔을 엽니다.

  2. 클러스터를 선택하십시오.

  3. 클러스터의 이름을 선택합니다.

  4. 보안 및 액세스에서 마스터에 대한 보안 그룹 링크를 선택합니다.

    EMR 클러스터 상태에서 보안 그룹을 편집합니다.
  5. 목록에서 ElasticMapReduce-master를 선택합니다.

  6. 인바운드, 편집을 선택합니다.

  7. 다음 설정이 있는 규칙을 찾고 x 아이콘을 선택하여 삭제합니다.

    • 유형

      SSH

    • 포트

      22

    • 소스

      사용자 지정 0.0.0.0/0

  8. 규칙 목록의 하단으로 스크롤하고 규칙 추가를 선택합니다.

  9. 유형에서 SSH를 선택합니다.

    이렇게 하면 프로토콜TCP가, 포트 범위22가 자동으로 입력됩니다.

  10. 소스에 대해 내 IP를 선택합니다.

    그러면 자동으로 클라이언트 컴퓨터의 IP 주소가 소스 주소로 추가됩니다. 또는 신뢰할 수 있는 사용자 지정 클라이언트 IP 주소 범위를 추가하고 규칙 추가를 선택하여 다른 클라이언트에 대한 추가 규칙을 만들 수 있습니다. 많은 네트워크 환경에서 IP 주소가 동적으로 할당되므로 주기적으로 보안 그룹 규칙을 편집하여 신뢰할 수 있는 클라이언트의 IP 주소를 업데이트해야 할 수 있습니다.

  11. Save를 선택합니다.

  12. 필요할 경우 목록에서 ElasticMapReduce-slave를 선택하고 위의 단계를 반복하여 신뢰할 수 있는 클라이언트의 코어 및 작업 노드에 대한 SSH 클라이언트 액세스를 허용합니다.

코어 및 작업 인스턴스에 대한 Amazon EMR 관리형 보안 그룹(퍼블릭 서브넷)

공용 서브넷의 코어 및 태스크 인스턴스에 대한 기본 관리 보안 그룹에는 그룹 이름 / 탄성맵감소-슬레이브. 기본 설정된 관리형 보안 그룹에는 다음과 같은 규칙이 있고, 사용자 지정 관리형 보안 그룹을 지정하면 Amazon EMR에서는 동일한 규칙을 추가합니다.

유형 프로토콜 포트 범위 소스 세부 정보
인바운드 규칙
모든 ICMP - IPV4 전체 해당 사항 없음 코어 및 작업 인스턴스에 대한 관리형 보안 그룹의 그룹 ID입니다. 즉, 규칙이 나타나는 보안 그룹과 동일합니다.

이러한 재귀 규칙은 지정된 보안 그룹과 연관된 모든 인바운드 트래픽을 허용합니다. 다중 클러스터에 대해 기본 ElasticMapReduce-slave를 사용하면 해당 클러스터의 코어 및 작업 인스턴스가 ICMP 또는 TCP 또는 UDP 포트를 통해 서로 통신할 수 있습니다. 클러스터 간 액세스를 제한하기 위해 사용자 지정 관리 보안 그룹을 지정합니다.

모든 TCP TCP 전체
모든 UDP UDP 전체
모든 ICMP - IPV4 전체 해당 사항 없음 마스터 인스턴스에 대한 관리형 보안 그룹의 그룹 ID입니다.

이러한 규칙은 인스턴스가 다른 클러스터에 있더라도 지정된 보안 그룹과 연결된 모든 마스터 인스턴스의 TCP 또는 UDP 포트를 통한 모든 인바운드 ICMP 트래픽 및 트래픽을 허용합니다.

모든 TCP TCP 전체
모든 UDP UDP 전체

마스터 인스턴스에 대한 Amazon EMR 관리형 보안 그룹(프라이빗 서브넷)

개인 서브넷의 마스터 인스턴스에 대한 기본 관리 보안 그룹에는 그룹 이름 / 탄성맵감소-마스터-비공개. 기본 설정된 관리형 보안 그룹에는 다음과 같은 규칙이 있고, 사용자 지정 관리형 보안 그룹을 지정하면 Amazon EMR에서는 동일한 규칙을 추가합니다.

유형 프로토콜 포트 범위 소스 세부 정보
인바운드 규칙
모든 ICMP - IPv4 전체 해당 사항 없음 마스터 인스턴스에 대한 관리형 보안 그룹의 그룹 ID입니다. 즉, 규칙이 나타나는 보안 그룹과 동일합니다.

이러한 재귀 규칙을 사용하면 지정된 보안 그룹과 관련된 모든 인스턴스에서 인바운드 트래픽을 허용하고 프라이빗 서브넷 내에서 연결할 수 있습니다. 다중 클러스터에 대해 기본 ElasticMapReduce-Master-Private를 사용하면 해당 클러스터의 코어 및 작업 노드가 ICMP 또는 TCP 또는 UDP 포트를 통해 서로 통신할 수 있습니다. 클러스터 간 액세스를 제한하기 위해 사용자 지정 관리 보안 그룹을 지정합니다.

모든 TCP TCP 전체
모든 UDP UDP 전체
모든 ICMP - IPV4 전체 해당 사항 없음 코어 및 작업 노드에 대한 관리형 보안 그룹의 그룹 ID입니다.

이 규칙은 인스턴스가 다른 클러스터에 있더라도 지정된 보안 그룹과 연결되어 있고 프라이빗 서브넷에서 연결할 수 있는 모든 코어 및 작업 인스턴스의 모든 인바운드 ICMP 트래픽 및 TCP 또는 UDP 포트를 통한 트래픽을 허용합니다.

모든 TCP TCP 전체
모든 UDP UDP 전체
HTTPS(8443) TCP 8443 프라이빗 서브넷에서 서비스 액세스를 위한 관리형 보안 그룹의 그룹 ID입니다. 이러한 규칙을 사용하면 클러스터 관리자가 마스터 노드와 통신할 수 있습니다.

코어 및 작업 인스턴스에 대한 Amazon EMR 관리형 보안 그룹(프라이빗 서브넷)

프라이빗 서브넷의 코어 및 작업 인스턴스에 대한 기본 관리형 보안 그룹에는 그룹 이름 ElasticMapReduce-Slave-Private가 있습니다. 기본 설정된 관리형 보안 그룹에는 다음과 같은 규칙이 있고, 사용자 지정 관리형 보안 그룹을 지정하면 Amazon EMR에서는 동일한 규칙을 추가합니다.

유형 프로토콜 포트 범위 소스 세부 정보
인바운드 규칙
모든 ICMP - IPV4 전체 해당 사항 없음 코어 및 작업 인스턴스에 대한 관리형 보안 그룹의 그룹 ID입니다. 즉, 규칙이 나타나는 보안 그룹과 동일합니다.

이러한 재귀 규칙은 지정된 보안 그룹과 연관된 모든 인바운드 트래픽을 허용합니다. 다중 클러스터에 대해 기본 ElasticMapReduce-slave를 사용하면 해당 클러스터의 코어 및 작업 인스턴스가 ICMP 또는 TCP 또는 UDP 포트를 통해 서로 통신할 수 있습니다. 클러스터 간 액세스를 제한하기 위해 사용자 지정 관리 보안 그룹을 지정합니다.

모든 TCP TCP 전체
모든 UDP UDP 전체
모든 ICMP - IPV4 전체 해당 사항 없음 마스터 인스턴스에 대한 관리형 보안 그룹의 그룹 ID입니다.

이러한 규칙은 인스턴스가 다른 클러스터에 있더라도 지정된 보안 그룹과 연결된 모든 마스터 인스턴스의 TCP 또는 UDP 포트를 통한 모든 인바운드 ICMP 트래픽 및 트래픽을 허용합니다.

모든 TCP TCP 전체
모든 UDP UDP 전체
HTTPS(8443) TCP 8443 프라이빗 서브넷에서 서비스 액세스를 위한 관리형 보안 그룹의 그룹 ID입니다. 이러한 규칙을 사용하면 클러스터 관리자가 코어 및 작업 노드와 통신할 수 있습니다.

서비스 액세스에 대한 Amazon EMR 관리형 보안 그룹(프라이빗 서브넷)

프라이빗 서브넷의 서비스 액세스에 대한 기본 관리형 보안 그룹에는 그룹 이름 ElasticMapReduce-ServiceAccess가 있습니다. HTTPS(포트 8443, 포트 9443)를 통한 트래픽을 프라이빗 서브넷의 다른 관리형 보안 그룹에 허용하는 아웃바운드 규칙과 인바운드 규칙이 있습니다. 이러한 규칙을 사용하여 클러스터 관리자는 마스터 노드 및 코어 노드/작업 노드와 통신할 수 있습니다. 사용자 지정 보안 그룹을 사용하는 경우 동일한 규칙이 필요합니다.

유형 프로토콜 포트 범위 소스 세부 정보
아웃바운드 규칙 모든 EMR 클러스터에 필요합니다.
HTTPS(8443) TCP 8443 마스터 인스턴스에 대한 관리형 보안 그룹의 그룹 ID입니다.

이러한 규칙을 사용하여 클러스터 관리자는 마스터 노드 및 코어 노드/작업 노드와 통신할 수 있습니다.

HTTPS(8443) TCP 8443 코어 및 작업 인스턴스에 대한 관리형 보안 그룹의 그룹 ID입니다.

이러한 규칙을 사용하여 클러스터 관리자는 마스터 노드 및 코어 노드/작업 노드와 통신할 수 있습니다.

인바운드 규칙 Amazon EMR 릴리스 5.30.0 이상인 EMR 클러스터에 필요합니다.
HTTPS(9443) TCP 9443 마스터 인스턴스에 대한 관리형 보안 그룹의 그룹 ID입니다.

이 규칙은 마스터 인스턴스의 보안 그룹과 서비스 액세스 보안 그룹 간의 통신을 허용합니다.