Connect 之前:授权入站流量 - Amazon EMR

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Connect 之前:授权入站流量

在连接到 Amazon EMR 群集之前,您必须授权来自受信任客户端(如计算机的 IP 地址)的入站 SSH 流量(端口 22)。为此,请编辑要连接的节点的托管安全组规则。例如,以下说明介绍如何将 SSH 访问的入站规则添加到默认弹性映射减少主安全组。

有关结合 Amazon EMR 使用安全组的更多信息,请参阅使用安全组控制网络流量

允许对弹性映射减少主安全组的受信任源进行 SSH 访问

您必须首先以 root 用户或 IAM 委托人身份登录 AWS,该委托人可以管理集群所在 VPC 的安全组。有关更多信息,请参阅 。更改 IAM 用户的权限示例策略,它允许管理IAM 用户指南

  1. 从打开 Amazon EMR 控制台https://console.aws.amazon.com/elasticmapreduce/

  2. 选择 Clusters

  3. 选择集群的 Name (名称)

  4. Security and access (安全与访问) 下,选择 Security groups for Master (主节点的安全组) 链接。

  5. 从列表中选择 ElasticMapReduce-master

  6. 选择入站编辑

  7. 通过以下设置检查允许公共访问的入站规则。如果存在,请选择Delete以将其删除。

    • 类型

      SSH

    • 端口

      22

    • 自定义 0.0.0/0

    警告

    2020 年 12 月之前,公有子网中主实例的默认 EMR 托管安全组使用预配置规则创建,以允许端口 22 上来自所有来源的入站流量。此规则的创建是为了简化到主节点的初始 SSH 连接。我们强烈建议您删除此入站规则并仅限制来自可信的来源的流量。

  8. 滚动到规则列表底部,然后选择添加规则

  9. 对于Type (类型),选择 SSH

    这会自动输入TCP对于 来说为协议22对于 来说为端口范围

  10. 对于源,选择 My IP (我的 IP)

    这会自动将您的客户端计算机的 IP 地址添加为源地址。或者,您可以添加一系列Custom (自定义)可信客户端 IP 地址,然后选择 Add rule (添加规则) 来创建针对其他客户端的其他规则。许多网络环境动态分配 IP 地址,因此您可能需要定期编辑安全组规则以更新可信客户端的 IP 地址。

  11. 选择 Save

  12. (可选)选择ElasticMapReduce-slave并重复上述步骤以允许从可信客户端对核心和任务节点执行 SSH 客户端访问。