Amazon EMR 中的安全性 - Amazon EMR

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon EMR 中的安全性

云安全性一直是 AWS 的重中之重。作为 AWS 客户,您将从专为满足大多数安全敏感型组织的要求而打造的数据中心和网络架构中受益。

安全性是 AWS 和您的共同责任。责任共担模型将其描述为云 安全性和云 的安全性:

  • 云的安全性 – AWS 负责保护在 AWS 云中运行 AWS 服务的基础设施。AWS 还向您提供可安全使用的服务。作为 AWS 合规性计划的一部分,第三方审核人员将定期测试和验证安全性的有效性。要了解适用于 Amazon EMR 的合规性计划,请参阅合规性计划范围内的 AWS 服务

  • 云中的安全性 – 您的责任是由使用的 AWS 服务决定的。您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。

此文档将帮助您了解如何在使用 Amazon EMR 时应用责任共担模式。当您在 Amazon EMR 上开发解决方案时,使用以下技术根据您的业务要求来帮助保护集群资源和数据。本章中的主题向您演示如何配置 Amazon EMR 和使用其他 AWS 服务来满足您的安全性和合规性目标。

安全配置

Amazon EMR 中的安全配置是不同安全设置的模板。您可以创建一个安全配置以在创建集群时很方便地重复使用安全设置。有关更多信息,请参阅 使用安全配置设置集群安全性

数据保护

您可以实施数据加密来帮助保护 Amazon S3 中的静态数据、集群实例存储中的静态数据以及传输中的数据。有关更多信息,请参阅 加密静态数据和传输中的数据

Amazon EMR 使用 AWS Identity of Access Management

AWS Identity and Access Management (IAM) 是一个 AWS 服务,可以帮助管理员安全地控制对 AWS 资源的访问。IAM 管理员可以控制哪些人身份验证(已登录) 和授权(具有权限)才能使用亚马逊 EMR 资源。IAM 是一个可以免费使用的 AWS 服务。

Kerberos

您可以将 Kerberos 设置为通过私有密钥加密来提供强大的身份验证。有关更多信息,请参阅 使用 Kerberos 身份验证

Lake Formation

您可以将 Lake Formation 权限与 AWS Glue Data Catalog 结合使用,在 AWS Glue Data Catalog 中提供对数据库和表的精细列级别访问。Lake Formation 可实现从企业身份系统对 EMR 笔记本或 Apache Zeppelin 的联合身份单点登录。有关更多信息,请参阅 将 Amazon EMR 与 AWS Lake Formation 集成

安全套接字外壳 (SSH)

SSH 帮助为用户提供连接到集群实例上的命令行的安全方式。它还提供了隧道来查看应用程序在主节点上托管的 Web 界面。客户端可以使用 Kerberos 或 Amazon EC2 key pair 进行身份验证。有关更多信息,请参阅 对 SSH 凭证使用 Amazon EC2 密钥对连接到群集

Amazon EC2 安全组

安全组充当 EMR 集群实例的虚拟防火墙,可限制入站和出站网络流量。有关更多信息,请参阅 使用安全组控制网络流量

针对亚马逊 EMR 的默认亚马逊 Linux AMI 的更新

重要

运行亚马逊 Linux 或 Amazon Linux 2 AMI(亚马逊 Linux 计算机映像)的 Amazon EMR 集群使用默认的 Amazon Linux 行为,并且不会自动下载和安装需要重新启动的重要和关键的内核更新。这与运行默认 Amazon Linux AMI 的其他 Amazon EC2 实例的行为相同。如果在 EMR 版本发布后需要重新启动的新 Amazon Linux 软件更新(如内核、NVIDIA 和 CUDA 更新)变为可用,则运行默认 AMI 的 EMR 集群实例不会自动下载和安装这些更新。要获取内核更新,您可以自定义您的亚马逊 EMR AMI使用最新的 Amazon Linux AMI

根据您的应用程序的安全状况和集群运行的时长,您可选择定期重启集群以应用安全更新,或创建引导操作以自定义软件包安装和更新。也可以选择在正在运行的集群实例上测试然后安装所选安全更新。有关更多信息,请参阅 使用适用于亚马逊 EMR 的默认亚马逊 Linux AMI。请注意,您的网络配置必须允许将 HTTP 和 HTTPS 输出到 Amazon S3 中的 Amazon Linux 存储库,否则安全更新将无法成功。