本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
關於 EMR Studio 安全群組
Amazon EMR Studio 使用兩個安全群組,來控制 Studio 中的工作區與 Amazon EC2 上執行的所附接的 Amazon EMR 叢集之間的網路流量:
-
使用附接埠 18888 與在 Amazon EC2 上執行的所附接的 Amazon EMR 叢集進行通訊的引擎安全群組。
-
與 Studio 中的工作區相關聯的工作區安全群組。此安全群組包含傳出 HTTPS 規則,可讓工作區將流量路由至網際網路,並且必須允許在連接埠 443 上將流量傳出至網際網路,以便將 Git 儲存庫連結至工作區。
除了與附接至工作區的 EMR 叢集相關聯的任何安全群組之外,EMR Studio 還會使用這些安全群組。
當您使用 建立 Studio 時,必須 AWS CLI 建立這些安全群組。
注意
可以使用根據您的環境量身打造的規則來自訂 EMR Studio 的安全群組,但必須包含此頁面中註明的規則。工作區安全群組不允許任何傳入流量,而且引擎安全群組必須允許來自工作區安全群組的傳入流量。
使用預設的 EMR Studio 安全群組
當您使用 Amazon EMR 主控台時,可以選擇以下預設安全群組。預設安全群組由 EMR Studio 代表您建立,並包含 EMR Studio 中工作區所需的最低傳入和傳出規則。
-
DefaultEngineSecurityGroup -
DefaultWorkspaceSecurityGroupGit或DefaultWorkspaceSecurityGroupWithoutGit
先決條件
若要為 EMR Studio 建立安全群組,需要適用於 Studio 的 Amazon 虛擬私有雲端 (VPC)。可以在建立安全群組時選擇此 VPC。這應與您在建立 Studio 時所指定的 VPC 相同。如果打算搭配使用 Amazon Amazon EMR on EKS 與 EMR Studio,請選擇 Amazon EKS 叢集工作節點的 VPC。
指示
遵循《Amazon EC2 Linux 執行個體使用者指南》中建立安全群組中的指示,在 VPC 中建立引擎安全群組和工作區安全群組。安全群組必須包含下表中摘要的規則。
當您建立 EMR Studio 的安全群組時,請記下兩者的 ID。建立 Studio 時,依據 ID 來指定每個安全群組。
- 引擎安全群組
-
EMR Studio 使用附接埠 18888 與所附接的叢集進行通訊。
傳入規則 類型 通訊協定 連線埠 目的地 描述 TCP TCP 18888 EMR Studio 工作區安全群組。 允許來自 EMR Studio 之工作區安全群組中任何資源的流量。 - 工作區安全群組
-
此安全群組與 EMR Studio 中的工作區相關聯。
傳出規則 類型 通訊協定 連線埠 目的地 描述 TCP TCP 18888 EMR Studio 引擎安全群組。 允許流向 EMR Studio 之引擎安全群組中任何資源的流量。 HTTPS TCP 443 0.0.0.0/0 允許網際網路流量,以便將公開託管的 Git 儲存庫連結至工作區。
