Amazon EMR 控制

這些控制項與 Amazon 資EMR源有關。

這些控制項可能並非全部可用 AWS 區域。如需詳細資訊，請參閱 各區域控制項的可用性。

[EMR.1] Amazon EMR 叢集主節點不應具有公有 IP 地址

相關要求：PCIDSSV3.2.1/1.2.1、3.2.1/1. PCI DSS 3.1、V3.2.1/1. PCI DSS 3.2、V3.2.1/1. PCI DSS 3.4、PCI DSS 3.2.1/1.3.6、.800-53.r5 交流 -3、.800-53.r5 交流 -3 (7)、.800-53.r5 交流 -3 (7)、-6, NIST .800-53.R5 星中七 (十一), NIST .800-53.R5 星期六 (11), .800-53.R5 星期六七 (16), NIST .800-53.r5 星期六七 (21), NIST NIST NIST NIST NIST NIST NIST NIST AC-21NIST.800-53.R5 星期六七 (3), .800-53.R5 星期六七 (4), NIST .800-53.R5 星期六七 (9) NIST

類別：保護 > 安全網路組態

嚴重性：高

資源類型：AWS::EMR::Cluster

AWS Config 規則：emr-master-no-public-ip

排程類型：定期

參數：無

此控制項可檢查 Amazon EMR 叢集上的主節點是否具有公有 IP 地址。如果公用 IP 位址與任何主節點執行個體相關聯，則控制項會失敗。

公用 IP 位址會在執行個體的NetworkInterfaces組態PublicIp欄位中指定。此控制項只會檢查處於RUNNING或WAITING狀態的 Amazon EMR 叢集。

修補

在啟動期間，您可以控制是否為預設或非預設子網路中的執行個體指派公用IPv4位址。依預設，預設子網路會將此屬性設定為true。非預設子網路的IPv4公開位址屬性設定為false，除非它是由 Amazon EC2 啟動執行個體精靈建立的。在此情況下，屬性會設定為true。

啟動後，您無法手動取消公開IPv4地址與執行個體的關聯。

若要修復發現失敗的項目，您必須在私有子網路中啟動新叢集，且IPv4公VPC用位址屬性設定為false。如需相關指示，請參閱 Amazon EMR 管理指南VPC中的將叢集啟動到。

[EMR.2] 應啟用 Amazon EMR 塊公共訪問設置

相關需求：NIST.800-53.R5 交流 -3、.800-53.R5 交流 -3、NIST .800-53.r5 交流 -6 (7)、NIST .800-53.R5 交流 4 (21)、.800-53.r5 交流 -6、NIST .800-53.r5 交流 -6、.800-53.r5 .800-53.R5 星期六七 (20), NIST .800-53.R5 星期六七 (21), NIST .800-53.r5 星期六七 (3), NIST .800-53.r5 星期六七 (4), .800-53.r5 SC-7 (9) NIST NIST NIST NIST NIST NIST NIST AC-21

分類:保護 > 安全存取管理 > 無法公開存取的資源

嚴重性：嚴重

資源類型：AWS::::Account

AWS Config 規則：emr-block-public-access

排程類型：定期

參數：無

此控制項可檢查您的帳戶是否設定了 Amazon EMR 區塊公開存取。如果未啟用封鎖公用存取設定，或允許連接埠 22 以外的任何連接埠，則控制項會失敗。

如果叢集具有允許連接埠上公有 IP 地址輸入流量的安全組態，則 Amazon EMR 區塊公共存取可防止您在公有子網路中啟動叢集。當您的使用者 AWS 帳戶 啟動叢集時，Amazon 會EMR檢查叢集中安全群組中的連接埠規則，並將其與您的入站流量規則進行比較。如果安全群組的輸入規則會開啟公有 IP 位址 IPv4 0.0.0.0/0 或IPv6:: /0 的連接埠，而這些連接埠並未指定為您帳戶的例外狀況，Amazon EMR 不會讓使用者建立叢集。

注意

預設為啟用封鎖公開存取。為了增強帳戶保護，建議您保持啟用狀態。

修補

若要為 Amazon 設定區塊公開存取EMR，請參閱 Amazon EMR管理指南中的使用 Amazon EMR 區塊公開存取。