Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Arbeiten mit von Amazon EMR verwalteten Sicherheitsgruppen
Anmerkung
Amazon EMR ist bestrebt, integrative Alternativen für potenziell anstößige oder nicht inklusive Branchenbegriffe wie „Master“ und „Slave“ zu verwenden. Wir haben auf eine neue Terminologie umgestellt, um ein umfassenderes Erlebnis zu bieten und Ihnen das Verständnis der Servicekomponenten zu erleichtern.
Wir beschreiben „Knoten“ jetzt als Instances und Amazon-EMR-Instance-Typen als Primär, Core, und Aufgaben-Instances. Während der Umstellung finden Sie möglicherweise immer noch ältere Verweise auf die veralteten Begriffe, z. B. solche, die sich auf Sicherheitsgruppen für Amazon EMR beziehen.
Mit der Primär-Instance und den Core- und Aufgaben-Instances in einem Cluster sind verschiedene verwaltete Sicherheitsgruppen verknüpft. Sie benötigen eine zusätzliche verwaltete Sicherheitsgruppe für den Servicezugriff, wenn Sie einen Cluster in einem privaten Subnetz erstellen. Weitere Informationen zur Rolle von verwalteten Sicherheitsgruppen in Bezug auf Ihre Netzwerkkonfiguration finden Sie unter Amazon VPC-Optionen beim Starten eines Clusters.
Wenn Sie verwaltete Sicherheitsgruppen für einen Cluster angeben, müssen Sie für alle verwalteten Sicherheitsgruppen denselben Typ von Sicherheitsgruppe (Standard oder benutzerdefiniert) verwenden. Sie können beispielsweise nicht eine benutzerdefinierte Sicherheitsgruppe für die Primär-Instance angeben und dann keine benutzerdefinierte Sicherheitsgruppe für die Core- und Aufgaben-Instances angeben.
Wenn Sie standardmäßige verwaltete Sicherheitsgruppen verwenden, müssen Sie diese beim Erstellen eines Clusters nicht angeben. Amazon EMR verwendet automatisch die Standardeinstellungen. Wenn die Standardeinstellungen in der VPC des Clusters noch nicht vorhanden sind, werden sie außerdem von Amazon EMR erstellt. Amazon EMR erstellt sie auch, wenn Sie sie explizit angeben und sie noch nicht existieren.
Sie können die Regeln in verwalteten Sicherheitsgruppen nach der Erstellung der Cluster bearbeiten. Wenn Sie einen neuen Cluster erstellen, überprüft Amazon EMR die Regeln in den von Ihnen angegebenen verwalteten Sicherheitsgruppen und erstellt dann alle fehlenden eingehenden Regeln, die der neue Cluster zusätzlich zu den Regeln benötigt, die möglicherweise zuvor hinzugefügt wurden. Sofern nicht anders definiert, werden alle Regeln, die für standardmäßig Amazon-EMR-verwaltete Sicherheitsgruppen gelten, auch den von Ihnen angegebenen benutzerdefinierten von Amazon EMR verwaltete n Sicherheitsgruppen hinzugefügt.
Die standardmäßigen verwalteten Sicherheitsgruppen sind:
-
ElasticMapReduce-primär
Informationen zu den Regeln in dieser Sicherheitsgruppe finden Sie unter Von Amazon EMR verwaltete Sicherheitsgruppe für die primäre Instance (öffentliche Subnetze).
-
ElasticMapReduce-Kern
Informationen zu den Regeln in dieser Sicherheitsgruppe finden Sie unter Von Amazon EMR verwaltete Sicherheitsgruppe für Core- und Aufgaben-Instances (öffentliche Subnetze).
-
ElasticMapReduce-Primär-Privat
Informationen zu den Regeln in dieser Sicherheitsgruppe finden Sie unter Von Amazon EMR verwaltete Sicherheitsgruppe für die Master-Instance (private Subnetze).
-
ElasticMapReduce-Kernprivat
Informationen zu den Regeln in dieser Sicherheitsgruppe finden Sie unter Von Amazon EMR verwaltete Sicherheitsgruppe für Core- und Aufgaben-Instances (private Subnetze).
-
ElasticMapReduce-ServiceAccess
Informationen zu den Regeln in dieser Sicherheitsgruppe finden Sie unter Von Amazon EMR verwaltete Sicherheitsgruppe für den Servicezugriff (private Subnetze).
Von Amazon EMR verwaltete Sicherheitsgruppe für die primäre Instance (öffentliche Subnetze)
Die standardmäßige verwaltete Sicherheitsgruppe für die primäre Instance in öffentlichen Subnetzen hat den Gruppennamen -primary. ElasticMapReduce Sie hat die folgenden Regeln. Wenn Sie eine benutzerdefinierte verwaltete Sicherheitsgruppe angeben, fügt Amazon EMR Ihrer benutzerdefinierten Sicherheitsgruppe dieselben Regeln hinzu.
| Typ | Protocol (Protokoll) | Port-Bereich | Quelle | Details |
|---|---|---|---|---|
| Regeln für eingehenden Datenverkehr | ||||
| Alles ICMP- IPv4 | Alle | N/A | Die Gruppen-ID der verwalteten Sicherheitsgruppe für die Primär-Instance. Mit anderen Worten, dieselbe Sicherheitsgruppe, in der die Regel angezeigt wird. | Diese reflexiven Regeln ermöglichen eingehenden Datenverkehr aus allen mit der angegebenen Sicherheitsgruppe verknüpften Instances. Die Verwendung der standardmäßigen verwalteten Sicherheitsgruppe |
| Alle TCP | TCP | Alle | ||
| Alle UDP | UDP | Alle | ||
| Alles ICMP- IPV4 | Alle | N/A | Die Gruppen-ID der verwalteten Sicherheitsgruppe, die für Core- und Aufgabenknoten angegeben wurde. | Diese Regeln lassen jeden eingehenden ICMP-Datenverkehr und jeden Datenverkehr über TCP- oder UDP-Ports aus allen Core- und Aufgaben-Instances zu, die mit der angegebenen Sicherheitsgruppe verknüpft sind, auch wenn sich die Instances in verschiedenen Clustern befinden. |
| Alle TCP | TCP | Alle | ||
| Alle UDP | UDP | Alle | ||
| Benutzerdefiniert | TCP | 8443 | Verschiedene Amazon-IP-Adressbereiche | Diese Regeln ermöglichen dem Cluster-Manager die Kommunikation mit dem Primärknoten. |
Um vertrauenswürdigen Quellen SSH-Zugriff auf die primäre Sicherheitsgruppe mit der Konsole zu gewähren
Um Ihre Sicherheitsgruppen zu bearbeiten, benötigen Sie die Berechtigung, Sicherheitsgruppen für die VPC zu verwalten, in der sich der Cluster befindet. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Ändern von Benutzerberechtigungen und unter Beispielrichtlinie, die die Verwaltung von EC2 Sicherheitsgruppen ermöglicht.
Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon EMR-Konsole unter https://console.aws.amazon.com/emr
. Wählen Sie Clusters (Cluster) aus. Wählen Sie die ID des Clusters aus, den Sie ändern möchten.
Erweitern Sie im Bereich Netzwerk und Sicherheit die Dropdownliste EC2 Sicherheitsgruppen (Firewall).
Wählen Sie unter Primärer Knoten Ihre Sicherheitsgruppe aus.
Wählen Sie Edit inbound rules (Regeln für eingehenden Datenverkehr bearbeiten) aus.
Suchen Sie mit den folgenden Einstellungen nach einer Regel für eingehenden Datenverkehr, die öffentlichen Zugriff ermöglicht. Falls sie existiert, wählen Sie Löschen, um sie zu entfernen.
-
Typ
SSH
-
Port
22
-
Quelle
Benutzerdefiniert 0.0.0.0/0
Warnung
Vor Dezember 2020 gab es eine vorkonfigurierte Regel, die eingehenden Datenverkehr auf Port 22 aus allen Quellen zuließ. Diese Regel wurde erstellt, um die ersten SSH-Verbindungen zum Primärknoten zu vereinfachen. Wir empfehlen Ihnen dringend, diese Eingangsregel zu entfernen und den Datenverkehr auf vertrauenswürdige Quellen zu beschränken.
-
Scrollen Sie zum Ende der Regelliste und wählen Sie Regel hinzufügen.
-
Wählen Sie für Type (Typ) SSH aus.
Wenn Sie SSH auswählen, wird automatisch TCP für Protokoll und 22 für Portbereich eingegeben.
-
Wählen Sie als Quelle Meine IP aus, um Ihre IP-Adresse automatisch als Quelladresse hinzuzufügen. Sie können auch einen Bereich benutzerdefinierter vertrauenswürdiger Client-IP-Adressen hinzufügen oder zusätzliche Regeln für andere Clients erstellen. In vielen Netzwerkumgebungen werden IP-Adressen dynamisch zugewiesen, sodass Sie in Zukunft möglicherweise Ihre IP-Adressen für vertrauenswürdige Clients aktualisieren müssen.
Wählen Sie Save (Speichern) aus.
Wählen Sie optional im Bereich Netzwerk und Sicherheit unter Kern- und Taskknoten die andere Sicherheitsgruppe aus und wiederholen Sie die obigen Schritte, um dem SSH-Client den Zugriff auf Core- und Taskknoten zu ermöglichen.
Von Amazon EMR verwaltete Sicherheitsgruppe für Core- und Aufgaben-Instances (öffentliche Subnetze)
Die standardmäßig verwaltete Sicherheitsgruppe für Core- und Task-Instances in öffentlichen Subnetzen hat den Gruppennamen -core. ElasticMapReduce Für die verwaltete Standardsicherheitsgruppe gelten die folgenden Regeln. Amazon EMR fügt die gleichen Regeln hinzu, wenn Sie eine benutzerdefinierte verwaltete Sicherheitsgruppe angeben.
| Typ | Protocol (Protokoll) | Port-Bereich | Quelle | Details |
|---|---|---|---|---|
| Regeln für eingehenden Datenverkehr | ||||
| Alle ICMP- IPV4 | Alle | N/A | Die Gruppen-ID der verwalteten Sicherheitsgruppe für Core- und Aufgaben-Instances. Mit anderen Worten, dieselbe Sicherheitsgruppe, in der die Regel angezeigt wird. | Diese reflexiven Regeln ermöglichen eingehenden Datenverkehr aus allen mit der angegebenen Sicherheitsgruppe verknüpften Instances. Die Verwendung der standardmäßigen verwalteten Sicherheitsgruppe |
| Alle TCP | TCP | Alle | ||
| Alle UDP | UDP | Alle | ||
| Alles ICMP- IPV4 | Alle | N/A | Die Gruppen-ID der verwalteten Sicherheitsgruppe für die Primär-Instance. | Diese Regeln lassen jeden eingehenden ICMP-Datenverkehr und jeden Datenverkehr über TCP- oder UDP-Ports aus allen Primär-Instances zu, die mit der angegebenen Sicherheitsgruppe verknüpft sind, auch wenn sich die Instances in verschiedenen Clustern befinden. |
| Alle TCP | TCP | Alle | ||
| Alle UDP | UDP | Alle | ||
Von Amazon EMR verwaltete Sicherheitsgruppe für die Master-Instance (private Subnetze)
Die standardmäßig verwaltete Sicherheitsgruppe für die primäre Instanz in privaten Subnetzen hat den Gruppennamen -Primary-Private. ElasticMapReduce Für die verwaltete Standardsicherheitsgruppe gelten die folgenden Regeln. Amazon EMR fügt die gleichen Regeln hinzu, wenn Sie eine benutzerdefinierte verwaltete Sicherheitsgruppe angeben.
| Typ | Protocol (Protokoll) | Port-Bereich | Quelle | Details |
|---|---|---|---|---|
| Regeln für eingehenden Datenverkehr | ||||
| Alle ICMP- IPv4 | Alle | N/A | Die Gruppen-ID der verwalteten Sicherheitsgruppe für die Primär-Instance. Mit anderen Worten, dieselbe Sicherheitsgruppe, in der die Regel angezeigt wird. | Diese reflexiven Regeln ermöglichen eingehenden Datenverkehr aus allen mit der angegebenen Sicherheitsgruppe verknüpften Instances, die aus dem privaten Subnetz erreichbar sind. Die Verwendung der standardmäßigen verwalteten Sicherheitsgruppe |
| Alle TCP | TCP | Alle | ||
| Alle UDP | UDP | Alle | ||
| Alles ICMP- IPV4 | Alle | N/A | Die Gruppen-ID der verwalteten Sicherheitsgruppe für Core- und Aufgabenknoten. | Diese Regeln lassen jeden eingehenden ICMP-Datenverkehr und jeden Datenverkehr über TCP- oder UDP-Ports aus allen Core- und Aufgaben-Instances zu, die mit der angegebenen Sicherheitsgruppe verknüpft und aus dem privaten Subnetz erreichbar sind, auch wenn sich die Instances in verschiedenen Clustern befinden. |
| Alle TCP | TCP | Alle | ||
| Alle UDP | UDP | Alle | ||
| HTTPS (8443) | TCP | 8443 | Die Gruppen-ID der verwalteten Sicherheitsgruppe für den Servicezugriff in einem privaten Subnetz. | Diese Regel ermöglicht dem Cluster-Manager die Kommunikation mit dem Primärknoten. |
| Regeln für ausgehenden Datenverkehr | ||||
| Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | Stellt ausgehenden Zugriff auf das Internet zu. |
| Custom TCP | TCP | 9443 | Die Gruppen-ID der verwalteten Sicherheitsgruppe für den Servicezugriff in einem privaten Subnetz. | Wenn die obige Standardregel „Gesamter Datenverkehr“ für ausgehenden Datenverkehr entfernt wird, ist diese Regel eine Mindestanforderung für Amazon EMR 5.30.0 und höher. AnmerkungAmazon EMR fügt diese Regel nicht hinzu, wenn Sie eine benutzerdefinierte verwaltete Sicherheitsgruppe verwenden. |
| Custom TCP | TCP | 80 (http) oder 443 (https) | Die Gruppen-ID der verwalteten Sicherheitsgruppe für den Servicezugriff in einem privaten Subnetz. | Wenn die obige Standardregel „Gesamter Datenverkehr“ für ausgehenden Datenverkehr entfernt wird, ist diese Regel eine Mindestanforderung für Amazon EMR 5.30.0 und höher, um über https eine Verbindung zu Amazon S3 herzustellen. AnmerkungAmazon EMR fügt diese Regel nicht hinzu, wenn Sie eine benutzerdefinierte verwaltete Sicherheitsgruppe verwenden. |
Von Amazon EMR verwaltete Sicherheitsgruppe für Core- und Aufgaben-Instances (private Subnetze)
Die standardmäßig verwaltete Sicherheitsgruppe für Core- und Task-Instances in privaten Subnetzen hat den Gruppennamen -Core-Private. ElasticMapReduce Für die verwaltete Standardsicherheitsgruppe gelten die folgenden Regeln. Amazon EMR fügt die gleichen Regeln hinzu, wenn Sie eine benutzerdefinierte verwaltete Sicherheitsgruppe angeben.
| Typ | Protocol (Protokoll) | Port-Bereich | Quelle | Details |
|---|---|---|---|---|
| Regeln für eingehenden Datenverkehr | ||||
| Alle ICMP- IPV4 | Alle | N/A | Die Gruppen-ID der verwalteten Sicherheitsgruppe für Core- und Aufgaben-Instances. Mit anderen Worten, dieselbe Sicherheitsgruppe, in der die Regel angezeigt wird. | Diese reflexiven Regeln ermöglichen eingehenden Datenverkehr aus allen mit der angegebenen Sicherheitsgruppe verknüpften Instances. Die Verwendung der standardmäßigen verwalteten Sicherheitsgruppe |
| Alle TCP | TCP | Alle | ||
| Alle UDP | UDP | Alle | ||
| Alles ICMP- IPV4 | Alle | N/A | Die Gruppen-ID der verwalteten Sicherheitsgruppe für die Primär-Instance. | Diese Regeln lassen jeden eingehenden ICMP-Datenverkehr und jeden Datenverkehr über TCP- oder UDP-Ports aus allen Primär-Instances zu, die mit der angegebenen Sicherheitsgruppe verknüpft sind, auch wenn sich die Instances in verschiedenen Clustern befinden. |
| Alle TCP | TCP | Alle | ||
| Alle UDP | UDP | Alle | ||
| HTTPS (8443) | TCP | 8443 | Die Gruppen-ID der verwalteten Sicherheitsgruppe für den Servicezugriff in einem privaten Subnetz. | Diese Regel ermöglicht dem Cluster-Manager die Kommunikation mit Core- und Aufgabenknoten. |
| Regeln für ausgehenden Datenverkehr | ||||
| Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | Weitere Informationen finden Sie unter Regeln für ausgehenden Datenverkehr bearbeiten weiter unten in diesem Dokument. |
| Custom TCP | TCP | 80 (http) oder 443 (https) | Die Gruppen-ID der verwalteten Sicherheitsgruppe für den Servicezugriff in einem privaten Subnetz. | Wenn die obige Standardregel „Gesamter Datenverkehr“ für ausgehenden Datenverkehr entfernt wird, ist diese Regel eine Mindestanforderung für Amazon EMR 5.30.0 und höher, um über https eine Verbindung zu Amazon S3 herzustellen. AnmerkungAmazon EMR fügt diese Regel nicht hinzu, wenn Sie eine benutzerdefinierte verwaltete Sicherheitsgruppe verwenden. |
Regeln für ausgehenden Datenverkehr bearbeiten
Standardmäßig erstellt Amazon EMR diese Sicherheitsgruppe mit ausgehenden Regeln, die den gesamten ausgehenden Datenverkehr auf allen Protokollen und Ports zulassen. Das Zulassen des gesamten ausgehenden Datenverkehrs ist ausgewählt, da für verschiedene Amazon-EMR- und Kundenanwendungen, die auf Amazon-EMR-Clustern ausgeführt werden können, möglicherweise unterschiedliche Ausgangsregeln erforderlich sind. Amazon EMR kann diese spezifischen Einstellungen bei der Erstellung von Standardsicherheitsgruppen nicht antizipieren. Sie können den ausgehenden Datenverkehr in Ihren Sicherheitsgruppen einschränken, sodass nur die Regeln berücksichtigt werden, die Ihren Anwendungsfällen und Sicherheitsrichtlinien entsprechen. Für diese Sicherheitsgruppe sind mindestens die folgenden Regeln für ausgehenden Datenverkehr erforderlich, für einige Anwendungen sind jedoch möglicherweise zusätzliche Regeln für ausgehenden Datenverkehr erforderlich.
| Typ | Protocol (Protokoll) | Port-Bereich | Bestimmungsort | Details |
|---|---|---|---|---|
| Alle TCP | TCP | Alle | pl- xxxxxxxx |
Verwaltete Präfixliste von Amazon S3 com.amazonaws.. |
| Gesamter Datenverkehr | Alle | Alle | sg- xxxxxxxxxxxxxxxxx |
Die ID der Sicherheitsgruppe ElasticMapReduce-Core-Private. |
| Gesamter Datenverkehr | Alle | Alle | sg- xxxxxxxxxxxxxxxxx |
Die ID der Sicherheitsgruppe ElasticMapReduce-Primary-Private. |
| Custom TCP | TCP | 9443 | sg- xxxxxxxxxxxxxxxxx |
Die ID der Sicherheitsgruppe ElasticMapReduce-ServiceAccess. |
Von Amazon EMR verwaltete Sicherheitsgruppe für den Servicezugriff (private Subnetze)
Die standardmäßig verwaltete Sicherheitsgruppe für den Dienstzugriff in privaten Subnetzen hat den Gruppennamen ElasticMapReduce - ServiceAccess. Sie besitzt Regeln für den eingehenden und den ausgehenden Datenverkehr, die Datenverkehr über HTTPS (Port 8443, Port 9443) mit den anderen verwalteten Sicherheitsgruppen in privaten Subnetzen zulassen. Diese Regeln ermöglichen dem Cluster-Manager die Kommunikation mit dem Primärknoten und mit Kern- und Aufgabenknoten. Dieselben Regeln sind erforderlich, wenn Sie benutzerdefinierte Sicherheitsgruppen verwenden.
| Typ | Protocol (Protokoll) | Port-Bereich | Quelle | Details |
|---|---|---|---|---|
| Regeln für eingehenden Datenverkehr Erforderlich für EMR-Cluster mit Amazon EMR ab Version 5.30.0. | ||||
| Custom TCP | TCP | 9443 | Die Gruppen-ID der verwalteten Sicherheitsgruppe für die Primär-Instance. |
Diese Regel ermöglicht die Kommunikation zwischen der Sicherheitsgruppe der Primär-Instance und der Sicherheitsgruppe des Servicezugriffs. |
| Regeln für ausgehenden Datenverkehr erforderlich für alle Amazon-EMR-Cluster | ||||
| Custom TCP | TCP | 8443 | Die Gruppen-ID der verwalteten Sicherheitsgruppe für die Primär-Instance. |
Diese Regeln ermöglichen dem Cluster-Manager die Kommunikation mit dem Primärknoten und mit Kern- und Aufgabenknoten. |
| Custom TCP | TCP | 8443 | Die Gruppen-ID der verwalteten Sicherheitsgruppe für Core- und Aufgaben-Instances. |
Diese Regeln ermöglichen dem Cluster-Manager die Kommunikation mit dem Primärknoten und mit Kern- und Aufgabenknoten. |
