Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Arbeiten mit von Amazon EMR verwalteten Sicherheitsgruppen
**Anmerkung**
Amazon EMR ist bestrebt, integrative Alternativen für potenziell anstößige oder nicht inklusive Branchenbegriffe wie „Master“ und „Slave“ zu verwenden. Wir haben auf eine neue Terminologie umgestellt, um ein umfassenderes Erlebnis zu bieten und Ihnen das Verständnis der Servicekomponenten zu erleichtern.
Wir beschreiben „Knoten“ jetzt als **Instances** und Amazon-EMR-Instance-Typen als **Primär**, **Core**, und **Aufgaben-Instances**. Während der Umstellung finden Sie möglicherweise immer noch ältere Verweise auf die veralteten Begriffe, z. B. solche, die sich auf Sicherheitsgruppen für Amazon EMR beziehen.
Mit der Primär-Instance und den Core- und Aufgaben-Instances in einem Cluster sind verschiedene verwaltete Sicherheitsgruppen verknüpft. Sie benötigen eine zusätzliche verwaltete Sicherheitsgruppe für den Servicezugriff, wenn Sie einen Cluster in einem privaten Subnetz erstellen. Weitere Informationen zur Rolle von verwalteten Sicherheitsgruppen in Bezug auf Ihre Netzwerkkonfiguration finden Sie unter [Amazon VPC-Optionen beim Starten eines Clusters](emr-clusters-in-a-vpc.md).
Wenn Sie verwaltete Sicherheitsgruppen für einen Cluster angeben, müssen Sie für alle verwalteten Sicherheitsgruppen denselben Typ von Sicherheitsgruppe (Standard oder benutzerdefiniert) verwenden. Sie können beispielsweise nicht eine benutzerdefinierte Sicherheitsgruppe für die Primär-Instance angeben und dann keine benutzerdefinierte Sicherheitsgruppe für die Core- und Aufgaben-Instances angeben.
Wenn Sie standardmäßige verwaltete Sicherheitsgruppen verwenden, müssen Sie diese beim Erstellen eines Clusters nicht angeben. Amazon EMR verwendet automatisch die Standardeinstellungen. Wenn die Standardeinstellungen in der VPC des Clusters noch nicht vorhanden sind, werden sie außerdem von Amazon EMR erstellt. Amazon EMR erstellt sie auch, wenn Sie sie explizit angeben und sie noch nicht existieren.
Sie können die Regeln in verwalteten Sicherheitsgruppen nach der Erstellung der Cluster bearbeiten. Wenn Sie einen neuen Cluster erstellen, überprüft Amazon EMR die Regeln in den von Ihnen angegebenen verwalteten Sicherheitsgruppen und erstellt dann alle fehlenden *eingehenden* Regeln, die der neue Cluster zusätzlich zu den Regeln benötigt, die möglicherweise zuvor hinzugefügt wurden. Sofern nicht anders definiert, werden alle Regeln, die für standardmäßig Amazon-EMR-verwaltete Sicherheitsgruppen gelten, auch den von Ihnen angegebenen benutzerdefinierten von Amazon EMR verwaltete n Sicherheitsgruppen hinzugefügt.
Die standardmäßigen verwalteten Sicherheitsgruppen sind:
+ **ElasticMapReduce-primär**
Informationen zu den Regeln in dieser Sicherheitsgruppe finden Sie unter [Von Amazon EMR verwaltete Sicherheitsgruppe für die primäre Instance (öffentliche Subnetze)](#emr-sg-elasticmapreduce-master).
+ **ElasticMapReduce-Kern**
Informationen zu den Regeln in dieser Sicherheitsgruppe finden Sie unter [Von Amazon EMR verwaltete Sicherheitsgruppe für Core- und Aufgaben-Instances (öffentliche Subnetze)](#emr-sg-elasticmapreduce-slave).
+ **ElasticMapReduce-Primär-Privat**
Informationen zu den Regeln in dieser Sicherheitsgruppe finden Sie unter [Von Amazon EMR verwaltete Sicherheitsgruppe für die Master-Instance (private Subnetze)](#emr-sg-elasticmapreduce-master-private).
+ **ElasticMapReduce-Kernprivat**
Informationen zu den Regeln in dieser Sicherheitsgruppe finden Sie unter [Von Amazon EMR verwaltete Sicherheitsgruppe für Core- und Aufgaben-Instances (private Subnetze)](#emr-sg-elasticmapreduce-slave-private).
+ **ElasticMapReduce-ServiceAccess**
Informationen zu den Regeln in dieser Sicherheitsgruppe finden Sie unter [Von Amazon EMR verwaltete Sicherheitsgruppe für den Servicezugriff (private Subnetze)](#emr-sg-elasticmapreduce-sa-private).
## Von Amazon EMR verwaltete Sicherheitsgruppe für die primäre Instance (öffentliche Subnetze)
**Die standardmäßige verwaltete Sicherheitsgruppe für die primäre Instance in öffentlichen Subnetzen hat den **Gruppennamen** -primary. ElasticMapReduce** Sie hat die folgenden Regeln. Wenn Sie eine benutzerdefinierte verwaltete Sicherheitsgruppe angeben, fügt Amazon EMR Ihrer benutzerdefinierten Sicherheitsgruppe dieselben Regeln hinzu.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/emr/latest/ManagementGuide/emr-man-sec-groups.html)
**Um vertrauenswürdigen Quellen SSH-Zugriff auf die primäre Sicherheitsgruppe mit der Konsole zu gewähren**
Um Ihre Sicherheitsgruppen zu bearbeiten, benötigen Sie die Berechtigung, Sicherheitsgruppen für die VPC zu verwalten, in der sich der Cluster befindet. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Ändern von Benutzerberechtigungen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html) und unter [Beispielrichtlinie](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_examples_ec2_securitygroups-vpc.html), die die Verwaltung von EC2-Sicherheitsgruppen ermöglicht.
1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon EMR-Konsole unter [https://console.aws.amazon.com/emr](https://console.aws.amazon.com/emr).
1. Klicken Sie auf **Cluster**. Wählen Sie die **ID** des Clusters aus, den Sie ändern möchten.
1. Erweitern Sie im Bereich **Netzwerk und Sicherheit** das Dropdownmenü **EC2-Sicherheitsgruppen (Firewall)**.
1. Wählen Sie unter **Primärer Knoten** Ihre Sicherheitsgruppe aus.
1. Wählen Sie **Edit inbound rules** (Regeln für eingehenden Datenverkehr bearbeiten) aus.
1. Suchen Sie mit den folgenden Einstellungen nach einer Regel für eingehenden Datenverkehr, die öffentlichen Zugriff ermöglicht. Falls sie existiert, wählen Sie **Löschen**, um sie zu entfernen.
+ **Typ**
SSH
+ **Port**
22
+ **Quelle**
Benutzerdefiniert 0.0.0.0/0
**Warnung**
Vor Dezember 2020 gab es eine vorkonfigurierte Regel, die eingehenden Datenverkehr auf Port 22 aus allen Quellen zuließ. Diese Regel wurde erstellt, um die ersten SSH-Verbindungen zum Primärknoten zu vereinfachen. Wir empfehlen Ihnen dringend, diese Eingangsregel zu entfernen und den Datenverkehr auf vertrauenswürdige Quellen zu beschränken.
1. Scrollen Sie zum Ende der Regelliste und wählen Sie **Regel hinzufügen**.
1. Wählen Sie für **Type (Typ)** **SSH** aus.
Wenn Sie SSH auswählen, wird automatisch **TCP** für **Protokoll** und **22** für **Portbereich** eingegeben.
1. Wählen Sie als Quelle **Meine IP** aus, um Ihre IP-Adresse automatisch als Quelladresse hinzuzufügen. Sie können auch einen Bereich **benutzerdefinierter** vertrauenswürdiger Client-IP-Adressen hinzufügen oder zusätzliche Regeln für andere Clients erstellen. In vielen Netzwerkumgebungen werden IP-Adressen dynamisch zugewiesen, sodass Sie in Zukunft möglicherweise Ihre IP-Adressen für vertrauenswürdige Clients aktualisieren müssen.
1. Wählen Sie **Speichern**.
1. Wählen Sie optional im Bereich **Netzwerk und Sicherheit unter **Kern- und Taskknoten** die andere Sicherheitsgruppe aus und** wiederholen Sie die obigen Schritte, um dem SSH-Client den Zugriff auf Core- und Taskknoten zu ermöglichen.
## Von Amazon EMR verwaltete Sicherheitsgruppe für Core- und Aufgaben-Instances (öffentliche Subnetze)
**Die standardmäßig verwaltete Sicherheitsgruppe für Core- und Task-Instances in öffentlichen Subnetzen hat den **Gruppennamen** -core. ElasticMapReduce** Für die verwaltete Standardsicherheitsgruppe gelten die folgenden Regeln. Amazon EMR fügt die gleichen Regeln hinzu, wenn Sie eine benutzerdefinierte verwaltete Sicherheitsgruppe angeben.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/emr/latest/ManagementGuide/emr-man-sec-groups.html)
## Von Amazon EMR verwaltete Sicherheitsgruppe für die Master-Instance (private Subnetze)
**Die standardmäßig verwaltete Sicherheitsgruppe für die primäre Instanz in privaten Subnetzen hat den **Gruppennamen** -Primary-Private. ElasticMapReduce** Für die verwaltete Standardsicherheitsgruppe gelten die folgenden Regeln. Amazon EMR fügt die gleichen Regeln hinzu, wenn Sie eine benutzerdefinierte verwaltete Sicherheitsgruppe angeben.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/emr/latest/ManagementGuide/emr-man-sec-groups.html)
## Von Amazon EMR verwaltete Sicherheitsgruppe für Core- und Aufgaben-Instances (private Subnetze)
**Die standardmäßig verwaltete Sicherheitsgruppe für Core- und Task-Instances in privaten Subnetzen hat den **Gruppennamen** -Core-Private. ElasticMapReduce** Für die verwaltete Standardsicherheitsgruppe gelten die folgenden Regeln. Amazon EMR fügt die gleichen Regeln hinzu, wenn Sie eine benutzerdefinierte verwaltete Sicherheitsgruppe angeben.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/emr/latest/ManagementGuide/emr-man-sec-groups.html)
### Regeln für ausgehenden Datenverkehr bearbeiten
Standardmäßig erstellt Amazon EMR diese Sicherheitsgruppe mit ausgehenden Regeln, die den gesamten ausgehenden Datenverkehr auf allen Protokollen und Ports zulassen. Das Zulassen des gesamten ausgehenden Datenverkehrs ist ausgewählt, da für verschiedene Amazon-EMR- und Kundenanwendungen, die auf Amazon-EMR-Clustern ausgeführt werden können, möglicherweise unterschiedliche Ausgangsregeln erforderlich sind. Amazon EMR kann diese spezifischen Einstellungen bei der Erstellung von Standardsicherheitsgruppen nicht antizipieren. Sie können den ausgehenden Datenverkehr in Ihren Sicherheitsgruppen einschränken, sodass nur die Regeln berücksichtigt werden, die Ihren Anwendungsfällen und Sicherheitsrichtlinien entsprechen. Für diese Sicherheitsgruppe sind mindestens die folgenden Regeln für ausgehenden Datenverkehr erforderlich, für einige Anwendungen sind jedoch möglicherweise zusätzliche Regeln für ausgehenden Datenverkehr erforderlich.
| Typ | Protocol (Protokoll) | Port-Bereich | Ziel | Details |
| --- | --- | --- | --- | --- |
| Alle TCP | TCP | Alle | pl- xxxxxxxx | Verwaltete Präfixliste von Amazon S3 com.amazonaws.MyRegion.s3. |
| Gesamter Datenverkehr | Alle | Alle | sg- xxxxxxxxxxxxxxxxx | Die ID der Sicherheitsgruppe ElasticMapReduce-Core-Private. |
| Gesamter Datenverkehr | Alle | Alle | sg- xxxxxxxxxxxxxxxxx | Die ID der Sicherheitsgruppe ElasticMapReduce-Primary-Private. |
| Custom TCP | TCP | 9443 | sg- xxxxxxxxxxxxxxxxx | Die ID der Sicherheitsgruppe ElasticMapReduce-ServiceAccess. |
## Von Amazon EMR verwaltete Sicherheitsgruppe für den Servicezugriff (private Subnetze)
Die standardmäßig verwaltete Sicherheitsgruppe für den Dienstzugriff in privaten Subnetzen hat den **Gruppennamen ElasticMapReduce** **- ServiceAccess**. Sie besitzt Regeln für den eingehenden und den ausgehenden Datenverkehr, die Datenverkehr über HTTPS (Port 8443, Port 9443) mit den anderen verwalteten Sicherheitsgruppen in privaten Subnetzen zulassen. Diese Regeln ermöglichen dem Cluster-Manager die Kommunikation mit dem Primärknoten und mit Kern- und Aufgabenknoten. Dieselben Regeln sind erforderlich, wenn Sie benutzerdefinierte Sicherheitsgruppen verwenden.
| Typ | Protocol (Protokoll) | Port-Bereich | Quelle | Details |
| --- | --- | --- | --- | --- |
| Regeln für eingehenden Datenverkehr Erforderlich für EMR-Cluster mit Amazon EMR ab Version 5.30.0. |
| Custom TCP | TCP | 9443 | Die Gruppen-ID der verwalteten Sicherheitsgruppe für die Primär-Instance. | Diese Regel ermöglicht die Kommunikation zwischen der Sicherheitsgruppe der Primär-Instance und der Sicherheitsgruppe des Servicezugriffs. |
| Regeln für ausgehenden Datenverkehr erforderlich für alle Amazon-EMR-Cluster |
| Custom TCP | TCP | 8443 | Die Gruppen-ID der verwalteten Sicherheitsgruppe für die Primär-Instance. | Diese Regeln ermöglichen dem Cluster-Manager die Kommunikation mit dem Primärknoten und mit Kern- und Aufgabenknoten. |
| Custom TCP | TCP | 8443 | Die Gruppen-ID der verwalteten Sicherheitsgruppe für Core- und Aufgaben-Instances. | Diese Regeln ermöglichen dem Cluster-Manager die Kommunikation mit dem Primärknoten und mit Kern- und Aufgabenknoten. |