Netzwerk- und Infrastruktursicherheit Standardmäßige Amazon AMI Linux-Updates AWS Identity and Access Management mit Amazon EMR Datenschutz

Sicherheit bei Amazon EMR

Sicherheit und Compliance sind eine Verantwortung, mit der Sie sich teilen AWS. Dieses Modell der geteilten Verantwortung kann Ihnen helfen, Ihre betriebliche Belastung zu verringern, da AWS die Komponenten vom Host-Betriebssystem und der Virtualisierungsebene bis hin zur physischen Sicherheit der Einrichtungen, in denen EMR Cluster betrieben werden, betrieben, verwaltet und kontrolliert werden. Sie übernehmen die Verantwortung für die Verwaltung und Aktualisierung der EMR Amazon-Cluster sowie die Konfiguration der Anwendungssoftware und die AWS bereitgestellten Sicherheitskontrollen. Diese Differenzierung der Verantwortung wird allgemein als Sicherheit der Cloud und Sicherheit in der Cloud bezeichnet.

Sicherheit der Cloud — AWS ist verantwortlich für den Schutz der Infrastruktur, AWS -Services in der sie ausgeführt wird AWS. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Auditoren von Drittanbietern testen und überprüfen die Effektivität unserer Sicherheitsmaßnahmen im Rahmen der AWS -Compliance-Programme regelmäßig. Weitere Informationen zu den Compliance-Programmen, die für Amazon geltenEMR, finden Sie AWS -Services unter Umfang nach Compliance-Programmen.
Sicherheit in der Cloud — Sie sind auch dafür verantwortlich, alle erforderlichen Sicherheitskonfigurations- und Verwaltungsaufgaben zur Sicherung eines EMR Amazon-Clusters durchzuführen. Kunden, die einen EMR Amazon-Cluster bereitstellen, sind für die Verwaltung der auf den Instances installierten Anwendungssoftware und die Konfiguration der AWS bereitgestellten Funktionen wie Sicherheitsgruppen, Verschlüsselung und Zugriffskontrolle gemäß Ihren Anforderungen, geltenden Gesetzen und Vorschriften verantwortlich.

Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Nutzung von Amazon anwenden könnenEMR. Die Themen in diesem Kapitel zeigen Ihnen, wie Sie Amazon konfigurieren EMR und andere verwenden AWS -Services , um Ihre Sicherheits- und Compliance-Ziele zu erreichen.

Netzwerk- und Infrastruktursicherheit

Als verwalteter Service EMR ist Amazon durch die AWS globalen Netzwerksicherheitsverfahren geschützt, die im Whitepaper Amazon Web Services: Sicherheitsprozesse im Überblick beschrieben sind. AWS Die Dienste zum Schutz von Netzwerken und Infrastrukturen bieten Ihnen differenzierten Schutz sowohl auf Host- als auch auf Netzwerkebene. Support EMR AWS -Services und Anwendungsfunktionen von Amazon, die Ihren Netzwerkschutz- und Compliance-Anforderungen entsprechen.

EC2Amazon-Sicherheitsgruppen fungieren als virtuelle Firewall für EMR Amazon-Cluster-Instances und begrenzen den eingehenden und ausgehenden Netzwerkverkehr. Weitere Informationen finden Sie unter Steuern des Netzwerkverkehrs mit Sicherheitsgruppen.
Amazon EMR Block Public Access (BPA) verhindert, dass Sie einen Cluster in einem öffentlichen Subnetz starten, wenn der Cluster über eine Sicherheitskonfiguration verfügt, die eingehenden Datenverkehr von öffentlichen IP-Adressen an einem Port zulässt. Weitere Informationen finden Sie unter Verwenden von Amazon, um den öffentlichen Zugriff zu EMR blockieren.
Secure Shell (SSH) bietet Benutzern eine sichere Möglichkeit, eine Verbindung zur Befehlszeile auf Cluster-Instances herzustellen. Sie können SSH damit auch Weboberflächen anzeigen, die Anwendungen auf dem Master-Knoten eines Clusters hosten. Weitere Informationen finden Sie unter Verwenden eines EC2 key pair für SSH Anmeldeinformationen und Connect zu einem Cluster herstellen.

Updates für das standardmäßige Amazon Linux AMI für Amazon EMR

Wichtig

EMRCluster, auf denen Amazon Linux oder Amazon Linux 2 Amazon Machine Images (AMIs) ausgeführt werden, verwenden das Standardverhalten von Amazon Linux und laden wichtige und kritische Kernel-Updates, die einen Neustart erfordern, nicht automatisch herunter und installieren sie. Dies ist dasselbe Verhalten wie bei anderen EC2 Amazon-Instances, auf denen das standardmäßige Amazon Linux ausgeführt wirdAMI. Wenn neue Amazon Linux-Softwareupdates, die einen Neustart erfordern (wie Kernel und CUDA Updates)NVIDIA, verfügbar werden, nachdem eine EMR Amazon-Version verfügbar wird, laden EMR Cluster-Instances, die standardmäßig ausgeführt werden, diese Updates AMI nicht automatisch herunter und installieren sie. Um Kernel-Updates zu erhalten, können Sie Ihr Amazon so anpassen EMR AMI, dass es das neueste Amazon Linux verwendet AMI.

Abhängig von der Sicherheit Ihrer Anwendung und der Dauer der Ausführung eines Clusters können Sie wählen, ob Sie Ihr Cluster regelmäßig neu starten, um Sicherheitsupdates anzuwenden, oder ob Sie eine Bootstrap-Aktion zum Anpassen von Paketinstallation und Updates erstellen. Sie können außerdem Sicherheitsupdates erst testen und dann auf ausgeführten Cluster-Instances installieren. Weitere Informationen finden Sie unter Verwenden des standardmäßigen Amazon Linux AMI für Amazon EMR. Beachten Sie, dass Ihre Netzwerkkonfiguration Linux-Repositorys in Amazon S3 zulassen HTTP und HTTPS zu diesen gelangen muss, da andernfalls Sicherheitsupdates nicht erfolgreich sein werden.

AWS Identity and Access Management mit Amazon EMR

AWS Identity and Access Management (IAM) ist ein AWS Service, der einem Administrator hilft, den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAMAdministratoren kontrollieren, wer authentifiziert (angemeldet) und autorisiert werden kann (über Berechtigungen verfügt), um EMR Amazon-Ressourcen zu nutzen. IAMZu den Identitäten gehören Benutzer, Gruppen und Rollen. Eine IAM Rolle ähnelt einem IAM Benutzer, ist jedoch keiner bestimmten Person zugeordnet und soll von jedem Benutzer übernommen werden können, der Berechtigungen benötigt. Weitere Informationen finden Sie unter AWS Identity and Access Management Für Amazon EMR. Amazon EMR verwendet mehrere IAM Rollen, um Sie bei der Implementierung von Zugriffskontrollen für EMR Amazon-Cluster zu unterstützen. IAMist ein AWS Service, den Sie ohne zusätzliche Kosten nutzen können.

IAMRolle für Amazon EMR (EMRRolle) — steuert, wie der EMR Amazon-Service in Ihrem Namen AWS -Services auf andere zugreifen kann, z. B. die Bereitstellung von EC2 Amazon-Instances beim Start des EMR Amazon-Clusters. Weitere Informationen finden Sie unter IAM Servicerollen für EMR Amazon-Berechtigungen AWS -Services und Ressourcen konfigurieren.
IAMRolle für EC2 Cluster-Instances (EC2Instance-Profil) — eine Rolle, die jeder EC2 Instance im EMR Amazon-Cluster zugewiesen wird, wenn die Instance gestartet wird. Anwendungsprozesse, die auf dem Cluster ausgeführt werden, verwenden diese Rolle, um mit anderen zu interagieren AWS -Services, z. B. mit Amazon S3. Weitere Informationen finden Sie unter IAMRolle für EC2 Cluster-Instances.
IAMRolle für Anwendungen (Runtime-Rolle) — eine IAM Rolle, die Sie angeben können, wenn Sie einen Job oder eine Anfrage an einen EMR Amazon-Cluster senden. Der Job oder die Abfrage, die Sie an Ihren EMR Amazon-Cluster senden, verwendet die Runtime-Rolle, um auf AWS Ressourcen wie Objekte in Amazon S3 zuzugreifen. Sie können Runtime-Rollen bei Amazon EMR für Spark- und Hive-Jobs angeben. Mithilfe von Runtime-Rollen können Sie Jobs, die auf demselben Cluster ausgeführt werden, mithilfe verschiedener IAM Rollen isolieren. Weitere Informationen finden Sie unter IAMRolle als Runtime-Rolle bei Amazon verwenden EMR.

Personalidentitäten beziehen sich auf Benutzer, in denen Workloads erstellt oder ausgeführt werden. AWS Amazon EMR bietet folgenden Support für Personalidentitäten:

AWS IAMIdentity Center (Idc) wird AWS -Service für die Verwaltung des Benutzerzugriffs auf AWS Ressourcen empfohlen. Es handelt sich um einen zentralen Ort, an dem Sie Ihren Mitarbeitern Identitäten zuweisen und so konsistenten Zugriff auf mehrere AWS Konten und Anwendungen haben können. Amazon EMR unterstützt die Identitäten von Mitarbeitern durch vertrauenswürdige Weitergabe von Identitäten. Mit der Funktion zur Weitergabe vertrauenswürdiger Identitäten kann sich ein Benutzer bei der Anwendung anmelden, und diese Anwendung kann die Identität des Benutzers an andere AWS -Services weitergeben, um den Zugriff auf Daten oder Ressourcen zu autorisieren. Weitere Informationen finden Sie unter Unterstützung für AWS IAMIdentity Center bei Amazon aktivierenEMR.

Das Lightweight Directory Access Protocol (LDAP) ist ein offenes, herstellerneutrales, branchenübliches Anwendungsprotokoll für den Zugriff auf und die Verwaltung von Informationen über Benutzer, Systeme, Dienste und Anwendungen über das Netzwerk. LDAPwird häufig für die Benutzerauthentifizierung gegenüber Unternehmensidentitätsservern wie Active Directory (AD) und Open verwendet. LDAP Durch die Aktivierung LDAP mit EMR Clustern ermöglichen Sie es Benutzern, ihre vorhandenen Anmeldeinformationen für die Authentifizierung und den Zugriff auf Cluster zu verwenden. Weitere Informationen finden Sie unter Support für LDAP mit Amazon aktivieren EMR.

Kerberos ist ein Netzwerkauthentifizierungsprotokoll, das entwickelt wurde, um mithilfe von Secret-Key-Kryptografie eine starke Authentifizierung für Client-/Serveranwendungen zu ermöglichen. Wenn Sie Kerberos verwenden, EMR konfiguriert Amazon Kerberos für die Anwendungen, Komponenten und Subsysteme, die es auf dem Cluster installiert, sodass sie sich gegenseitig authentifizieren. Um auf einen Cluster mit konfiguriertem Kerberos zuzugreifen, muss ein Kerberos-Prinzipal im Kerberos-Domänencontroller () vorhanden sein. KDC Weitere Informationen finden Sie unter Unterstützung für Kerberos bei Amazon aktivieren. EMR

Cluster mit einem Mandanten und mehreren Mandanten

Ein Cluster ist standardmäßig für einen einzelnen Mandanten mit dem EC2 Instanzprofil als Identität konfiguriert. IAM In einem Single-Tenant-Cluster hat jeder Job vollen und vollständigen Zugriff auf den Cluster, und der Zugriff auf alle AWS -Services Ressourcen erfolgt auf der Grundlage des EC2 Instanzprofils. In einem Multi-Tenant-Cluster sind die Mandanten voneinander isoliert und die Mandanten haben keinen vollen und vollständigen Zugriff auf die Cluster und EC2 Instanzen des Clusters. Bei Clustern mit mehreren Mandanten werden entweder die Runtime-Rollen oder die Belegschaft identifiziert. In einem Multi-Tenant-Cluster können Sie auch die Unterstützung für eine differenzierte Zugriffskontrolle (FGAC) über AWS Lake Formation oder Apache Ranger aktivieren. Bei einem Cluster, der über Runtime-Rollen verfügt oder der Zugriff auf das EC2 Instanzprofil FGAC aktiviert ist, ist der Zugriff über iptables ebenfalls deaktiviert.

Wichtig

Jeder Benutzer, der Zugriff auf einen Single-Tenant-Cluster hat, kann jede Software auf dem Linux-Betriebssystem (OS) installieren, von Amazon installierte Softwarekomponenten ändern oder entfernen EMR und sich auf die EC2 Instances auswirken, die Teil des Clusters sind. Wenn Sie sicherstellen möchten, dass Benutzer keine Konfigurationen eines EMR Amazon-Clusters installieren oder ändern können, empfehlen wir Ihnen, Multi-Tenancy für den Cluster zu aktivieren. Sie können Multi-Tenancy auf einem Cluster aktivieren, indem Sie die Unterstützung für Runtime Role, AWS IAM Identity Center, Kerberos oder aktivieren. LDAP

Datenschutz

Mit können Sie Ihre Daten kontrollieren AWS, indem Sie Tools verwenden AWS -Services , mit denen Sie bestimmen, wie die Daten gesichert sind und wer Zugriff darauf hat. Mit Diensten wie AWS Identity and Access Management (IAM) können Sie den Zugriff auf AWS -Services und Ressourcen sicher verwalten. AWS CloudTrail ermöglicht Erkennung und Prüfung. Amazon EMR macht es Ihnen leicht, ruhende Daten in Amazon S3 zu verschlüsseln, indem Sie Schlüssel verwenden, die entweder von Ihnen verwaltet werden AWS oder vollständig von Ihnen verwaltet werden. Amazon unterstützt EMR auch die Aktivierung der Verschlüsselung für Daten während der Übertragung. Weitere Informationen finden Sie unter Verschlüsseln von Daten im Ruhezustand und bei der Übertragung.

Datenzugriffskontrolle

Mit der Datenzugriffskontrolle können Sie steuern, auf welche Daten eine IAM Identität oder eine Mitarbeiteridentität zugreifen kann. Amazon EMR unterstützt die folgenden Zugriffskontrollen:

IAMidentitätsbasierte Richtlinien — verwalten Sie Berechtigungen für IAM Rollen, die Sie bei Amazon verwenden. EMR IAMRichtlinien können mit Tagging kombiniert werden, um den Zugriff auf Basis zu kontrollieren. cluster-by-cluster Weitere Informationen finden Sie unter AWS Identity and Access Management Für Amazon EMR.
AWS Lake Formationzentralisiert die Rechteverwaltung Ihrer Daten und erleichtert die gemeinsame Nutzung innerhalb Ihrer Organisation und extern. Sie können Lake Formation verwenden, um einen detaillierten Zugriff auf Spaltenebene auf Datenbanken und Tabellen im Glue-Datenkatalog zu ermöglichen. AWS Weitere Informationen finden Sie unter AWS Lake Formation Mit Amazon verwendenEMR.
Amazon S3 S3-Zugriff gewährt Zuordnungsidentitäten, Identitäten in Verzeichnissen wie Active Directory oder AWS Identity and Access Management (IAM) -Prinzipalen Datensätzen in S3 zuzuordnen. Darüber hinaus ermöglicht der S3-Zugriff die Protokollierung der Identität des Endbenutzers und der Anwendung, die für den Zugriff auf S3-Daten verwendet wird. AWS CloudTrail Weitere Informationen finden Sie unter Verwenden von Amazon S3 S3-Zugriffsberechtigungen mit Amazon EMR.
Apache Ranger ist ein Framework zur Aktivierung, Überwachung und Verwaltung einer umfassenden Datensicherheit auf der gesamten Hadoop-Plattform. Amazon EMR unterstützt eine auf Apache Ranger basierende, feinkörnige Zugriffskontrolle für Apache Hive Metastore und Amazon S3. Weitere Informationen finden Sie unter Integrieren von Apache Ranger mit Amazon EMR.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwenden Sie Business Intelligence-Tools mit Amazon EMR

Sicherheitskonfigurationen