Seguridad en Amazon EMR - Amazon EMR
Seguridad de la red y la infraestructuraAMIActualizaciones predeterminadas de Amazon LinuxAWS Identity and Access Management con Amazon EMRProtección de los datos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Seguridad en Amazon EMR

La seguridad y el cumplimiento son una responsabilidad que usted comparte AWS. Este modelo de responsabilidad compartida puede ayudarlo a aliviar la carga operativa, ya que AWS opera, administra y controla los componentes desde el sistema operativo anfitrión y la capa de virtualización hasta la seguridad física de las instalaciones en las que operan EMR los clústeres. Usted asume la responsabilidad de gestionar y actualizar EMR los clústeres de Amazon, así como de configurar el software de la aplicación y los controles de seguridad AWS proporcionados. Esta diferenciación de responsabilidad suele denominarse seguridad de la nube en comparación con seguridad en la nube.

  • Seguridad de la nube: AWS es responsable de proteger la infraestructura Servicios de AWS en la que se ejecuta AWS. AWS también le proporciona servicios que puede utilizar de forma segura. Auditores independientes prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los programas de conformidad de AWS. Para obtener más información sobre los programas de conformidad que se aplican a AmazonEMR, consulta Servicios de AWS el apartado Alcance por programa de conformidad.

  • Seguridad en la nube: también eres responsable de realizar todas las tareas de configuración y administración de la seguridad necesarias para proteger un EMR clúster de Amazon. Los clientes que despliegan un EMR clúster de Amazon son responsables de la administración del software de aplicación instalado en las instancias y de la configuración de las funciones AWS proporcionadas, como los grupos de seguridad, el cifrado y el control de acceso, de acuerdo con sus requisitos y las leyes y normativas aplicables.

Esta documentación te ayuda a entender cómo aplicar el modelo de responsabilidad compartida cuando utilizas AmazonEMR. Los temas de este capítulo te muestran cómo configurar Amazon EMR y usar otros Servicios de AWS para cumplir tus objetivos de seguridad y conformidad.

Seguridad de la red y la infraestructura

Como servicio gestionado, Amazon EMR está protegido por los procedimientos de seguridad de la red AWS global que se describen en el documento técnico Amazon Web Services: descripción general de los procesos de seguridad. AWS Los servicios de protección de redes e infraestructuras le ofrecen protecciones detalladas tanto a nivel del servidor como de la red. Amazon EMR admite Servicios de AWS y aplica funciones que abordan los requisitos de protección y conformidad de la red.

  • Los grupos EC2 de seguridad de Amazon actúan como un firewall virtual para las instancias de EMR clúster de Amazon, lo que limita el tráfico de red entrante y saliente. Para obtener más información, consulte Control del tráfico de red con grupos de seguridad.

  • Amazon EMR block public access (BPA) le impide lanzar un clúster en una subred pública si el clúster tiene una configuración de seguridad que permite el tráfico entrante desde direcciones IP públicas de un puerto. Para obtener más información, consulta Cómo EMR bloquear el acceso público de Amazon.

  • Secure Shell (SSH) ayuda a proporcionar a los usuarios una forma segura de conectarse a la línea de comandos en las instancias de clúster. También se puede utilizar SSH para ver las interfaces web que las aplicaciones alojan en el nodo principal de un clúster. Para obtener más información, consulte Usar un EC2 key pair para SSH las credenciales y Conectarse a un clúster.

Actualizaciones del Amazon Linux predeterminado AMI para Amazon EMR

importante

EMRlos clústeres que ejecutan Amazon Linux o Amazon Machine Images (AMIs) de Amazon Linux 2 utilizan el comportamiento predeterminado de Amazon Linux y no descargan e instalan automáticamente actualizaciones importantes y críticas del núcleo que requieren un reinicio. Este comportamiento es el mismo que el de otras EC2 instancias de Amazon que ejecutan el Amazon Linux predeterminadoAMI. Si aparecen nuevas actualizaciones de software de Amazon Linux que requieren un reinicio (como el núcleo y CUDA las actualizaciones) después de que esté disponible una EMR versión de Amazon, las instancias de EMR clúster que se ejecutan de forma predeterminada AMI no descargan e instalan automáticamente esas actualizaciones. NVIDIA Para obtener actualizaciones del núcleo, puedes personalizar tu Amazon EMR AMI para que utilice la versión más reciente de Amazon Linux AMI.

En función del nivel de seguridad de la aplicación y del tiempo que lleve ejecutándose un clúster, puede optar por reiniciar el clúster periódicamente para aplicar las actualizaciones de seguridad, o crear una acción de arranque para personalizar la instalación y las actualizaciones de los paquetes. También puede optar por probar y, a continuación, instalar determinadas actualizaciones de seguridad en las instancias del clúster en ejecución. Para obtener más información, consulte Uso del Amazon Linux predeterminado AMI para Amazon EMR. Tenga en cuenta que la configuración de red debe permitir la HTTPS entrada HTTP y salida a los repositorios de Linux en Amazon S3; de lo contrario, las actualizaciones de seguridad no se realizarán correctamente.

AWS Identity and Access Management con Amazon EMR

AWS Identity and Access Management (IAM) es un AWS servicio que ayuda a un administrador a controlar de forma segura el acceso a AWS los recursos. IAMlos administradores controlan quién puede autenticarse (iniciar sesión) y quién está autorizado (tiene permisos) para usar los EMR recursos de Amazon. IAMlas identidades incluyen usuarios, grupos y roles. Un IAM rol es similar al de un IAM usuario, pero no está asociado a una persona específica y está pensado para que lo pueda asumir cualquier usuario que necesite permisos. Para obtener más información, AWS Identity and Access Management consulta Amazon EMR. Amazon EMR utiliza varios IAM roles para ayudarte a implementar controles de acceso para los EMR clústeres de Amazon. IAMes un AWS servicio que puede utilizar sin coste adicional.

  • IAMrol para Amazon EMR (EMRrol): controla cómo el EMR servicio de Amazon puede acceder a otros Servicios de AWS en tu nombre, como el aprovisionamiento de EC2 instancias de Amazon cuando se lanza el EMR clúster de Amazon. Para obtener más información, consulta Configurar las funciones IAM de servicio para EMR los permisos Servicios de AWS y los recursos de Amazon.

  • IAMrol para EC2 instancias de clúster (perfil de EC2 instancia): rol que se asigna a todas las EC2 instancias del EMR clúster de Amazon cuando se lanza la instancia. Los procesos de aplicación que se ejecutan en el clúster utilizan este rol para interactuar con otros Servicios de AWS, como Amazon S3. Para obtener más información, consulte la IAMfunción de las EC2 instancias del clúster.

  • IAMrol para aplicaciones (rol en tiempo de ejecución): IAM rol que puedes especificar al enviar un trabajo o una consulta a un EMR clúster de Amazon. El trabajo o la consulta que envíe a su EMR clúster de Amazon utiliza el rol de tiempo de ejecución para acceder a AWS los recursos, como los objetos de Amazon S3. Puedes especificar funciones de tiempo de ejecución con Amazon EMR para los trabajos de Spark y Hive. Al usar roles de tiempo de ejecución, puedes aislar los trabajos que se ejecutan en el mismo clúster usando IAM roles diferentes. Para obtener más información, consulta Cómo usar el IAM rol como rol de tiempo de ejecución en Amazon EMR.

Las identidades de la fuerza laboral se refieren a los usuarios que crean u operan cargas de trabajo en AWS ellas. Amazon EMR proporciona soporte para las identidades de los empleados con lo siguiente:

  • AWS IAMEl centro de identidad (Idc) es el recomendado Servicio de AWS para administrar el acceso de los usuarios a AWS los recursos. Es un lugar único donde puede asignar las identidades de sus empleados y acceder de manera uniforme a múltiples AWS cuentas y aplicaciones. Amazon EMR apoya las identidades de los empleados mediante una propagación de identidades fiable. Con una capacidad confiable de propagación de identidades, un usuario puede iniciar sesión en la aplicación y esa aplicación puede transmitir la identidad del usuario a otro usuario Servicios de AWS para autorizar el acceso a los datos o recursos. Para obtener más información, consulta Cómo habilitar el soporte para el centro de AWS IAM identidad con Amazon EMR.

    El Lightweight Directory Access Protocol (LDAP) es un protocolo de aplicación estándar del sector, abierto, independiente del proveedor y que permite acceder a la información sobre los usuarios, los sistemas, los servicios y las aplicaciones y mantenerla a través de la red. LDAPse suele utilizar para la autenticación de usuarios en servidores de identidad corporativa como Active Directory (AD) y Open. LDAP Al habilitar LDAP los EMR clústeres, permite a los usuarios utilizar sus credenciales existentes para autenticarse y acceder a los clústeres. Para obtener más información, consulta Cómo habilitar el soporte para LDAP Amazon EMR.

    Kerberos es un protocolo de autenticación de red diseñado para proporcionar una autenticación sólida para las aplicaciones cliente/servidor mediante criptografía de clave secreta. Cuando usa Kerberos, Amazon EMR configura Kerberos para las aplicaciones, los componentes y los subsistemas que instala en el clúster, de modo que se autentiquen entre sí. Para acceder a un clúster con Kerberos configurado, debe haber un elemento principal de Kerberos en el controlador de dominio de Kerberos (). KDC Para obtener más información, consulte Habilitar la compatibilidad con Kerberos con Amazon EMR.

Clústeres de un solo inquilino y de varios inquilinos

De forma predeterminada, un clúster está configurado para un solo arrendamiento con el perfil de EC2 instancia como identidad. IAM En un clúster de un solo inquilino, todos los trabajos tienen acceso total y completo al clúster y el acceso a todos los Servicios de AWS recursos se realiza en función del perfil de la EC2 instancia. En un clúster con varios inquilinos, los inquilinos están aislados unos de otros y no tienen acceso total ni completo a los clústeres ni a las EC2 instancias del clúster. La identidad de los clústeres de varios inquilinos son los roles de tiempo de ejecución o los que identifica el personal. En un clúster con varios inquilinos, también puedes habilitar la compatibilidad con un control de acceso detallado (FGAC) mediante Apache Ranger o Apache Ranger. AWS Lake Formation En el caso de un clúster con funciones de ejecución FGAC habilitadas o habilitadas, el acceso al perfil de EC2 instancia también se deshabilita a través de iptables.

importante

Cualquier usuario que tenga acceso a un clúster de un solo inquilino puede instalar cualquier software en el sistema operativo (SO) Linux, cambiar o eliminar los componentes de software instalados por Amazon EMR y afectar a las EC2 instancias que forman parte del clúster. Si quieres asegurarte de que los usuarios no puedan instalar o cambiar las configuraciones de un EMR clúster de Amazon, te recomendamos que habilites la multitenencia para el clúster. Para habilitar la multitenencia en un clúster, habilita la compatibilidad con el rol en tiempo de ejecución, el centro de AWS IAM identidad, Kerberos o LDAP

Protección de los datos

Con AWSél, puede controlar sus datos mediante el uso Servicios de AWS de herramientas para determinar cómo están protegidos los datos y quién tiene acceso a ellos. Los servicios como AWS Identity and Access Management (IAM) le permiten administrar de forma segura el acceso Servicios de AWS y los recursos. AWS CloudTrail permite la detección y la auditoría. Amazon le EMR facilita el cifrado de los datos en reposo en Amazon S3 mediante claves gestionadas por usted AWS o totalmente gestionadas por usted. Amazon EMR también admite la activación del cifrado de los datos en tránsito. Para obtener más información, consulte cifrado de datos en reposo y en tránsito.

Control de acceso a los datos

Con el control de acceso a los datos, puedes controlar a qué datos puede acceder una IAM identidad o la identidad de un empleado. Amazon EMR admite los siguientes controles de acceso:

  • IAMpolíticas basadas en la identidad: gestiona los permisos de las IAM funciones que utilizas en Amazon. EMR IAMlas políticas se pueden combinar con el etiquetado para controlar el acceso de forma individualizada. cluster-by-cluster Para obtener más información, AWS Identity and Access Management consulta Amazon EMR.

  • AWS Lake Formation centraliza la administración de permisos de sus datos y facilita su uso compartido en toda la organización y de forma externa. Puede usar Lake Formation para permitir un acceso detallado a nivel de columnas a las bases de datos y tablas del catálogo de datos de Glue. AWS Para obtener más información, consulta Uso AWS Lake Formation con Amazon EMR.

  • El acceso a Amazon S3 otorga identidades de mapas que mapean identidades en directorios como Active Directory, o AWS Identity and Access Management (IAM) principals, a conjuntos de datos de S3. Además, el acceso a S3 concede la identidad del usuario final de registro y la aplicación utilizada para acceder a los datos de S3 en AWS CloudTrail. Para obtener más información, consulte Uso de las concesiones de acceso a Amazon S3 con Amazon EMR.

  • Apache Ranger es un marco para habilitar, monitorizar y administrar la seguridad integral de los datos en toda la plataforma Hadoop. Amazon EMR admite un control de acceso detallado basado en Apache Ranger para Apache Hive Metastore y Amazon S3. Para obtener más información, consulte Integrar Apache Ranger con Amazon EMR.