Sécurité du réseau et de l'infrastructure Mises à AMI jour Amazon Linux par défaut AWS Identity and Access Management avec Amazon EMR Protection des données

Sécurité sur Amazon EMR

La sécurité et la conformité sont une responsabilité que vous partagez avec vous AWS. Ce modèle de responsabilité partagée peut vous aider à alléger votre charge opérationnelle en AWS exploitant, en gérant et en contrôlant les composants, depuis le système d'exploitation hôte et la couche de virtualisation jusqu'à la sécurité physique des installations dans lesquelles les EMR clusters opèrent. Vous assumez la responsabilité, la gestion et la mise à jour EMR des clusters Amazon, ainsi que la configuration du logiciel d'application et des contrôles de sécurité AWS fournis. Cette différenciation des responsabilités est communément appelée sécurité du cloud par rapport à la sécurité dans le cloud.

Sécurité du cloud : AWS est chargée de protéger l'infrastructure qui s'y exécute Services AWS AWS. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l’efficacité de notre sécurité dans le cadre des programmes de conformitéAWS. Pour en savoir plus sur les programmes de conformité applicables à AmazonEMR, consultez Services AWS la section Champ d'application par programme de conformité.
Sécurité dans le cloud : vous êtes également chargé d'effectuer toutes les tâches de configuration et de gestion de sécurité nécessaires pour sécuriser un EMR cluster Amazon. Les clients qui déploient un EMR cluster Amazon sont responsables de la gestion du logiciel d'application installé sur les instances et de la configuration des fonctionnalités AWS fournies, telles que les groupes de sécurité, le chiffrement et le contrôle d'accès, conformément à vos exigences, aux lois et réglementations applicables.

Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation d'AmazonEMR. Les rubriques de ce chapitre vous montrent comment configurer Amazon EMR et en utiliser d'autres Services AWS pour atteindre vos objectifs de sécurité et de conformité.

Sécurité du réseau et de l'infrastructure

En tant que service géré, Amazon EMR est protégé par les procédures de sécurité du réseau AWS mondial décrites dans le livre blanc Amazon Web Services : présentation des processus de sécurité. AWS les services de protection du réseau et de l'infrastructure vous offrent des protections précises à la fois au niveau de l'hôte et au niveau du réseau. Amazon EMR prend en charge Services AWS les fonctionnalités de l'application qui répondent aux exigences de protection et de conformité de votre réseau.

Les groupes EC2 de sécurité Amazon agissent comme un pare-feu virtuel pour les instances de EMR cluster Amazon, limitant le trafic réseau entrant et sortant. Pour plus d'informations, consultez la section Contrôler le trafic réseau à l'aide de groupes de sécurité.
Amazon EMR block public access (BPA) vous empêche de lancer un cluster dans un sous-réseau public si le cluster possède une configuration de sécurité qui autorise le trafic entrant depuis des adresses IP publiques sur un port. Pour plus d'informations, consultez Utiliser Amazon pour EMR bloquer l'accès public.
Secure Shell (SSH) permet aux utilisateurs de se connecter en toute sécurité à la ligne de commande sur les instances de cluster. Vous pouvez également les utiliser SSH pour afficher les interfaces Web hébergées par les applications sur le nœud principal d'un cluster. Pour plus d'informations, voir Utiliser une paire de EC2 clés pour les SSH informations d'identification et Se connecter à un cluster.

Mises à jour de la version par défaut d'Amazon Linux AMI pour Amazon EMR

Important

EMRles clusters qui exécutent Amazon Linux ou Amazon Linux 2 Amazon Machine Images (AMIs) utilisent le comportement par défaut d'Amazon Linux et ne téléchargent ni n'installent automatiquement les mises à jour importantes et critiques du noyau nécessitant un redémarrage. Ce comportement est identique à celui des autres EC2 instances Amazon qui exécutent Amazon Linux par défautAMI. Si de nouvelles mises à jour logicielles Amazon Linux nécessitant un redémarrage (telles que le noyau et les CUDA mises à jour) sont disponibles après la EMR sortie d'une version d'Amazon, les instances de EMR cluster qui exécutent la version par défaut AMI ne téléchargent ni n'installent automatiquement ces mises à jour. NVIDIA Pour obtenir les mises à jour du noyau, vous pouvez personnaliser votre Amazon EMR AMI pour qu'il utilise la dernière version d'Amazon Linux AMI.

En fonction de la sécurité de votre application et de la durée pendant laquelle un cluster s'exécute, vous pouvez choisir de façon périodique de redémarrer votre cluster pour appliquer des mises à jour de sécurité, ou créer une action d'amorçage pour personnaliser les packages à installer et les mises à jour. Vous pouvez également choisir de tester et d'installer certaines mises à jour de sécurité sur les instances de cluster en cours d'exécution. Pour de plus amples informations, veuillez consulter Utilisation de l'Amazon Linux par défaut AMI pour Amazon EMR. Notez que votre configuration réseau doit autoriser l'accès HTTP et la HTTPS sortie vers les référentiels Linux d'Amazon S3, sinon les mises à jour de sécurité échoueront.

AWS Identity and Access Management avec Amazon EMR

AWS Identity and Access Management (IAM) est un AWS service qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. IAMles administrateurs contrôlent qui peut être authentifié (connecté) et autorisé (autorisé) à utiliser les EMR ressources Amazon. IAMles identités incluent les utilisateurs, les groupes et les rôles. Un IAM rôle est similaire à celui IAM d'un utilisateur, mais n'est pas associé à une personne spécifique et est destiné à être assumé par tout utilisateur ayant besoin d'autorisations. Pour plus d'informations, consultez AWS Identity and Access Management Amazon EMR. Amazon EMR utilise plusieurs IAM rôles pour vous aider à mettre en œuvre des contrôles d'accès pour les EMR clusters Amazon. IAMest un AWS service que vous pouvez utiliser sans frais supplémentaires.

IAMrôle pour Amazon EMR (EMRrôle) : contrôle la manière dont le EMR service Amazon peut accéder à d'autres personnes Services AWS en votre nom, par exemple en fournissant des EC2 instances Amazon lors du lancement du EMR cluster Amazon. Pour plus d'informations, consultez Configurer les rôles de IAM service pour EMR les autorisations Services AWS et les ressources Amazon.
IAMrôle pour les EC2 instances de cluster (profil d'EC2instance) : rôle attribué à chaque EC2 instance du EMR cluster Amazon lors du lancement de l'instance. Les processus d'application qui s'exécutent sur le cluster utilisent ce rôle pour interagir avec d'autres processus Services AWS, tels qu'Amazon S3. Pour plus d'informations, consultez la section IAMRôle des EC2 instances du cluster.
IAMrôle pour les applications (rôle d'exécution) : IAM rôle que vous pouvez spécifier lorsque vous soumettez une tâche ou une requête à un EMR cluster Amazon. La tâche ou la requête que vous soumettez à votre EMR cluster Amazon utilise le rôle d'exécution pour accéder à AWS des ressources, telles que des objets dans Amazon S3. Vous pouvez spécifier des rôles d'exécution avec Amazon EMR pour les tâches Spark et Hive. En utilisant des rôles d'exécution, vous pouvez isoler les tâches exécutées sur le même cluster en utilisant différents IAM rôles. Pour plus d'informations, consultez Utiliser IAM un rôle en tant que rôle d'exécution avec Amazon EMR.

Les identités du personnel font référence aux utilisateurs qui créent ou exploitent des charges de travail. AWS Amazon EMR fournit une assistance pour les identités des employés avec les éléments suivants :

AWS IAMLe centre d'identité (Idc) est recommandé Service AWS pour gérer l'accès des utilisateurs aux AWS ressources. Il s'agit d'un endroit unique où vous pouvez attribuer les identités de vos employés, ainsi qu'un accès cohérent à plusieurs AWS comptes et applications. Amazon EMR prend en charge l'identité des employés grâce à une propagation fiable des identités. Grâce à la fonctionnalité de propagation d'identité fiable, un utilisateur peut se connecter à l'application et cette application peut transmettre l'identité de l'utilisateur à d'autres personnes Services AWS pour autoriser l'accès aux données ou aux ressources. Pour plus d'informations, consultez Activer la prise en charge du centre AWS IAM d'identité avec Amazon EMR.

Le Lightweight Directory Access Protocol (LDAP) est un protocole d'application standard ouvert, indépendant du fournisseur, permettant d'accéder aux informations relatives aux utilisateurs, aux systèmes, aux services et aux applications sur le réseau et de les gérer. LDAPest couramment utilisé pour l'authentification des utilisateurs sur les serveurs d'identité d'entreprise tels qu'Active Directory (AD) et OpenLDAP. En activant LDAP avec des EMR clusters, vous permettez aux utilisateurs d'utiliser leurs informations d'identification existantes pour s'authentifier et accéder aux clusters. Pour plus d'informations, consultez la section Activation du support pour LDAP Amazon EMR.

Kerberos est un protocole d'authentification réseau conçu pour fournir une authentification forte aux applications client/serveur à l'aide de la cryptographie à clé secrète. Lorsque vous utilisez Kerberos, Amazon EMR configure Kerberos pour les applications, les composants et les sous-systèmes qu'il installe sur le cluster afin qu'ils soient authentifiés les uns avec les autres. Pour accéder à un cluster avec Kerberos configuré, un Kerberos principal doit être présent dans le contrôleur de domaine Kerberos (). KDC Pour plus d'informations, consultez Activation de la prise en charge de Kerberos avec Amazon. EMR

Clusters à locataire unique et à locataires multiples

Un cluster est configuré par défaut pour une location unique avec le profil d'EC2instance comme IAM identité. Dans un cluster à locataire unique, chaque tâche dispose d'un accès complet au cluster et l'accès à toutes les Services AWS ressources est effectué sur la base du profil d'EC2instance. Dans un cluster à locataires multiples, les locataires sont isolés les uns des autres et n'ont pas un accès complet aux clusters et aux EC2 instances du cluster. L'identité sur les clusters à locataires multiples est soit les rôles d'exécution, soit les identifiants du personnel. Dans un cluster mutualisé, vous pouvez également activer la prise en charge du contrôle d'accès détaillé (FGAC) via AWS Lake Formation ou Apache Ranger. Un cluster doté de rôles d'exécution ou dont l'accès au profil d'EC2instance est FGAC activé est également désactivé via iptables.

Important

Tous les utilisateurs ayant accès à un cluster à locataire unique peuvent installer n'importe quel logiciel sur le système d'exploitation (OS) Linux, modifier ou supprimer des composants logiciels installés par Amazon EMR et avoir un impact sur les EC2 instances qui font partie du cluster. Si vous souhaitez vous assurer que les utilisateurs ne peuvent pas installer ou modifier les configurations d'un EMR cluster Amazon, nous vous recommandons d'activer la mutualisation pour le cluster. Vous pouvez activer la mutualisation sur un cluster en activant la prise en charge du rôle d'exécution, du centre d' AWS IAMidentité, de Kerberos ou. LDAP

Protection des données

Avec AWS, vous contrôlez vos données en utilisant Services AWS des outils pour déterminer comment les données sont sécurisées et qui y a accès. Des services tels que AWS Identity and Access Management (IAM) vous permettent de gérer en toute sécurité l'accès Services AWS et les ressources. AWS CloudTrail permet la détection et l'audit. Amazon vous EMR permet de chiffrer facilement les données au repos dans Amazon S3 en utilisant des clés que vous gérez AWS ou que vous gérez entièrement. Amazon prend EMR également en charge l'activation du chiffrement des données en transit. Pour plus d'informations, consultez la section Chiffrer les données au repos et en transit.

Contrôle d'accès aux données

Grâce au contrôle d'accès aux données, vous pouvez contrôler les données auxquelles une IAM identité ou une identité de personnel peut accéder. Amazon EMR prend en charge les contrôles d'accès suivants :

IAMpolitiques basées sur l'identité : gérez les autorisations pour les IAM rôles que vous utilisez avec Amazon. EMR IAMles politiques peuvent être combinées avec le balisage pour contrôler l'accès sur une cluster-by-cluster base donnée. Pour plus d'informations, consultez AWS Identity and Access Management Amazon EMR.
AWS Lake Formationcentralise la gestion des autorisations de vos données et facilite leur partage au sein de votre organisation et en externe. Vous pouvez utiliser Lake Formation pour permettre un accès précis au niveau des colonnes aux bases de données et aux tables du Glue AWS Data Catalog. Pour plus d'informations, consultez la section Utilisation AWS Lake Formation avec Amazon EMR.
L'accès Amazon S3 accorde des identités de mappage aux identités de mappage des annuaires tels qu'Active Directory, ou AWS Identity and Access Management (IAM) principals, aux ensembles de données de S3. En outre, l'accès S3 accorde l'identité de l'utilisateur final du journal et l'application utilisée pour accéder aux AWS CloudTrail données S3. Pour plus d'informations, consultez Utiliser les autorisations d'accès Amazon S3 avec Amazon EMR.
Apache Ranger est un framework permettant d'activer, de surveiller et de gérer la sécurité complète des données sur la plateforme Hadoop. Amazon EMR prend en charge le contrôle d'accès détaillé basé sur Apache Ranger pour Apache Hive Metastore et Amazon S3. Pour plus d'informations, consultez Intégrer Apache Ranger à Amazon EMR.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisez des outils de business intelligence avec Amazon EMR

Configurations de la sécurité