Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Amazon EMR memblokir akses publik (BPA) mencegah Anda meluncurkan cluster di subnet publik jika cluster memiliki konfigurasi keamanan yang memungkinkan lalu lintas masuk dari alamat IP publik pada port.
penting
Blokir akses publik diaktifkan secara default. Untuk meningkatkan perlindungan akun, kami sarankan Anda tetap mengaktifkannya.
Memahami memblokir akses publik
Anda dapat menggunakan konfigurasi tingkat akun akses publik blokir untuk mengelola akses jaringan publik secara terpusat ke kluster Amazon EMR.
Saat pengguna dari Anda Akun AWS meluncurkan kluster, Amazon EMR memeriksa aturan port di grup keamanan untuk klaster dan membandingkannya dengan aturan lalu lintas masuk Anda. Jika grup keamanan memiliki aturan masuk yang membuka port ke alamat IP publik IPv4 0.0.0.0/0 atau IPv6 : :/0, dan port tersebut tidak ditentukan sebagai pengecualian untuk akun Anda, Amazon EMR tidak mengizinkan pengguna membuat cluster.
Jika pengguna memodifikasi aturan grup keamanan untuk klaster yang berjalan di subnet publik agar memiliki aturan akses publik yang melanggar konfigurasi BPA untuk akun Anda, Amazon EMR mencabut aturan baru jika memiliki izin untuk melakukannya. Jika Amazon EMR tidak memiliki izin untuk mencabut aturan, itu akan membuat peristiwa di AWS Health dasbor yang menjelaskan pelanggaran. Untuk memberikan izin aturan pencabutan ke Amazon EMR, lihat. Konfigurasikan Amazon EMR untuk mencabut aturan grup keamanan
Blokir akses publik diaktifkan secara default untuk semua cluster di setiap Wilayah AWS untuk Anda Akun AWS. BPA berlaku untuk seluruh siklus hidup klaster, tetapi tidak berlaku untuk cluster yang Anda buat di subnet pribadi. Anda dapat mengonfigurasi pengecualian ke aturan BPA; port 22 adalah pengecualian secara default. Untuk informasi selengkapnya tentang pengaturan pengecualian, lihatKonfigurasi akses publik blok.
Konfigurasi akses publik blok
Anda dapat memperbarui grup keamanan dan konfigurasi akses publik blok di akun Anda kapan saja.
Anda dapat mengaktifkan dan menonaktifkan pengaturan blokir akses publik (BPA) dengan AWS Management Console, AWS Command Line Interface (AWS CLI), dan API EMR Amazon. Pengaturan berlaku di seluruh akun Anda Region-by-Region berdasarkan. Untuk menjaga keamanan klaster, kami sarankan Anda menggunakan BPA.
Untuk mengkonfigurasi blokir akses publik dengan konsol
-
Di bilah navigasi atas, pilih Wilayah yang ingin Anda konfigurasikan jika belum dipilih.
-
Di bawah EMR EC2 di panel navigasi kiri, pilih Blokir akses publik.
-
Di bawah Pengaturan akses publik blok, selesaikan langkah-langkah berikut.
Untuk… Melakukan ini... Aktifkan atau Nonaktifkan akses publik blok
Pilih Edit, pilih Aktifkan atau Matikan sesuai kebutuhan, lalu pilih Simpan.
Edit port di daftar pengecualian
-
Pilih Edit dan temukan bagian Pengecualian rentang Port.
-
Untuk menambahkan port ke daftar pengecualian, memilih Menambahkan rentang port dan masukkan port baru atau rentang port. Ulangi untuk setiap port atau rentang port untuk menambahkan.
-
Untuk menghapus port atau rentang port, pilih Hapus di samping entri dalam daftar rentang port.
-
Pilih Simpan.
-
Konfigurasikan Amazon EMR untuk mencabut aturan grup keamanan
Amazon EMR memerlukan izin untuk mencabut aturan grup keamanan dan mematuhi konfigurasi blokir akses publik Anda. Anda dapat menggunakan salah satu pendekatan berikut untuk memberikan izin kepada Amazon EMR yang dibutuhkannya:
-
(Disarankan) Lampirkan kebijakan
AmazonEMRServicePolicy_v2
terkelola ke peran layanan. Untuk informasi selengkapnya, lihat Peran layanan untuk Amazon EMR (peran EMR). -
Buat kebijakan inline baru yang memungkinkan
ec2:RevokeSecurityGroupIngress
tindakan pada grup keamanan. Untuk informasi selengkapnya tentang cara mengubah kebijakan izin peran, lihat Memodifikasi kebijakan izin peran dengan Konsol IAM, AWS API, dan AWS CLIdalam Panduan Pengguna IAM.
Selesaikan blokir pelanggaran akses publik
Jika terjadi pelanggaran akses publik pemblokiran, Anda dapat menguranginya dengan salah satu tindakan berikut:
-
Jika Anda ingin mengakses antarmuka web di cluster Anda, gunakan salah satu opsi yang dijelaskan Melihat antarmuka web yang di-host pada klaster Amazon EMR untuk mengakses antarmuka melalui SSH (port 22).
-
Untuk memungkinkan lalu lintas ke cluster dari alamat IP tertentu daripada dari alamat IP publik, tambahkan aturan grup keamanan. Untuk informasi selengkapnya, lihat Menambahkan aturan ke grup keamanan di Panduan EC2 Memulai Amazon.
-
(Tidak disarankan) Anda dapat mengonfigurasi pengecualian Amazon EMR BPA untuk menyertakan port atau rentang port yang diinginkan. Saat Anda menentukan pengecualian BPA, Anda memperkenalkan risiko dengan port yang tidak dilindungi. Jika Anda berencana untuk menentukan pengecualian, Anda harus menghapus pengecualian segera setelah tidak lagi diperlukan. Untuk informasi selengkapnya, lihat Konfigurasi akses publik blok.
Identifikasi cluster yang terkait dengan aturan grup keamanan
Anda mungkin perlu mengidentifikasi semua cluster yang terkait dengan aturan grup keamanan tertentu, atau untuk menemukan aturan grup keamanan untuk klaster tertentu.
-
Jika Anda mengetahui grup keamanan, maka Anda dapat mengidentifikasi cluster terkait jika Anda menemukan antarmuka jaringan untuk grup keamanan. Untuk informasi selengkapnya, lihat Bagaimana cara menemukan sumber daya yang terkait dengan grup EC2 keamanan Amazon?
pada AWS re:Post. EC2 Instans Amazon yang dilampirkan ke antarmuka jaringan ini akan ditandai dengan ID cluster tempat mereka berada. -
Jika Anda ingin menemukan grup keamanan untuk klaster yang dikenal, ikuti langkah-langkahnyaLihat status dan detail klaster EMR Amazon. Anda dapat menemukan grup keamanan untuk cluster di Jaringan dan panel keamanan di konsol, atau di
Ec2InstanceAttributes
bidang dari AWS CLI.