Menggunakan Amazon EMR memblokir akses publik - Amazon EMR
Memahami BPAKonfigurasikan BPAKonfigurasikan izin pencabutanSelesaikan BPA pelanggaranIdentifikasi cluster yang terkait dengan aturan grup keamanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan Amazon EMR memblokir akses publik

Amazon EMR memblokir akses publik (BPA) mencegah Anda meluncurkan klaster di subnet publik jika klaster memiliki konfigurasi keamanan yang memungkinkan lalu lintas masuk dari alamat IP publik pada port.

penting

Blokir akses publik diaktifkan secara default. Untuk meningkatkan perlindungan akun, kami sarankan Anda tetap mengaktifkannya.

Memahami memblokir akses publik

Anda dapat menggunakan konfigurasi tingkat akun akses publik blokir untuk mengelola akses jaringan publik ke kluster Amazon secara terpusat. EMR

Saat pengguna dari Anda Akun AWS meluncurkan klaster, Amazon EMR memeriksa aturan port di grup keamanan untuk klaster dan membandingkannya dengan aturan lalu lintas masuk Anda. Jika grup keamanan memiliki aturan masuk yang membuka port ke alamat IP publik IPv4 0.0.0.0/0 atauIPv6:: /0, dan port tersebut tidak ditentukan sebagai pengecualian untuk akun Anda, EMR Amazon tidak mengizinkan pengguna membuat klaster.

Jika pengguna memodifikasi aturan grup keamanan untuk klaster yang sedang berjalan di subnet publik agar memiliki aturan akses publik yang melanggar BPA konfigurasi akun Anda, Amazon EMR mencabut aturan baru jika memiliki izin untuk melakukannya. Jika Amazon EMR tidak memiliki izin untuk mencabut aturan, Amazon akan membuat peristiwa di AWS Health dasbor yang menjelaskan pelanggaran. Untuk memberikan izin aturan pencabutan ke AmazonEMR, lihat. Konfigurasikan Amazon EMR untuk mencabut aturan grup keamanan

Blokir akses publik diaktifkan secara default untuk semua cluster di setiap Wilayah AWS untuk Anda Akun AWS. BPAberlaku untuk seluruh siklus hidup klaster, tetapi tidak berlaku untuk cluster yang Anda buat di subnet pribadi. Anda dapat mengonfigurasi pengecualian untuk BPA aturan; port 22 adalah pengecualian secara default. Untuk informasi selengkapnya tentang pengaturan pengecualian, lihatKonfigurasi akses publik blok.

Konfigurasi akses publik blok

Anda dapat memperbarui grup keamanan dan konfigurasi akses publik blok di akun Anda kapan saja.

Anda dapat mengaktifkan dan menonaktifkan pengaturan blokir akses publik (BPA) dengan AWS Management Console, the AWS Command Line Interface (AWS CLI), dan Amazon EMRAPI. Pengaturan berlaku di seluruh akun Anda Region-by-Region berdasarkan. Untuk menjaga keamanan klaster, kami sarankan Anda menggunakannyaBPA.

Console
Untuk mengkonfigurasi blokir akses publik dengan konsol

  1. Masuk ke AWS Management Console, lalu buka EMR konsol Amazon di https://console.aws.amazon.com/emr.

  2. Di bilah navigasi atas, pilih Wilayah yang ingin Anda konfigurasikan jika belum dipilih.

  3. Di bawah EMREC2di panel navigasi kiri, pilih Blokir akses publik.

  4. Di bawah Pengaturan akses publik blok, selesaikan langkah-langkah berikut.

    Untuk… Melakukan ini...

    Aktifkan atau Nonaktifkan akses publik blok

    Pilih Edit, pilih Aktifkan atau Matikan sesuai kebutuhan, lalu pilih Simpan.

    Edit port di daftar pengecualian

    1. Pilih Edit dan temukan bagian Pengecualian rentang Port.

    2. Untuk menambahkan port ke daftar pengecualian, memilih Menambahkan rentang port dan masukkan port baru atau rentang port. Ulangi untuk setiap port atau rentang port untuk menambahkan.

    3. Untuk menghapus port atau rentang port, pilih Hapus di samping entri dalam daftar rentang port.

    4. Pilih Simpan.
AWS CLI
Untuk mengkonfigurasi blokir akses publik menggunakan AWS CLI

  • Gunakan perintah aws emr put-block-public-access-configuration untuk mengonfigurasi akses publik blok seperti yang ditunjukkan di contoh berikut.

    Untuk… Melakukan ini...

    Aktifkan akses publik blok di

    Atur BlockPublicSecurityGroupRules untuk true seperti yang ditunjukkan di contoh berikut. Untuk meluncurkan klaster, tidak ada grup keamanan yang terkait dengan klaster dapat memiliki aturan inbound yang mengizinkan akses publik.

    aws emr put-block-public-access-configuration --block-public-access-configuration BlockPublicSecurityGroupRules=true

    Nonaktifkan akses publik blok

    Atur BlockPublicSecurityGroupRules untuk false seperti yang ditunjukkan di contoh berikut. Grup keamanan yang terkait dengan sebuah klaster dapat memiliki aturan inbound yang mengizinkan akses publik pada setiap port. Kami tidak merekomendasikan konfigurasi ini.

    aws emr put-block-public-access-configuration --block-public-access-configuration BlockPublicSecurityGroupRules=false

    Aktifkan akses publik blok dan tentukan port sebagai pengecualian

    Contoh berikut mengaktifkan akses publik blok, dan menentukan Port 22 dan Port 100-101 sebagai pengecualian. Hal ini mengizinkan klaster yang akan dibuat jika grup keamanan terkait memiliki aturan inbound yang mengizinkan akses publik pada Port 22, Port 100, atau Port 101.

    aws emr put-block-public-access-configuration --block-public-access-configuration  '{ "BlockPublicSecurityGroupRules": true, "PermittedPublicSecurityGroupRuleRanges": [ { "MinRange": 22, "MaxRange": 22 }, { "MinRange": 100, "MaxRange": 101 } ] }'

Konfigurasikan Amazon EMR untuk mencabut aturan grup keamanan

Amazon EMR memerlukan izin untuk mencabut aturan grup keamanan dan mematuhi konfigurasi blokir akses publik Anda. Anda dapat menggunakan salah satu pendekatan berikut untuk memberi Amazon izin EMR yang dibutuhkannya:

  • (Disarankan) Lampirkan kebijakan AmazonEMRServicePolicy_v2 terkelola ke peran layanan. Untuk informasi selengkapnya, lihat Peran layanan untuk Amazon EMR (EMRperan).

  • Buat kebijakan inline baru yang memungkinkan ec2:RevokeSecurityGroupIngress tindakan pada grup keamanan. Untuk informasi selengkapnya tentang cara mengubah kebijakan izin peran, lihat Memodifikasi kebijakan izin peran dengan IAMKonsol AWS API, dan AWS CLIdi Panduan Pengguna. IAM

Selesaikan blokir pelanggaran akses publik

Jika terjadi pelanggaran akses publik pemblokiran, Anda dapat menguranginya dengan salah satu tindakan berikut:

  • Jika Anda ingin mengakses antarmuka web di cluster Anda, gunakan salah satu opsi yang dijelaskan Lihat antarmuka web yang dihosting di kluster Amazon EMR untuk mengakses antarmuka melalui SSH (port 22).

  • Untuk memungkinkan lalu lintas ke cluster dari alamat IP tertentu daripada dari alamat IP publik, tambahkan aturan grup keamanan. Untuk informasi selengkapnya, lihat Menambahkan aturan ke grup keamanan di Panduan EC2 Memulai Amazon.

  • (Tidak disarankan) Anda dapat mengonfigurasi EMR BPA pengecualian Amazon untuk menyertakan port atau rentang port yang diinginkan. Saat Anda menentukan BPA pengecualian, Anda memperkenalkan risiko dengan port yang tidak dilindungi. Jika Anda berencana untuk menentukan pengecualian, Anda harus menghapus pengecualian segera setelah tidak lagi diperlukan. Untuk informasi selengkapnya, lihat Konfigurasi akses publik blok.

Identifikasi cluster yang terkait dengan aturan grup keamanan

Anda mungkin perlu mengidentifikasi semua cluster yang terkait dengan aturan grup keamanan tertentu, atau untuk menemukan aturan grup keamanan untuk klaster tertentu.

  • Jika Anda mengetahui grup keamanan, maka Anda dapat mengidentifikasi cluster terkait jika Anda menemukan antarmuka jaringan untuk grup keamanan. Untuk informasi selengkapnya, lihat Bagaimana cara menemukan sumber daya yang terkait dengan grup EC2 keamanan Amazon? pada AWS re:Post. EC2Instans Amazon yang dilampirkan ke antarmuka jaringan ini akan ditandai dengan ID cluster tempat mereka berada.

  • Jika Anda ingin menemukan grup keamanan untuk klaster yang dikenal, ikuti langkah-langkahnyaLihat status dan detail EMR klaster Amazon. Anda dapat menemukan grup keamanan untuk cluster di Jaringan dan panel keamanan di konsol, atau di Ec2InstanceAttributes bidang dari AWS CLI.