Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bekerja dengan grup keamanan EMR yang dikelola Amazon
catatan
Amazon EMR bertujuan untuk menggunakan alternatif inklusif untuk istilah industri yang berpotensi menyinggung atau non-inklusif seperti “master” dan “slave”. Kami telah beralih ke terminologi baru untuk menumbuhkan pengalaman yang lebih inklusif dan untuk memfasilitasi pemahaman Anda tentang komponen layanan.
Kami sekarang mendeskripsikan “node” sebagai instance, dan kami mendeskripsikan jenis EMR instans Amazon sebagai instance primer, inti, dan tugas. Selama transisi, Anda mungkin masih menemukan referensi lama ke istilah yang sudah ketinggalan zaman, seperti yang berkaitan dengan grup keamanan untuk Amazon. EMR
Grup keamanan terkelola yang berbeda dikaitkan dengan instance utama dan dengan instance inti dan tugas dalam sebuah cluster. Grup keamanan terkelola tambahan untuk akses layanan diperlukan ketika Anda membuat sebuah klaster di subnet privat. Untuk informasi selengkapnya tentang peran grup keamanan terkelola sehubungan dengan konfigurasi jaringan Anda, lihat VPCOpsi Amazon saat Anda meluncurkan cluster.
Ketika Anda menetapkan grup keamanan terkelola untuk sebuah klaster, Anda harus menggunakan tipe grup keamanan yang sama, default atau kustom, untuk semua grup keamanan terkelola. Misalnya, Anda tidak dapat menentukan grup keamanan khusus untuk instance utama, lalu tidak menentukan grup keamanan khusus untuk instance inti dan tugas.
Jika Anda menggunakan grup keamanan terkelola default, Anda tidak perlu menentukannya saat membuat klaster. Amazon EMR secara otomatis menggunakan default. Selain itu, jika default belum ada di clusterVPC, Amazon EMR membuatnya. Amazon EMR juga membuatnya jika Anda secara eksplisit menentukannya dan belum ada.
Anda dapat mengedit aturan di grup keamanan terkelola setelah klaster dibuat. Saat Anda membuat klaster baru, Amazon akan EMR memeriksa aturan di grup keamanan terkelola yang Anda tentukan, lalu membuat aturan masuk yang hilang yang dibutuhkan klaster baru selain aturan yang mungkin telah ditambahkan sebelumnya. Kecuali dinyatakan lain secara khusus, setiap aturan untuk grup keamanan EMR terkelola Amazon default juga ditambahkan ke grup keamanan EMR terkelola Amazon khusus yang Anda tentukan.
Grup keamanan terkelola default adalah sebagai berikut:
-
ElasticMapReduce-primer
Untuk aturan di grup keamanan ini, lihat Grup keamanan EMR terkelola Amazon untuk instans utama (subnet publik).
-
ElasticMapReduce-inti
Untuk aturan di grup keamanan ini, lihat Grup keamanan EMR yang dikelola Amazon untuk instance inti dan tugas (subnet publik).
-
ElasticMapReduce-Primer-Pribadi
Untuk aturan di grup keamanan ini, lihat Grup keamanan EMR yang dikelola Amazon untuk instance utama (subnet pribadi).
-
ElasticMapReduce-Inti-Pribadi
Untuk aturan di grup keamanan ini, lihat Grup keamanan EMR yang dikelola Amazon untuk instance inti dan tugas (subnet pribadi).
-
ElasticMapReduce-ServiceAccess
Untuk aturan di grup keamanan ini, lihat Grup keamanan EMR yang dikelola Amazon untuk akses layanan (subnet pribadi).
Grup keamanan EMR terkelola Amazon untuk instans utama (subnet publik)
Grup keamanan terkelola default untuk instance utama dalam subnet publik memiliki Nama Grup ElasticMapReduce -primary. Aplikasi ini memiliki aturan berikut: Jika Anda menentukan grup keamanan terkelola kustom, Amazon EMR menambahkan semua aturan yang sama ke grup keamanan kustom Anda.
| Tipe | Protokol | Rentang port | Sumber | Detail |
|---|---|---|---|---|
| Aturan-aturan ke dalam | ||||
| Semua ICMP - IPv4 | Semua | N/A | ID Grup grup keamanan terkelola untuk contoh utama. Dengan kata lain, grup keamanan yang sama di mana aturan muncul. | Aturan refleksif ini mengizinkan lalu lintas inbound dari setiap instans yang terkait dengan grup keamanan tertentu. Menggunakan default |
| Semua TCP | TCP | Semua | ||
| Semua UDP | UDP | Semua | ||
| Semua ICMP - IPV4 | Semua | N/A | ID Grup dari grup keamanan terkelola yang ditentukan untuk simpul inti dan simpul tugas. | Aturan-aturan ini memungkinkan semua ICMP lalu lintas masuk dan lalu lintas melalui salah satu TCP atau UDP port dari setiap instance inti dan tugas yang terkait dengan grup keamanan yang ditentukan, bahkan jika instance berada dalam kelompok yang berbeda. |
| Semua TCP | TCP | Semua | ||
| Semua UDP | UDP | Semua | ||
| Kustom | TCP | 8443 | Berbagai rentang alamat IP Amazon | Aturan-aturan ini memungkinkan pengelola cluster untuk berkomunikasi dengan node utama. |
Untuk memberikan SSH akses sumber tepercaya ke grup keamanan utama dengan konsol
Untuk mengedit grup keamanan Anda, Anda harus memiliki izin untuk mengelola grup keamanan untuk klaster VPC tersebut. Untuk informasi selengkapnya, lihat Mengubah Izin untuk pengguna dan Kebijakan Contoh yang memungkinkan mengelola grup EC2 keamanan dalam Panduan IAM Pengguna.
Masuk ke AWS Management Console, dan buka EMR konsol Amazon di https://console.aws.amazon.com/emr
. Pilih Klaster. Pilih ID cluster yang ingin Anda modifikasi.
Di panel Jaringan dan keamanan, perluas dropdown grup EC2 keamanan (firewall).
Di bawah Node utama, pilih grup keamanan Anda.
Pilih Edit aturan masuk.
Memeriksa aturan masuk yang mengizinkan akses publik dengan pengaturan berikut. Jika ada, pilih Hapus untuk menghapusnya.
-
Jenis
SSH
-
Port
22
-
Sumber
Kustom 0.0.0.0/0
Awas
Sebelum Desember 2020, ada aturan yang telah dikonfigurasi sebelumnya untuk mengizinkan lalu lintas masuk di Port 22 dari semua sumber. Aturan ini dibuat untuk menyederhanakan SSH koneksi awal ke node utama. Kami sangat menyarankan agar Anda menghapus aturan masuk ini dan membatasi lalu lintas ke sumber tepercaya.
-
Gulir ke bagian bawah daftar aturan dan pilih Tambahkan Aturan.
-
Untuk Jenis, pilih SSH.
Memilih SSH secara otomatis masuk TCPuntuk Protokol dan 22 untuk Rentang Port.
-
Untuk sumber, pilih IP Saya untuk secara otomatis menambahkan alamat IP Anda sebagai alamat sumber. Anda juga dapat menambahkan berbagai alamat IP klien tepercaya kustom, atau membuat aturan tambahan untuk klien lain. Banyak lingkungan jaringan mengalokasikan alamat IP secara dinamis, jadi Anda mungkin perlu memperbarui alamat IP Anda untuk klien tepercaya di masa mendatang.
Pilih Simpan.
Secara opsional, pilih grup keamanan lain di bawah Core dan node tugas di panel Jaringan dan keamanan dan ulangi langkah-langkah di atas untuk memungkinkan akses SSH klien ke node inti dan tugas.
Grup keamanan EMR yang dikelola Amazon untuk instance inti dan tugas (subnet publik)
Grup keamanan terkelola default untuk instance inti dan tugas di subnet publik memiliki Nama Grup -core. ElasticMapReduce Grup keamanan terkelola default memiliki aturan berikut, dan Amazon EMR menambahkan aturan yang sama jika Anda menentukan grup keamanan terkelola khusus.
| Tipe | Protokol | Rentang port | Sumber | Detail |
|---|---|---|---|---|
| Aturan-aturan ke dalam | ||||
| Semua ICMP - IPV4 | Semua | N/A | ID Grup dari grup keamanan terkelola untuk instans inti dan instans tugas. Dengan kata lain, grup keamanan yang sama di mana aturan muncul. | Aturan refleksif ini mengizinkan lalu lintas inbound dari setiap instans yang terkait dengan grup keamanan tertentu. Menggunakan default |
| Semua TCP | TCP | Semua | ||
| Semua UDP | UDP | Semua | ||
| Semua ICMP - IPV4 | Semua | N/A | ID Grup grup keamanan terkelola untuk contoh utama. | Aturan ini memungkinkan semua ICMP lalu lintas masuk dan lalu lintas melalui salah satu TCP atau UDP port dari instance utama apa pun yang terkait dengan grup keamanan yang ditentukan, bahkan jika instans berada dalam kelompok yang berbeda. |
| Semua TCP | TCP | Semua | ||
| Semua UDP | UDP | Semua | ||
Grup keamanan EMR yang dikelola Amazon untuk instance utama (subnet pribadi)
Grup keamanan terkelola default untuk instance utama dalam subnet pribadi memiliki Nama Grup ElasticMapReduce -Primary-Private. Grup keamanan terkelola default memiliki aturan berikut, dan Amazon EMR menambahkan aturan yang sama jika Anda menentukan grup keamanan terkelola khusus.
| Tipe | Protokol | Rentang port | Sumber | Detail |
|---|---|---|---|---|
| Aturan-aturan ke dalam | ||||
| Semua ICMP - IPv4 | Semua | N/A | ID Grup grup keamanan terkelola untuk contoh utama. Dengan kata lain, grup keamanan yang sama di mana aturan muncul. | Aturan refleksif ini mengizinkan lalu lintas inbound dari setiap instans yang terkait dengan grup keamanan tertentu dan dapat dicapai dari dalam subnet privat. Menggunakan default |
| Semua TCP | TCP | Semua | ||
| Semua UDP | UDP | Semua | ||
| Semua ICMP - IPV4 | Semua | N/A | ID Grup dari grup keamanan terkelola untuk simpul inti dan simpul tugas. | Aturan-aturan ini memungkinkan semua ICMP lalu lintas masuk dan lalu lintas melalui salah satu TCP atau UDP port dari setiap instance inti dan tugas yang terkait dengan grup keamanan tertentu dan dapat dijangkau dari dalam subnet pribadi, bahkan jika instance berada dalam kelompok yang berbeda. |
| Semua TCP | TCP | Semua | ||
| Semua UDP | UDP | Semua | ||
| HTTPS(8443) | TCP | 8443 | ID Grup dari grup keamanan terkelola untuk akses layanan di subnet privat. | Aturan ini memungkinkan pengelola cluster untuk berkomunikasi dengan node utama. |
| Aturan-aturan ke luar | ||||
| Semua lalu lintas | Semua | Semua | 0.0.0.0/0 | Menyediakan akses outbound ke internet. |
| Kustom TCP | TCP | 9443 | ID Grup dari grup keamanan terkelola untuk akses layanan di subnet privat. | Jika aturan keluar default “Semua lalu lintas” di atas dihapus, aturan ini adalah persyaratan minimum untuk Amazon EMR 5.30.0 dan yang lebih baru. catatanAmazon EMR tidak menambahkan aturan ini saat Anda menggunakan grup keamanan terkelola khusus. |
| Kustom TCP | TCP | 80 (http) atau 443 (https) | ID Grup dari grup keamanan terkelola untuk akses layanan di subnet privat. | Jika aturan keluar default “Semua lalu lintas” di atas dihapus, aturan ini adalah persyaratan minimum untuk Amazon EMR 5.30.0 dan yang lebih baru untuk terhubung ke Amazon S3 melalui https. catatanAmazon EMR tidak menambahkan aturan ini saat Anda menggunakan grup keamanan terkelola khusus. |
Grup keamanan EMR yang dikelola Amazon untuk instance inti dan tugas (subnet pribadi)
Grup keamanan terkelola default untuk instance inti dan tugas di subnet pribadi memiliki Nama Grup -Core-Private. ElasticMapReduce Grup keamanan terkelola default memiliki aturan berikut, dan Amazon EMR menambahkan aturan yang sama jika Anda menentukan grup keamanan terkelola khusus.
| Tipe | Protokol | Rentang port | Sumber | Detail |
|---|---|---|---|---|
| Aturan-aturan ke dalam | ||||
| Semua ICMP - IPV4 | Semua | N/A | ID Grup dari grup keamanan terkelola untuk instans inti dan instans tugas. Dengan kata lain, grup keamanan yang sama di mana aturan muncul. | Aturan refleksif ini mengizinkan lalu lintas inbound dari setiap instans yang terkait dengan grup keamanan tertentu. Menggunakan default |
| Semua TCP | TCP | Semua | ||
| Semua UDP | UDP | Semua | ||
| Semua ICMP - IPV4 | Semua | N/A | ID Grup grup keamanan terkelola untuk contoh utama. | Aturan ini memungkinkan semua ICMP lalu lintas masuk dan lalu lintas melalui salah satu TCP atau UDP port dari instance utama apa pun yang terkait dengan grup keamanan yang ditentukan, bahkan jika instans berada dalam kelompok yang berbeda. |
| Semua TCP | TCP | Semua | ||
| Semua UDP | UDP | Semua | ||
| HTTPS(8443) | TCP | 8443 | ID Grup dari grup keamanan terkelola untuk akses layanan di subnet privat. | Aturan ini mengizinkan manajer klaster untuk berkomunikasi dengan simpul inti dan simpul tugas. |
| Aturan-aturan ke luar | ||||
| Semua lalu lintas | Semua | Semua | 0.0.0.0/0 | Lihat Mengedit aturan outbound di bawah ini. |
| Kustom TCP | TCP | 80 (http) atau 443 (https) | ID Grup dari grup keamanan terkelola untuk akses layanan di subnet privat. | Jika aturan keluar default “Semua lalu lintas” di atas dihapus, aturan ini adalah persyaratan minimum untuk Amazon EMR 5.30.0 dan yang lebih baru untuk terhubung ke Amazon S3 melalui https. catatanAmazon EMR tidak menambahkan aturan ini saat Anda menggunakan grup keamanan terkelola khusus. |
Mengedit aturan outbound
Secara default, Amazon EMR membuat grup keamanan ini dengan aturan keluar yang memungkinkan semua lalu lintas keluar pada semua protokol dan port. Mengizinkan semua lalu lintas keluar dipilih karena berbagai aplikasi Amazon EMR dan pelanggan yang dapat berjalan di EMR klaster Amazon mungkin memerlukan aturan jalan keluar yang berbeda. Amazon EMR tidak dapat mengantisipasi pengaturan khusus ini saat membuat grup keamanan default. Anda dapat cakupan jalan keluar di grup keamanan Anda untuk menyertakan hanya aturan-aturan yang sesuai dengan kasus penggunaan dan kebijakan keamanan Anda. Minimal, grup keamanan ini memerlukan aturan outbound berikut, tetapi beberapa aplikasi mungkin memerlukan jalan keluar tambahan.
| Tipe | Protokol | Rentang Port | Tujuan | Detail |
|---|---|---|---|---|
| Semua TCP | TCP | Semua | pl-xxxxxxxx |
Daftar prefiks Amazon S3 terkelola com.amazonaws.. |
| Semua lalu lintas | Semua | Semua | sg-xxxxxxxxxxxxxxxxx |
ID dari ElasticMapReduce-Core-Private grup keamanan. |
| Semua lalu lintas | Semua | Semua | sg-xxxxxxxxxxxxxxxxx |
ID dari ElasticMapReduce-Primary-Private grup keamanan. |
| Kustom TCP | TCP | 9443 | sg-xxxxxxxxxxxxxxxxx |
ID dari ElasticMapReduce-ServiceAccess grup keamanan. |
Grup keamanan EMR yang dikelola Amazon untuk akses layanan (subnet pribadi)
Grup keamanan terkelola default untuk akses layanan di subnet pribadi memiliki Nama Grup ElasticMapReduce - ServiceAccess. Ini memiliki aturan masuk, dan aturan keluar yang memungkinkan lalu lintas HTTPS (port 8443, port 9443) ke grup keamanan terkelola lainnya di subnet pribadi. Aturan-aturan ini memungkinkan pengelola cluster untuk berkomunikasi dengan node utama dan dengan node inti dan tugas. Aturan yang sama diperlukan jika Anda menggunakan grup keamanan kustom.
| Tipe | Protokol | Rentang port | Sumber | Detail |
|---|---|---|---|---|
| Aturan masuk Diperlukan untuk EMR klaster Amazon dengan EMR rilis Amazon 5.30.0 dan yang lebih baru. | ||||
| Kustom TCP | TCP | 9443 | ID Grup grup keamanan terkelola untuk contoh utama. |
Aturan ini memungkinkan komunikasi antara grup keamanan instans utama ke grup keamanan akses layanan. |
| Aturan keluar Diperlukan untuk semua cluster Amazon EMR | ||||
| Kustom TCP | TCP | 8443 | ID Grup grup keamanan terkelola untuk contoh utama. |
Aturan-aturan ini memungkinkan pengelola cluster untuk berkomunikasi dengan node utama dan dengan node inti dan tugas. |
| Kustom TCP | TCP | 8443 | ID Grup dari grup keamanan terkelola untuk instans inti dan instans tugas. |
Aturan-aturan ini memungkinkan pengelola cluster untuk berkomunikasi dengan node utama dan dengan node inti dan tugas. |
