Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Keamanan di Amazon EMR
Keamanan dan kepatuhan adalah tanggung jawab yang Anda bagikan AWS. Model tanggung jawab bersama ini dapat membantu meringankan beban operasional Anda saat AWS mengoperasikan, mengelola, dan mengontrol komponen dari sistem operasi host dan lapisan virtualisasi hingga keamanan fisik fasilitas tempat cluster EMR beroperasi. Anda bertanggung jawab, mengelola, dan memperbarui klaster EMR Amazon, serta mengonfigurasi perangkat lunak aplikasi dan AWS menyediakan kontrol keamanan. Diferensiasi tanggung jawab ini sering disebut sebagai keamanan cloud versus keamanan di cloud.
-
Keamanan cloud — AWS bertanggung jawab untuk melindungi infrastruktur yang berjalan Layanan AWS di dalamnya AWS. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara berkala menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari Program kepatuhan AWS
. Untuk mempelajari tentang program kepatuhan yang berlaku untuk Amazon EMR, lihat Layanan AWS dalam cakupan berdasarkan program kepatuhan . -
Keamanan di cloud — Anda juga bertanggung jawab untuk melakukan semua konfigurasi keamanan dan tugas manajemen yang diperlukan untuk mengamankan klaster EMR Amazon. Pelanggan yang menggunakan kluster EMR Amazon bertanggung jawab atas pengelolaan perangkat lunak aplikasi yang diinstal pada instans, dan konfigurasi fitur yang disediakan seperti grup keamanan, enkripsi, dan kontrol akses sesuai dengan persyaratan, undang-undang, dan peraturan yang berlaku. AWS
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan Amazon EMR. Topik dalam Bab ini menunjukkan cara mengonfigurasi Amazon EMR dan menggunakan yang lain Layanan AWS untuk memenuhi tujuan keamanan dan kepatuhan Anda.
Keamanan jaringan dan infrastruktur
Sebagai layanan terkelola, Amazon EMR dilindungi oleh prosedur keamanan jaringan AWS global yang dijelaskan dalam Amazon Web Services: Ringkasan proses keamanan whitepaper
-
Grup EC2 keamanan Amazon bertindak sebagai firewall virtual untuk instans cluster EMR Amazon, membatasi lalu lintas jaringan masuk dan keluar. Untuk informasi selengkapnya, lihat Mengontrol lalu lintas jaringan dengan grup keamanan.
-
Amazon EMR memblokir akses publik (BPA) mencegah Anda meluncurkan cluster di subnet publik jika cluster memiliki konfigurasi keamanan yang memungkinkan lalu lintas masuk dari alamat IP publik pada port. Untuk informasi selengkapnya, lihat Menggunakan Amazon EMR memblokir akses publik.
-
Secure Shell (SSH) membantu menyediakan cara yang aman bagi pengguna untuk terhubung ke baris perintah pada instance cluster. Anda juga dapat menggunakan SSH untuk melihat antarmuka web yang dihosting aplikasi pada node master cluster. Untuk informasi selengkapnya, lihat Menggunakan EC2 key pair untuk kredensyal SSH dan Connect to a cluster.
Default Amazon Linux AMI para Amazon EMR
penting
Cluster EMR yang menjalankan Amazon Linux atau Amazon Linux 2 Amazon Machine Images (AMIs) menggunakan perilaku default Amazon Linux, dan tidak secara otomatis mengunduh dan menginstal pembaruan kernel penting dan penting yang memerlukan reboot. Ini adalah perilaku yang sama dengan EC2 instance Amazon lainnya yang menjalankan AMI Amazon Linux default. Jika pembaruan perangkat lunak Amazon Linux baru yang memerlukan reboot (seperti pembaruan kernel, NVIDIA, dan CUDA) tersedia setelah rilis EMR Amazon tersedia, instance cluster EMR yang menjalankan AMI default tidak secara otomatis mengunduh dan menginstal pembaruan tersebut. Untuk mendapatkan pembaruan kernel, Anda dapat menyesuaikan Amazon EMR AMI menjadi gunakan Amazon Linux AMI terbaru.
Tergantung pada postur keamanan aplikasi Anda dan lama waktu berjalannya klaster, Anda dapat memilih untuk secara berkala me-reboot klaster Anda untuk menerapkan pembaruan keamanan, atau membuat tindakan bootstrap untuk menyesuaikan paket instalasi dan pembaruan. Anda juga dapat memilih untuk menguji dan versi terbaru menginstal memilih pembaruan keamanan pada menjalankan instans klaster. Untuk informasi selengkapnya, lihat Menggunakan AMI Amazon Linux default untuk Amazon EMR. Perhatikan bahwa konfigurasi jaringan Anda harus mengizinkan jalan keluar HTTP dan HTTPS ke repositori Linux di Amazon S3, jika tidak pembaruan keamanan tidak akan berhasil.
AWS Identity and Access Management dengan Amazon EMR
AWS Identity and Access Management (IAM) adalah AWS layanan yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat diautentikasi (masuk) dan diotorisasi (memiliki izin) untuk menggunakan sumber daya Amazon EMR. Identitas IAM mencakup pengguna, grup, dan peran. Peran IAM mirip dengan pengguna IAM, tetapi tidak terkait dengan orang tertentu, dan dimaksudkan untuk diasumsikan oleh setiap pengguna yang membutuhkan izin. Untuk informasi selengkapnya, lihat AWS Identity and Access Management Amazon EMR. Amazon EMR menggunakan beberapa peran IAM untuk membantu Anda menerapkan kontrol akses untuk klaster EMR Amazon. IAM adalah AWS layanan yang dapat Anda gunakan tanpa biaya tambahan.
-
Peran IAM untuk Amazon EMR (peran EMR) - mengontrol bagaimana layanan EMR Amazon dapat mengakses layanan EMR Layanan AWS lain atas nama Anda, seperti menyediakan EC2 instans Amazon saat klaster EMR Amazon diluncurkan. Untuk informasi selengkapnya, lihat Mengonfigurasi peran layanan IAM untuk izin Layanan AWS dan sumber daya Amazon EMR.
-
Peran IAM untuk EC2 instance cluster (profil EC2 instance) — peran yang ditetapkan ke setiap EC2 instance di klaster EMR Amazon saat instance diluncurkan. Proses aplikasi yang berjalan di cluster menggunakan peran ini untuk berinteraksi dengan yang lain Layanan AWS, seperti Amazon S3. Untuk informasi selengkapnya, lihat peran IAM untuk EC2 instance klaster.
-
Peran IAM untuk aplikasi (peran runtime) — peran IAM yang dapat Anda tentukan saat mengirimkan pekerjaan atau kueri ke klaster EMR Amazon. Pekerjaan atau kueri yang Anda kirimkan ke klaster EMR Amazon menggunakan peran runtime untuk mengakses AWS sumber daya, seperti objek di Amazon S3. Anda dapat menentukan peran runtime dengan Amazon EMR untuk pekerjaan Spark dan Hive. Dengan menggunakan peran runtime, Anda dapat mengisolasi pekerjaan yang berjalan di cluster yang sama dengan menggunakan peran IAM yang berbeda. Untuk informasi selengkapnya, lihat Menggunakan peran IAM sebagai peran runtime dengan Amazon EMR.
Identitas tenaga kerja mengacu pada pengguna yang membangun atau mengoperasikan beban kerja di. AWS Amazon EMR memberikan dukungan untuk identitas tenaga kerja dengan hal-hal berikut:
-
AWS Pusat identitas IAM (Idc) direkomendasikan Layanan AWS untuk mengelola akses pengguna ke AWS sumber daya. Ini adalah satu tempat di mana Anda dapat menetapkan identitas tenaga kerja Anda, akses yang konsisten ke beberapa AWS akun dan aplikasi. Amazon EMR mendukung identitas tenaga kerja melalui propagasi identitas tepercaya. Dengan kemampuan propagasi identitas tepercaya, pengguna dapat masuk ke aplikasi dan aplikasi itu dapat meneruskan identitas pengguna ke orang lain Layanan AWS untuk mengotorisasi akses ke data atau sumber daya. Untuk informasi selengkapnya lihat, Mengaktifkan dukungan untuk pusat identitas AWS IAM dengan Amazon EMR.
Lightweight Directory Access Protocol (LDAP) adalah protokol aplikasi standar industri terbuka, netral vendor untuk mengakses dan memelihara informasi tentang pengguna, sistem, layanan, dan aplikasi melalui jaringan. LDAP umumnya digunakan untuk otentikasi pengguna terhadap server identitas perusahaan seperti Active Directory (AD) dan OpenLDAP. Dengan mengaktifkan LDAP dengan kluster EMR, Anda mengizinkan pengguna menggunakan kredensialnya yang ada untuk mengautentikasi dan mengakses kluster. Untuk informasi selengkapnya lihat, mengaktifkan dukungan untuk LDAP dengan Amazon EMR.
Kerberos adalah protokol otentikasi jaringan yang dirancang untuk memberikan otentikasi yang kuat untuk aplikasi klien/server dengan menggunakan kriptografi kunci rahasia. Saat Anda menggunakan Kerberos, Amazon EMR mengonfigurasi Kerberos untuk aplikasi, komponen, dan subsistem yang diinstal pada cluster sehingga mereka diautentikasi satu sama lain. Untuk mengakses cluster dengan Kerberos yang dikonfigurasi, prinsipal kerberos harus ada di Kerberos Domain Controller (KDC). Untuk informasi selengkapnya, lihat mengaktifkan dukungan untuk Kerberos dengan Amazon EMR.
Cluster penyewa tunggal dan multi-penyewa
Cluster secara default dikonfigurasi untuk satu penyewaan dengan profil EC2 Instance sebagai identitas IAM. Dalam kluster penyewa tunggal, setiap pekerjaan memiliki akses penuh dan lengkap ke cluster dan akses ke semua Layanan AWS dan sumber daya dilakukan berdasarkan profil EC2 instance. Dalam klaster multi-tenant, penyewa diisolasi satu sama lain dan penyewa tidak memiliki akses penuh dan lengkap ke cluster dan EC2 Instance cluster. Identitas pada cluster multi-tenant adalah peran runtime atau yang diidentifikasi oleh tenaga kerja. Dalam cluster multi-tenant, Anda juga dapat mengaktifkan dukungan untuk fine-grained access control (FGAC) melalui atau Apache Ranger. AWS Lake Formation Cluster yang mengaktifkan peran runtime atau FGAC, akses ke profil EC2 Instance juga dinonaktifkan melalui iptables.
penting
Setiap pengguna yang memiliki akses ke cluster penyewa tunggal dapat menginstal perangkat lunak apa pun pada sistem operasi Linux (OS), mengubah atau menghapus komponen perangkat lunak yang diinstal oleh Amazon EMR dan berdampak pada EC2 Instans yang merupakan bagian dari cluster. Jika Anda ingin memastikan bahwa pengguna tidak dapat menginstal atau mengubah konfigurasi klaster EMR Amazon, sebaiknya aktifkan multi-tenancy untuk klaster. Anda dapat mengaktifkan multi-tenancy pada cluster dengan mengaktifkan dukungan untuk peran runtime, pusat identitas AWS IAM, Kerberos, atau LDAP.
Perlindungan data
Dengan AWS, Anda mengontrol data Anda dengan menggunakan Layanan AWS dan alat untuk menentukan bagaimana data diamankan dan siapa yang memiliki akses ke sana. Layanan seperti AWS Identity and Access Management (IAM) memungkinkan Anda mengelola akses Layanan AWS dan sumber daya dengan aman. AWS CloudTrail memungkinkan deteksi dan audit. Amazon EMR memudahkan Anda mengenkripsi data saat istirahat di Amazon S3 dengan menggunakan kunci yang dikelola oleh AWS atau dikelola sepenuhnya oleh Anda. Amazon EMR juga mendukung pengaktifan enkripsi untuk data dalam perjalanan. Untuk informasi selengkapnya, lihat mengenkripsi data saat istirahat dan dalam perjalanan.
Kontrol Akses Data
Dengan kontrol akses data, Anda dapat mengontrol data apa yang dapat diakses oleh identitas IAM atau identitas tenaga kerja. Amazon EMR mendukung kontrol akses berikut:
-
Kebijakan berbasis identitas IAM — mengelola izin untuk peran IAM yang Anda gunakan dengan Amazon EMR. Kebijakan IAM dapat dikombinasikan dengan penandaan untuk mengontrol akses berdasarkan. cluster-by-cluster Untuk informasi selengkapnya, lihat AWS Identity and Access Management Amazon EMR.
-
AWS Lake Formationmemusatkan pengelolaan izin data Anda dan membuatnya lebih mudah untuk dibagikan di seluruh organisasi dan eksternal. Anda dapat menggunakan Lake Formation untuk mengaktifkan akses tingkat kolom berbutir halus ke database dan tabel di Katalog Data Glue. AWS Untuk informasi selengkapnya, lihat Menggunakan AWS Lake Formation dengan Amazon EMR.
-
Akses Amazon S3 memberikan identitas peta identitas peta dalam direktori seperti Active Directory, atau AWS Identity and Access Management (IAM) prinsipal, ke kumpulan data di S3. Selain itu, akses S3 memberikan identitas pengguna akhir log dan aplikasi yang digunakan untuk mengakses data S3 di. AWS CloudTrail Untuk informasi selengkapnya, lihat Menggunakan hibah akses Amazon S3 dengan Amazon EMR.
-
Apache Ranger adalah kerangka kerja untuk mengaktifkan, memantau, dan mengelola keamanan data yang komprehensif di seluruh platform Hadoop. Amazon EMR mendukung kontrol akses halus berbasis Apache Ranger untuk Apache Hive Metastore dan Amazon S3. Untuk informasi selengkapnya lihat Mengintegrasikan Apache Ranger dengan Amazon EMR.
