Amazon EMR 클러스터의 보안 그룹으로 네트워크 트래픽 제어

보안 그룹은 클러스터의 EC2 인스턴스에 대한 가상 방화벽 역할을 하여 인바운드 및 아웃바운드 트래픽을 제어합니다. 각 보안 그룹에는 인바운드 트래픽을 제어하는 일련의 규칙과 아웃바운드 트래픽을 제어하는 별도의 규칙 집합이 있습니다. 자세한 내용은 Amazon 사용 설명서의 Linux 인스턴스용 Amazon EC2 보안 그룹을 참조하세요. EC2

Amazon EMREMR에서 관리하는 보안 그룹과 추가 보안 그룹의 두 가지 보안 그룹을 사용합니다.

모든 클러스터에는 연관된 보안 그룹이 있습니다. Amazon이 EMR 생성하는 기본 관리형 보안 그룹을 사용하거나 사용자 지정 관리형 보안 그룹을 지정할 수 있습니다. 어느 쪽이든 Amazon은 클러스터 인스턴스와 AWS 서비스 간에 통신하는 데 필요한 규칙을 관리형 보안 그룹에 EMR 자동으로 추가합니다.

추가 보안 그룹은 선택 사항입니다. 클러스터 인스턴스에 대한 액세스를 조정하기 위해 관리형 보안 그룹 외에 추가 보안 그룹을 지정할 수 있습니다. 추가 보안 그룹에는 사용자가 정의한 규칙만 포함됩니다. AmazonEMR은 이를 수정하지 않습니다.

Amazon이 관리형 보안 그룹에서 EMR 생성하는 규칙을 통해 클러스터가 내부 구성 요소 간에 통신할 수 있습니다. 사용자와 애플리케이션이 클러스터 외부의 클러스터에 액세스할 수 있게 하려면 관리형 보안 그룹의 규칙을 편집하거나 추가 규칙을 사용하여 추가 보안 그룹을 생성하거나 둘 다 수행할 수 있습니다.

클러스터를 생성할 때만 보안 그룹을 지정할 수 있습니다. 클러스터 실행 중에는 클러스터 또는 클러스터 인스턴스에 추가할 수 없지만 기존 보안 그룹에서 규칙을 편집, 추가 및 제거할 수는 있습니다. 규칙은 저장하는 즉시 적용됩니다.

보안 그룹은 기본적으로 제한적입니다. 트래픽을 허용하는 규칙이 추가되지 않으면 트래픽이 거부됩니다. 동일한 트래픽 및 동일한 소스에 적용되는 규칙이 둘 이상인 경우 가장 엄격한 규칙이 적용됩니다. 예를 들어 IP 주소 192.0.2.12/32SSH에서를 허용하는 규칙과 192.0.2.0/24 범위의 모든 TCP 트래픽에 대한 액세스를 허용하는 다른 규칙이 있는 경우 192.0.2.12를 포함하는 범위의 모든 TCP 트래픽을 허용하는 규칙이 우선합니다. 이 경우 192.0.2.12의 클라이언트가 의도한 것보다 더 많은 액세스 권한을 가질 수 있습니다.

규칙이 예외 목록에 추가하지 않은 포트에서 퍼블릭 액세스를 허용하는 경우 클러스터 생성을 방지하는 데 사용하는 각 리전에서 Amazon 퍼블릭 액세스 EMR 차단을 구성할 수 있습니다. 2019년 7월 이후에 생성된 AWS 계정의 경우 Amazon 퍼블릭 액세스 EMR 차단은 기본적으로 켜져 있습니다. 2019년 7월 이전에 클러스터를 생성한 AWS 계정의 경우 Amazon 퍼블릭 액세스 EMR 차단은 기본적으로 꺼져 있습니다. 자세한 내용은 Amazon 퍼블릭 액세스 EMR 차단 사용 단원을 참조하십시오.