Segurança na Amazon EMR - Amazon EMR
Segurança da rede e da infraestruturaAMIAtualizações padrão do Amazon LinuxAWS Identity and Access Management com a Amazon EMRProteção de dados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Segurança na Amazon EMR

Segurança e conformidade são uma responsabilidade com a qual você compartilha AWS. Esse modelo de responsabilidade compartilhada pode ajudar a aliviar sua carga operacional, pois AWS opera, gerencia e controla os componentes do sistema operacional host e da camada de virtualização até a segurança física das instalações nas quais os EMR clusters operam. Você assume a responsabilidade, o gerenciamento e a atualização dos EMR clusters da Amazon, além de configurar o software do aplicativo e os controles de segurança AWS fornecidos. Essa diferenciação de responsabilidade é comumente chamada de segurança da nuvem versus segurança na nuvem.

  • Segurança da nuvem — AWS é responsável por proteger a infraestrutura que é Serviços da AWS executada AWS. AWS também fornece serviços que você pode usar com segurança. Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como parte dos programas de conformidade da AWS. Para saber mais sobre os programas de conformidade que se aplicam à AmazonEMR, consulte Serviços da AWS o escopo por programa de conformidade.

  • Segurança na nuvem — você também é responsável por realizar todas as tarefas de configuração e gerenciamento de segurança necessárias para proteger um EMR cluster da Amazon. Os clientes que implantam um EMR cluster da Amazon são responsáveis pelo gerenciamento do software aplicativo instalado nas instâncias e pela configuração dos recursos AWS fornecidos, como grupos de segurança, criptografia e controle de acesso, de acordo com seus requisitos, leis e regulamentos aplicáveis.

Essa documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar a AmazonEMR. Os tópicos deste capítulo mostram como configurar a Amazon EMR e usar outras Serviços da AWS para atender aos seus objetivos de segurança e conformidade.

Segurança da rede e da infraestrutura

Como um serviço gerenciado, a Amazon EMR é protegida pelos procedimentos AWS globais de segurança de rede descritos no whitepaper Amazon Web Services: Visão geral dos processos de segurança. AWS os serviços de proteção de rede e infraestrutura oferecem proteções refinadas nos limites do host e da rede. Recursos de EMR suporte Serviços da AWS e aplicativos da Amazon que atendem aos requisitos de conformidade e proteção de rede.

  • Os grupos EC2 de segurança da Amazon atuam como um firewall virtual para instâncias de EMR cluster da Amazon, limitando o tráfego de entrada e saída da rede. Para obter mais informações, consulte Control network traffic with security groups.

  • O Amazon EMR block public access (BPA) impede que você lance um cluster em uma sub-rede pública se o cluster tiver uma configuração de segurança que permita tráfego de entrada de endereços IP públicos em uma porta. Para obter mais informações, consulte Como usar a Amazon para EMR bloquear o acesso público.

  • O Secure Shell (SSH) ajuda a fornecer uma forma segura para os usuários se conectarem à linha de comando em instâncias de cluster. Você também pode usar SSH para visualizar interfaces da web que os aplicativos hospedam no nó principal de um cluster. Para obter mais informações, consulte Usar um par de EC2 chaves para SSH credenciais e Conectar-se a um cluster.

Atualizações para o Amazon Linux padrão AMI para Amazon EMR

Importante

EMRclusters que executam Amazon Linux ou Amazon Linux 2 Amazon Machine Images (AMIs) usam o comportamento padrão do Amazon Linux e não baixam e instalam automaticamente atualizações importantes e críticas do kernel que exigem uma reinicialização. Esse é o mesmo comportamento de outras EC2 instâncias da Amazon que executam o Amazon Linux padrãoAMI. Se novas atualizações de software Amazon Linux que exigem uma reinicialização (como kernel e CUDA atualizações) ficarem disponíveis após a disponibilização de uma EMR versão da Amazon, as instâncias de EMR cluster que executam o padrão AMI não baixam e instalam automaticamente essas atualizações. NVIDIA Para obter atualizações do kernel, você pode personalizar sua Amazon EMR AMI para usar o Amazon Linux AMI mais recente.

Dependendo da postura de segurança de seu aplicativo e o período em que um cluster é executado, você pode optar por reinicializar periodicamente seu cluster para aplicar atualizações de segurança, ou criar uma ação de bootstrap para personalizar a instalação de pacotes e atualizações. Você também pode escolher testar e, em seguida, instalar determinadas atualizações de segurança nas instâncias de cluster em execução. Para obter mais informações, consulte Usando o Amazon Linux padrão AMI para Amazon EMR. Observe que sua configuração de rede deve permitir HTTP e HTTPS acessar repositórios Linux no Amazon S3, caso contrário, as atualizações de segurança não serão bem-sucedidas.

AWS Identity and Access Management com a Amazon EMR

AWS Identity and Access Management (IAM) é um AWS serviço que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. IAMos administradores controlam quem pode ser autenticado (conectado) e autorizado (tem permissões) para usar os recursos da AmazonEMR. IAMas identidades incluem usuários, grupos e funções. Uma IAM função é semelhante à de um IAM usuário, mas não está associada a uma pessoa específica e deve ser assumida por qualquer usuário que precise de permissões. Para obter mais informações, consulte AWS Identity and Access Management para a Amazon EMR. A Amazon EMR usa várias IAM funções para ajudar você a implementar controles de acesso para EMR clusters da Amazon. IAMé um AWS serviço que você pode usar sem custo adicional.

  • IAMfunção para a Amazon EMR (EMRfunção) — controla como o EMR serviço da Amazon é capaz de acessar outros Serviços da AWS em seu nome, como provisionar EC2 instâncias da Amazon quando o EMR cluster da Amazon é lançado. Para obter mais informações, consulte Configurar funções de IAM serviço para EMR permissões Serviços da AWS e recursos da Amazon.

  • IAMfunção para EC2 instâncias de cluster (perfil de EC2 instância) — uma função que é atribuída a cada EC2 instância no EMR cluster da Amazon quando a instância é iniciada. Os processos de aplicativos executados no cluster usam essa função para interagir com outros Serviços da AWS, como o Amazon S3. Para obter mais informações, consulte IAMpapel para EC2 instâncias do cluster.

  • IAMfunção para aplicativos (função de tempo de execução) — uma IAM função que você pode especificar ao enviar um trabalho ou uma consulta para um EMR cluster da Amazon. O trabalho ou consulta que você envia ao seu EMR cluster da Amazon usa a função de tempo de execução para acessar AWS recursos, como objetos no Amazon S3. Você pode especificar funções de tempo de execução com a Amazon EMR para trabalhos do Spark e do Hive. Ao usar funções de tempo de execução, você pode isolar trabalhos em execução no mesmo cluster usando IAM funções diferentes. Para obter mais informações, consulte Usando a IAM função como função de tempo de execução com a Amazon EMR.

As identidades da força de trabalho se referem aos usuários que criam ou operam cargas de trabalho em. AWS A Amazon EMR fornece suporte para identidades da força de trabalho com o seguinte:

  • AWS IAMo centro de identidade (Idc) é o recomendado AWS service (Serviço da AWS) para gerenciar o acesso do usuário aos AWS recursos. É um único local onde você pode atribuir identidades à sua força de trabalho e acesso consistente a várias AWS contas e aplicativos. A Amazon EMR oferece suporte às identidades da força de trabalho por meio da propagação confiável de identidades. Com um recurso confiável de propagação de identidade, um usuário pode entrar no aplicativo e esse aplicativo pode passar a identidade do usuário Serviços da AWS para outra pessoa para autorizar o acesso a dados ou recursos. Para obter mais informações, consulte Habilitando o suporte para o centro de AWS IAM identidade com a Amazon EMR.

    O Lightweight Directory Access Protocol (LDAP) é um protocolo de aplicativo aberto, independente de fornecedor e padrão do setor para acessar e manter informações sobre usuários, sistemas, serviços e aplicativos na rede. LDAPé comumente usado para autenticação de usuários em servidores de identidade corporativa, como Active Directory (AD) e OpenLDAP. Ao habilitar LDAP com EMR clusters, você permite que os usuários usem suas credenciais existentes para autenticar e acessar clusters. Para obter mais informações, consulte Ativar o suporte para LDAP com a Amazon EMR.

    O Kerberos é um protocolo de autenticação de rede projetado para fornecer autenticação forte para aplicações de cliente ou servidor usando criptografia de chave secreta. Quando você usa o Kerberos, a Amazon EMR configura o Kerberos para os aplicativos, componentes e subsistemas que ele instala no cluster para que eles sejam autenticados entre si. Para acessar um cluster com o Kerberos configurado, um kerberos principal deve estar presente no controlador de domínio Kerberos (). KDC Para obter mais informações, consulte Como ativar o suporte para Kerberos com a Amazon. EMR

Clusters de locatário único e multilocatário

Por padrão, um cluster é configurado para uma única locação com o perfil da EC2 instância como IAM identidade. Em um cluster de inquilino único, cada trabalho tem acesso total e completo ao cluster e o acesso a todos os Serviços da AWS recursos é feito com base no perfil da EC2 instância. Em um cluster multilocatário, os inquilinos são isolados uns dos outros e não têm acesso total e completo aos clusters e às EC2 instâncias do cluster. A identidade em clusters multilocatários são os perfis de runtime ou as identificações da força de trabalho. Em um cluster multilocatário, você também pode ativar o suporte para controle de acesso refinado (FGAC) por meio do Apache Ranger. AWS Lake Formation Em um cluster com funções de tempo de execução ou FGAC habilitadas, o acesso ao perfil da EC2 instância também é desativado por meio de iptables.

Importante

Qualquer usuário que tenha acesso a um cluster de locatário único pode instalar qualquer software no sistema operacional (SO) Linux, alterar ou remover componentes de software instalados pela Amazon EMR e impactar as EC2 instâncias que fazem parte do cluster. Se você quiser garantir que os usuários não possam instalar ou alterar as configurações de um EMR cluster da Amazon, recomendamos que você habilite a multilocação para o cluster. Você pode habilitar a multilocação em um cluster habilitando o suporte para função de tempo de execução, centro de AWS IAM identidade, Kerberos ou. LDAP

Proteção de dados

Com AWS, você controla seus dados usando Serviços da AWS ferramentas para determinar como os dados são protegidos e quem tem acesso a eles. Serviços como AWS Identity and Access Management (IAM) permitem que você gerencie com segurança o acesso Serviços da AWS e os recursos. AWS CloudTrail permite a detecção e a auditoria. A Amazon EMR facilita a criptografia de dados em repouso no Amazon S3 usando chaves gerenciadas por você ou totalmente gerenciadas AWS por você. A Amazon EMR também oferece suporte para habilitar a criptografia de dados em trânsito. Para obter mais informações, consulte encrypt data at rest and in transit.

Controle de acesso a dados

Com o controle de acesso aos dados, você pode controlar quais dados uma IAM identidade ou uma identidade da força de trabalho pode acessar. A Amazon EMR oferece suporte aos seguintes controles de acesso:

  • IAMpolíticas baseadas em identidade — gerencie permissões para IAM funções que você usa na Amazon. EMR IAMas políticas podem ser combinadas com a marcação para controlar o acesso em uma cluster-by-cluster base. Para obter mais informações, consulte AWS Identity and Access Management para a Amazon EMR.

  • O AWS Lake Formation centraliza o gerenciamento de permissões de seus dados e facilita o compartilhamento em toda a organização e externamente. Você pode usar o Lake Formation para permitir acesso refinado em nível de coluna a bancos de dados e tabelas no Glue Data Catalog. AWS Para obter mais informações, consulte Usando AWS Lake Formation com a Amazon EMR.

  • O acesso ao Amazon S3 concede identidades de mapas e identidades de mapas em diretórios como o Active Directory, ou AWS Identity and Access Management (IAM) principals, para conjuntos de dados no S3. Além disso, a Concessão de Acesso do S3 registra em log a identidade do usuário final e a aplicação usada para acessar os dados do S3 no AWS CloudTrail. Para obter mais informações, consulte Usando concessões de acesso do Amazon S3 com a Amazon. EMR

  • O Apache Ranger é uma estrutura para habilitar, monitorar e gerenciar uma segurança de dados abrangente em toda a plataforma do Hadoop. A Amazon EMR oferece suporte ao controle de acesso refinado baseado no Apache Ranger para o Apache Hive Metastore e o Amazon S3. Para obter mais informações, consulte Integrar o Apache Ranger com a Amazon. EMR