本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
定义安全组以控制 EMR Studio 网络流量
关于 EMR Studio 安全组
Amazon EMR Studio 使用两个安全组来控制 Studio 中的工作空间与在亚马逊上运行的连接的亚马逊EMR集群之间的网络流量:EC2
-
一个引擎安全组,它使用端口 18888 与在亚马逊上运行的连接的 Amazon EMR 集群进行通信。EC2
-
与 Studio 中的 Workspaces 关联的 Workspace 安全组。该安全组包括一条出站HTTPS规则,允许工作区将流量路由到互联网,并且必须允许通过端口 443 到互联网的出站流量才能将 Git 存储库链接到工作区。
EMRStudio 除了使用与连接到工作区的EMR集群关联的任何安全组外,还使用这些安全组。
使用创建 Studio 时, AWS CLI 必须创建这些安全组。
注意
您可以使用针对您的环境量身定制的规则为 EMR Studio 自定义安全组,但必须包括本页上注明的规则。您的 Workspace 安全组不能允许任何入站流量,引擎安全组必须允许来自 Workspace 安全组的入站流量。
使用默认 EMR Studio 安全组
使用 Amazon EMR 控制台时,您可以选择以下默认安全组。默认安全组由 EMR Studio 代表您创建,其中包括 EMR Studio 中工作区所需的最低入站和出站规则。
-
DefaultEngineSecurityGroup -
DefaultWorkspaceSecurityGroupGit或DefaultWorkspaceSecurityGroupWithoutGit
先决条件
要为 EMR Studio 创建安全组,你需要一个适用于 Studio 的亚马逊虚拟私有云 (VPC)。您可以在创建安全组VPC时选择此选项。这应该与您在创建 Studio 时指定的相同VPC。如果您计划在 EMR Studio EMR 上EKS使用亚马逊,请VPC为您的亚马逊EKS集群工作节点选择。
说明
按照《适用于 Linux 实例的 Amazon EC2 用户指南》中创建安全组中的说明在中创建引擎安全组和 Workspace 安全组VPC。安全组必须包括下表总结的规则。
在为 EMR Studio 创建安全组时,请注意两IDs者的安全组。创建 Studio 时,您可以按 ID 指定每个安全组。
- 引擎安全组
-
EMRStudio 使用端口 18888 与连接的集群进行通信。
入站规则类型 协议 端口 目标位置 描述 TCP TCP 18888 您的 EMR Studio 工作空间安全组。 允许来自 EMR Studio 工作区安全组中任何资源的流量。 - WorkSpace 安全组
-
此安全组与 EMR Studio 中的工作区相关联。
出站规则类型 协议 端口 目标位置 描述 TCP TCP 18888 您的 EMR Studio 引擎安全组。 允许流量 EMR Studio 引擎安全组中的任何资源。 HTTPS TCP 443 0.0.0.0/0 允许进入互联网的流量以便将公共托管的 Git 存储库链接到 Workspaces。
