定義安全群組以控制 EMR Studio 網路流量 - Amazon EMR
關於必要條件指示

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

定義安全群組以控制 EMR Studio 網路流量

關於EMR工作室安全性群組

Amazon EMR Studio 使用兩個安全群組來控制工作室中工作區與在 Amazon 上執行的連接 Amazon EMR 叢集之間的網路流量EC2:

  • 使用連接埠 18888 與在 Amazon 上執行的連接 Amazon EMR 叢集進行通訊的引擎安全群組。EC2

  • 與 Studio 中的工作區相關聯的工作區安全群組。此安全性群組包含輸出HTTPS規則,可讓 Workspace 將流量路由至網際網路,並且必須允許輸出流量至連接埠 443 上的網際網路,才能啟用將 Git 儲存庫連結至 Workspace。

EMRStudio 除了與連接到工作區的EMR叢集相關聯的任何安全性群組之外,還會使用這些安全性群組。

使用建立 Studio 時,必須建立這些安全性群組。 AWS CLI

注意

您可以使用針對您的環境量身打造的規則來自訂 EMR Studio 的安全性群組,但您必須包含此頁面上註明的規則。工作區安全群組不允許任何傳入流量,而且引擎安全群組必須允許來自工作區安全群組的傳入流量。

使用預設的 EMR Studio 安全性群組

使用 Amazon EMR 主控台時,您可以選擇下列預設安全群組。預設安全性群組由 EMR Studio 代表您建立,並包含 EMR Studio 中工作區所需的最低輸入和輸出規則。

  • DefaultEngineSecurityGroup

  • DefaultWorkspaceSecurityGroupGitDefaultWorkspaceSecurityGroupWithoutGit

必要條件

若要為 EMR Studio 建立安全群組,您需要工作室的 Amazon Virtual Private Cloud (VPC)。您可以在建立安全性群組VPC時選擇此選項。這應該與您VPC在創建 Studio 時指定的相同。如果您打算在工EMR作室EMR上EKS使用 Amazon Amazon,請選擇VPC適合您的 Amazon EKS 群集工作者節點。

指示

按照《Linux 執行個體的 Amazon EC2 使用者指南》中的〈建立安全群組〉中的指示,在您的中建立引擎安全群組和工作區安全群組VPC。安全群組必須包含下表中摘要的規則。

當您為 EMR Studio 建立安全性群組時,請注意兩者IDs的安全性群組。建立 Studio 時,依據 ID 來指定每個安全群組。

引擎安全群組

EMR工作室使用連接埠 18888 與連接的叢集進行通訊。

傳入規則
類型 通訊協定 連線埠 目的地 描述
TCP TCP 18888 您的工作EMR室工作區安全群組。 允許 EMR Studio 的工作區安全性群組中任何資源的流量。
工作區安全群組

此安全性群組與 EMR Studio 中的工作區相關聯。

傳出規則
類型 通訊協定 連線埠 目的地 描述
TCP TCP 18888 您的EMR工作室引擎安全性群組。 允許流量傳輸至 EMR Studio 的引擎安全性群組中的任何資源。
HTTPS TCP 443 0.0.0.0/0 允許網際網路流量,以便將公開託管的 Git 儲存庫連結至工作區。