本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
定義安全群組以控制 EMR Studio 網路流量
關於EMR工作室安全性群組
Amazon EMR Studio 使用兩個安全群組來控制工作室中工作區與在 Amazon 上執行的連接 Amazon EMR 叢集之間的網路流量EC2:
-
使用連接埠 18888 與在 Amazon 上執行的連接 Amazon EMR 叢集進行通訊的引擎安全群組。EC2
-
與 Studio 中的工作區相關聯的工作區安全群組。此安全性群組包含輸出HTTPS規則,可讓 Workspace 將流量路由至網際網路,並且必須允許輸出流量至連接埠 443 上的網際網路,才能啟用將 Git 儲存庫連結至 Workspace。
EMRStudio 除了與連接到工作區的EMR叢集相關聯的任何安全性群組之外,還會使用這些安全性群組。
使用建立 Studio 時,必須建立這些安全性群組。 AWS CLI
注意
您可以使用針對您的環境量身打造的規則來自訂 EMR Studio 的安全性群組,但您必須包含此頁面上註明的規則。工作區安全群組不允許任何傳入流量,而且引擎安全群組必須允許來自工作區安全群組的傳入流量。
使用預設的 EMR Studio 安全性群組
使用 Amazon EMR 主控台時,您可以選擇下列預設安全群組。預設安全性群組由 EMR Studio 代表您建立,並包含 EMR Studio 中工作區所需的最低輸入和輸出規則。
-
DefaultEngineSecurityGroup
-
DefaultWorkspaceSecurityGroupGit
或DefaultWorkspaceSecurityGroupWithoutGit
必要條件
若要為 EMR Studio 建立安全群組,您需要工作室的 Amazon Virtual Private Cloud (VPC)。您可以在建立安全性群組VPC時選擇此選項。這應該與您VPC在創建 Studio 時指定的相同。如果您打算在工EMR作室EMR上EKS使用 Amazon Amazon,請選擇VPC適合您的 Amazon EKS 群集工作者節點。
指示
按照《Linux 執行個體的 Amazon EC2 使用者指南》中的〈建立安全群組〉中的指示,在您的中建立引擎安全群組和工作區安全群組VPC。安全群組必須包含下表中摘要的規則。
當您為 EMR Studio 建立安全性群組時,請注意兩者IDs的安全性群組。建立 Studio 時,依據 ID 來指定每個安全群組。
- 引擎安全群組
-
EMR工作室使用連接埠 18888 與連接的叢集進行通訊。
傳入規則類型 通訊協定 連線埠 目的地 描述 TCP TCP 18888 您的工作EMR室工作區安全群組。 允許 EMR Studio 的工作區安全性群組中任何資源的流量。 - 工作區安全群組
-
此安全性群組與 EMR Studio 中的工作區相關聯。
傳出規則類型 通訊協定 連線埠 目的地 描述 TCP TCP 18888 您的EMR工作室引擎安全性群組。 允許流量傳輸至 EMR Studio 的引擎安全性群組中的任何資源。 HTTPS TCP 443 0.0.0.0/0 允許網際網路流量,以便將公開託管的 Git 儲存庫連結至工作區。