本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 定義安全群組,以控制 EMR Studio 網路流量
## 關於 EMR Studio 安全群組
Amazon EMR Studio 使用兩個安全群組,來控制 Studio 中的工作區與 Amazon EC2 上執行的所附接的 Amazon EMR 叢集之間的網路流量:
+ 使用附接埠 18888 與在 Amazon EC2 上執行的所附接的 Amazon EMR 叢集進行通訊的**引擎安全群組**。
+ 與 Studio 中的工作區相關聯的**工作區安全群組**。此安全群組包含傳出 HTTPS 規則,可讓工作區將流量路由至網際網路,並且必須允許在連接埠 443 上將流量傳出至網際網路,以便將 Git 儲存庫連結至工作區。
除了與附接至工作區的 EMR 叢集相關聯的任何安全群組之外,EMR Studio 還會使用這些安全群組。
當您使用 建立 Studio 時 AWS CLI ,必須建立這些安全群組。
**注意**
可以使用根據您的環境量身打造的規則來自訂 EMR Studio 的安全群組,但必須包含此頁面中註明的規則。工作區安全群組不允許任何傳入流量,而且引擎安全群組必須允許來自工作區安全群組的傳入流量。
**使用預設的 EMR Studio 安全群組**
當您使用 Amazon EMR 主控台時,可以選擇以下預設安全群組。預設安全群組由 EMR Studio 代表您建立,並包含 EMR Studio 中工作區所需的最低傳入和傳出規則。
+ `DefaultEngineSecurityGroup`
+ `DefaultWorkspaceSecurityGroupGit` 或 `DefaultWorkspaceSecurityGroupWithoutGit`
## 先決條件
若要為 EMR Studio 建立安全群組,需要適用於 Studio 的 Amazon 虛擬私有雲端 (VPC)。可以在建立安全群組時選擇此 VPC。這應與您在建立 Studio 時所指定的 VPC 相同。如果打算搭配使用 Amazon Amazon EMR on EKS 與 EMR Studio,請選擇 Amazon EKS 叢集工作節點的 VPC。
## 指示
遵循《Amazon EC2 Linux 執行個體使用者指南》**中[建立安全群組](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group)中的指示,在 VPC 中建立引擎安全群組和工作區安全群組。安全群組必須包含下表中摘要的規則。
當您建立 EMR Studio 的安全群組時,請記下兩者的 ID。建立 Studio 時,依據 ID 來指定每個安全群組。
**引擎安全群組**
EMR Studio 使用附接埠 18888 與所附接的叢集進行通訊。
**傳入規則**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/emr/latest/ManagementGuide/emr-studio-security-groups.html)
**工作區安全群組**
此安全群組與 EMR Studio 中的工作區相關聯。
**傳出規則**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/emr/latest/ManagementGuide/emr-studio-security-groups.html)