Amazon 的 Security Hub 控制項 EMR - AWS Security Hub
【EMR.1】 Amazon EMR叢集主要節點不應具有公有 IP 地址【EMR.2】 應啟用 Amazon EMR區塊公開存取設定

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon 的 Security Hub 控制項 EMR

這些 AWS Security Hub 控制項會評估 Amazon EMR(先前稱為 Amazon Elastic MapReduce) 服務和資源。

這些控制項可能完全無法使用 AWS 區域。如需詳細資訊,請參閱各區域控制項的可用性

【EMR.1】 Amazon EMR叢集主要節點不應具有公有 IP 地址

相關要求:PCIDSSv3.2.1/1.2.1、PCIDSSv3.2.1/1.3.1、PCIDSSv3.2.1/1.3.2、PCIDSSv3.2.1/1.3.4、PCIDSSv3.2.1/1.3.6、PCIDSSv4.0.1/1.4.4、 NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)

類別:保護 > 安全網路組態

嚴重性:

資源類型: AWS::EMR::Cluster

AWS Config 規則:emr-master-no-public-ip

排程類型:定期

參數:

此控制項會檢查 Amazon EMR叢集上的主節點是否具有公有 IP 地址。如果公有 IP 地址與任何主節點執行個體相關聯,則控制項會失敗。

公有 IP 地址是在執行個體NetworkInterfaces組態的 PublicIp 欄位中指定。此控制項只會檢查處於 RUNNINGWAITING 狀態的 Amazon EMR叢集。

修補

在啟動期間,您可以控制預設或非預設子網路中的執行個體是否已指派公有IPv4地址。根據預設,預設子網路會將此屬性設為 true。非預設子網路的IPv4公有定址屬性設定為 false,除非是由 Amazon EC2啟動執行個體精靈建立。在這種情況下, 屬性會設定為 true

啟動後,您無法手動取消公有IPv4地址與執行個體的關聯。

若要修復失敗的調查結果,您必須在 中啟動新的叢集,VPC其中私有子網路的IPv4公有定址屬性設為 false。如需說明,請參閱《Amazon EMR管理指南》中的將叢集啟動至 VPC

【EMR.2】 應啟用 Amazon EMR區塊公開存取設定

相關要求:PCIDSSv4.0.1/1.4.4, NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)

類別:保護 > 安全存取管理 > 資源不可公開存取

嚴重性:嚴重

資源類型: AWS::::Account

AWS Config 規則:emr-block-public-access

排程類型:定期

參數:

此控制項會檢查您的帳戶是否已設定 Amazon EMR封鎖公開存取。如果未啟用封鎖公有存取設定,或允許連接埠 22 以外的任何連接埠,則控制項會失敗。

如果叢集具有允許來自連接埠上公有 IP 地址的傳入流量的安全組態,Amazon EMR封鎖公有存取會阻止您在公有子網路中啟動叢集。當來自 AWS 帳戶 的 使用者啟動叢集時,Amazon 會EMR檢查叢集安全群組中的連接埠規則,並將其與您的傳入流量規則進行比較。如果安全群組具有開啟公有 IP 地址 IPv4 0.0.0.0/0 或 IPv6 ::/0 連接埠的傳入規則,且這些連接埠未指定為帳戶的例外狀況,Amazon EMR不會讓使用者建立叢集。

注意

預設為啟用封鎖公開存取。為了增強帳戶保護,建議您保持啟用狀態。

修補

若要設定 Amazon 的封鎖公有存取EMR,請參閱《Amazon 管理指南》中的使用 Amazon EMR封鎖公有存取 EMR