使用安全组控制网络流量

安全组充当您的集群中 EC2 实例的虚拟防火墙，以控制入站和出站流量。每个安全组都有一组规则来控制入站流量，并有另外一组规则来控制出站流量。有关更多信息，请参阅《适用于 Linux 实例Amazon EC2 用户指南》 中的适用于 Linux 实例的 Amazon EC2 安全组。

您将两种类型的安全组与 Amazon EMR 结合使用：Amazon EMR 管理的安全组和其它安全组。

每个集群都有与其关联的托管安全组。您可以使用 Amazon EMR 创建的默认托管式安全组，或指定自定义托管式安全组。无论哪种方式，Amazon EMR 都会向托管安全组自动添加集群在集群实例和Amazon服务之间通信所需的规则。

其它安全组是可选的。除了托管安全组以外，您还可以指定这些规则，以定制访问权限。其它安全组仅包含您定义的规则。Amazon EMR 不会对其进行修改。

Amazon EMR 在托管安全组中创建的规则允许集群在内部组件间进行通信。要允许用户和应用程序从该集群外部访问某集群，您可以在托管安全组中编辑规则和/或使用其它规则创建其它安全组。

您只能在创建集群时指定安全组。它们不能在集群正在运行时被添加到集群或集群实例，但您可以从现有安全组编辑、添加和删除规则。规则在您保存后立即生效。

默认情况下，安全组是限制性的。除非添加了允许流量的规则，否则流量会被拒绝。如果有多个规则应用于相同流量和相同源，则使用最宽松的规则。例如，如果有一条规则允许来自 IP 地址 192.0.2.12/32 的 SSH，而另一条规则允许访问来自地址范围 192.0.2.0/24 的所有 TCP 流量，则优先使用允许来自包含 192.0.2.12 的地址范围的所有 TCP 流量的规则。在这种情况下，192.0.2.12 处的客户端的访问数可能会超出您的预期数量。

您可以在每个区域中配置 Amazon EMR 阻止公有访问，以便如果有规则允许在未添加到例外列表的任何端口上进行公有访问时，阻止创建集群。对于 2019 年 7 月之后创建的Amazon账户，默认情况下启用 Amazon EMR 阻止公有访问。对于在 2019 年 7 月之前创建了集群的Amazon账户，默认情况下禁用 Amazon EMR 阻止公有访问。有关更多信息，请参阅使用 Amazon EMR 阻止公有访问。