Amazon EMR 中的安全性
Amazon 十分重视云安全性。作为 Amazon 客户,您将从专为满足大多数安全敏感型企业的要求而打造的数据中心和网络架构中受益。
安全性是 Amazon 和您的共同责任。责任共担模式
-
云的安全性 – Amazon负责保护在Amazon云中运行Amazon服务的基础设施。Amazon还向您提供可安全使用的服务。作为 Amazon 合规性计划
的一部分,第三方审核人员将定期测试和验证安全性的有效性。要了解适用于 Amazon EMR 的合规性计划,请参阅合规性计划范围内的Amazon服务 。 -
云中的安全性 - 您的责任由您使用的 Amazon 服务决定。您还需要对其它因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。
该文档帮助您了解如何在使用 Amazon EMR 时应用责任共担模式。当您在 Amazon EMR 上开发解决方案时,根据您的业务需求,使用以下技术帮助确保集群资源和数据的安全。本章中的主题向您演示如何配置 Amazon EMR 和使用其它Amazon服务,以满足您的安全性和合规性目标。
安全配置
Amazon EMR 中的安全配置是不同安全设置的模板。您可以创建一个安全配置以在创建集群时很方便地重复使用安全设置。有关更多信息,请参阅使用安全配置设置集群安全性。
数据保护
您可以实施数据加密来帮助保护 Amazon S3 中的静态数据、集群实例存储中的静态数据以及传输中的数据。有关更多信息,请参阅加密静态数据和传输中的数据。
Amazon Identity and Access Management 与 Amazon EMR 结合使用
Amazon Identity and Access Management (IAM) 是一种 Amazon 服务,可以帮助管理员安全地控制对 Amazon 资源的访问。IAM 管理员控制谁可以通过身份验证(登录)和授权(具有权限)使用 Amazon EMR 资源。IAM 是一个可以免费使用的 Amazon 服务。
-
IAM 基于身份的策略 – IAM policy 允许或拒绝用户和组执行操作的权限。策略可以与标签结合使用来按集群控制访问。有关更多信息,请参阅适用于 Amazon EMR 的 Amazon Identity and Access Management。
-
IAM 角色 – Amazon EMR 服务角色、实例配置文件和服务相关角色控制 Amazon EMR 访问其它Amazon服务的方式。有关更多信息,请参阅为 Amazon EMR 配置 IAM 服务角色对Amazon服务和资源的权限。
-
用于处理 EMRFS 对 Amazon S3 请求的 IAM 角色 – 当 Amazon EMR 访问 Amazon S3 时,您可以根据用户、组或 Amazon S3 中 EMRFS 数据的位置指定要使用的 IAM 角色。这让您能够精确地控制集群用户是否可以访问 Amazon EMR 中的文件。有关更多信息,请参阅为处理 EMRFS 对 Amazon S3 的请求配置 IAM 角色。
Kerberos
您可以将 Kerberos 设置为通过私有密钥加密来提供强大的身份验证。有关更多信息,请参阅使用 Kerberos 通过 Amazon EMR 进行身份验证。
Lake Formation
您可以将 Lake Formation 权限与 Amazon Glue 数据目录结合使用,在 Amazon Glue 数据目录中提供对数据库和表的精细列级别访问。Lake Formation 可实现从企业身份系统对 EMR Notebooks 或 Apache Zeppelin 的联合身份单点登录。有关更多信息,请参阅将 Amazon EMR 与 Amazon Lake Formation 集成。
Secure Socket Shell(SSH)
SSH 帮助为用户提供连接到集群实例上的命令行的安全方式。它还提供了隧道来查看应用程序在主节点上托管的 Web 界面。客户端可以使用 Kerberos 或 Amazon EC2 密钥对进行身份验证。有关更多信息,请参阅对 SSH 凭证使用 EC2 密钥对和连接到集群。
Amazon EC2 安全组
安全组充当 EMR 集群实例的虚拟防火墙,可限制入站和出站网络流量。有关更多信息,请参阅使用安全组控制网络流量。
更新适用于 Amazon EMR 的默认 Amazon Linux AMI
重要
运行 Amazon Linux 或 Amazon Linux 2 AMI(Amazon Linux Machine Image)的 Amazon EMR 集群使用默认的 Amazon Linux 行为,且不会自动下载和安装需要重新启动的重要关键内核更新。这与运行默认 Amazon Linux AMI 的其它 Amazon EC2 实例的行为相同。如果需要重新启动的新 Amazon Linux 软件更新(例如内核、NVIDIA 和 CUDA 更新)在 Amazon EMR 版本发布后可用,则运行默认 AMI 的 Amazon EMR 集群实例不会自动下载和安装这些更新。要获取内核更新,您可以自定义 Amazon EMR AMI,以使用最新的 Amazon Linux AMI。
根据您的应用程序的安全状况和集群运行的时长,您可选择定期重启集群以应用安全更新,或创建引导操作以自定义软件包安装和更新。也可以选择在正在运行的集群实例上测试然后安装所选安全更新。有关更多信息,请参阅在 Amazon EMR 使用默认的 Amazon Linux AMI。请注意,您的联网配置必须允许 HTTP 和 HTTPS 传出到 Amazon S3 中的 Amazon Linux 存储库,否则安全更新将失败。