使用 Amazon EMR 阻止公有访问 - Amazon EMR
配置阻止公有访问
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用 Amazon EMR 阻止公有访问

当与集群关联的任何安全组具有一个允许某端口上来自 IPv4 0.0.0.0/0 或 IPv6 ::/0(公有访问)的入站流量的规则时,Amazon EMR 阻止公有访问将阻止集群启动,除非已经将该端口指定为例外。默认情况下,端口 22 是一个例外。您可以配置例外以允许在某个端口或端口范围上进行公有访问。此外,您还可以启用或禁用阻止公有访问。我们建议您启用它。

为您的 AWS 账户的每个 AWS 区域启用并配置阻止公有访问。换句话说,每个区域都有阻止公有访问配置,该配置适用于您的账户在该区域中创建的所有集群。

注意

对于在 2019 年 11 月 25 日之前在某个区域创建了集群的账户,默认情况下,该区域禁用阻止公有访问功能。要使用此功能,必须手动启用和配置它。对于在此日期之前未在某个区域中创建 EMR 集群的账户,默认情况下,会在该区域中启用阻止公有访问功能。

配置阻止公有访问

您可以使用 AWS 管理控制台、AWS CLI 和 Amazon EMR API 启用和禁用阻止公有访问设置。设置按区域适用于您的账户。

  1. 通过以下网址打开 Amazon EMR 控制台:https://console.amazonaws.cn/elasticmapreduce/

  2. 在导航栏中,确保选中要配置的区域

  3. 选择 Block public access (阻止公有访问)

  4. Block public access settings (阻止公有访问设置) 下,完成以下步骤。

    如需... 请执行此操作...

    打开或关闭阻止公有访问

    选择 Change (更改),根据需要选择 On (开)Off (关),然后选择对勾标记进行确认。

    编辑例外列表中的端口

    1. Exceptions (例外) 下,选择 Edit (编辑)

    2. 要将端口添加到例外列表,请选择 Add a port range (添加端口范围) 并输入新端口或端口范围。对要添加的每个端口或端口范围重复此过程。

    3. 要删除一个端口或端口范围,请选择 Port ranges (端口范围) 列表中条目旁边的 x

    4. 选择 Save Changes (保存更改)

使用 aws emr put-block-public-access-configuration 命令可配置阻止公有访问,如以下示例所示。

如需... 请执行此操作...

打开阻止公有访问

BlockPublicSecurityGroupRules 设置为 true,如以下示例所示。要启动集群,与集群关联的安全组不得具有允许公有访问的入站规则。 

aws emr put-block-public-access-configuration --block-public-access-configuration BlockPublicSecurityGroupRules=true

关闭阻止公有访问

BlockPublicSecurityGroupRules 设置为 false,如以下示例所示。与集群关联的安全组可以具有允许在任何端口上进行公有访问的入站规则。不推荐您使用此配置。 

aws emr put-block-public-access-configuration --block-public-access-configuration BlockPublicSecurityGroupRules=false

打开阻止公有访问并将端口指定为例外

以下示例将打开阻止公有访问,并将端口 22 和端口 100-101 指定为例外。这样,如果关联的安全组具有允许在端口 22、端口 100 或端口 101 上进行公有访问的入站规则,则允许创建集群。

aws emr put-block-public-access-configuration --block-public-access-configuration  '{ "BlockPublicSecurityGroupRules": true, "PermittedPublicSecurityGroupRuleRanges": [ { "MinRange": 22, "MaxRange": 22 }, { "MinRange": 100, "MaxRange": 101 } ] }'