本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon EMR 阻止公有访问
当与集群关联的任何安全组具有一个允许某端口上来自 IPv4 0.0.0.0/0 或 IPv6 ::/0(公有访问)的入站流量的规则时,Amazon EMR 阻止公有访问将阻止公有子网内的集群启动,除非已经将该端口指定为例外。默认情况下,端口 22 是一个例外。您可以配置例外以允许在某个端口或端口范围上进行公有访问。阻止公有访问不会在私有子网中生效。
为您的Amazon账户的每个Amazon区域启用阻止公有访问。换句话说,每个区域都为您的账户在该区域中创建的所有集群启用了阻止公有访问。
重要
我们不建议为您的账户关闭阻止公有访问权限。
阻止公有访问仅在集群创建期间适用。阻止公有访问不会阻止具有适当权限的 IAM 委托人更新安全组配置以允许对正在运行的集群进行公有访问。
阻止公有访问是一种账户级别配置,可帮助您对区域中 Amazon EMR 集群的公共网络访问进行集中管理。当账户用户在您启用阻止公有访问配置的区域中启动集群时,Amazon EMR 会检查配置中定义的端口规则,并将其与集群关联的安全组中指定的入站流量规则进行比较。如果这些安全组具有向公有 IP 地址开放端口的入站规则,但这些端口未在阻止公有访问配置中配置为例外,则 Amazon EMR 将无法创建集群并向用户发送异常。
您可以随时更新账户中的安全组和阻止公有访问配置。Amazon EMR 不会在此类更新之后检查已经根据阻止公有访问配置运行的集群,也不会使已经运行的集群失败。
Amazon EMR 阻止公共访问可在以下区域使用:
非洲(开普敦)- af-south-1
亚太地区(孟买)– ap-south-1
亚太地区(香港)- ap-east-1
亚太地区(雅加达)– ap-southeast-3
亚太地区(大阪)– ap-northeast-3
亚太地区(首尔)– ap-northeast-2
亚太地区(新加坡)– ap-southeast-1
亚太地区(悉尼)- ap-southeast-2
亚太地区(东京)- ap-northeast-1
加拿大(中部)– ca-central-1
中国(北京)- cn-north-1
中国(宁夏)- cn-northwest-1
欧洲(法兰克福)– eu-central-1
欧洲(爱尔兰)– eu-west-1
欧洲(伦敦)– eu-west-2
欧洲(米兰)- eu-south-1
欧洲(巴黎)– eu-west-3
欧洲(斯德哥尔摩)– eu-north-1
中东(巴林)- me-south-1
南美洲(圣保罗)– sa-east-1
美国东部(弗吉尼亚北部)- us-east-1
美国东部(俄亥俄)- us-east-2
美国西部(加利福尼亚北部)– us-west-1
美国西部(俄勒冈)- us-west-2
配置阻止公有访问
您可以使用Amazon Web Services Management Console、Amazon CLI 和 Amazon EMR API 启用和禁用阻止公有访问设置。设置按区域适用于您的账户。为了保障集群安全性,建议您保持启用 BPA。
注意
我们重新设计了 Amazon EMR 控制台,以便其易于使用。请参阅 控制台中的新增功能,以了解有关新旧控制台体验差异的信息。