Amazon EMR
管理指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用 Amazon EMR 托管的安全组

不同的托管安全组与集群中的主实例以及核心和任务实例相关联。在私有子网中创建集群时,需要用于服务访问的其他托管安全组。有关网络配置的托管安全组角色的更多信息,请参阅 Amazon VPC 选项

当您为集群指定托管安全组时,必须对所有托管安全组使用相同类型的安全组(默认或自定义)。例如,您无法为主实例指定自定义安全组,也无法为核心和任务实例指定自定义安全组。

如果您使用默认托管安全组,则无需在创建集群时指定它们。Amazon EMR 会自动使用默认值。此外,如果您的集群 VPC 中不存在默认值,则 Amazon EMR 会创建它们。如果您明确指定默认托管安全组但它们尚不存在,则 Amazon EMR 还会创建它们。

您可以在创建集群时,在托管安全组中编辑规则。在创建新集群时,Amazon EMR 会检查托管安全组中指定的规则,然后创建新集群除早前可能已添加的规则以外所需要的任何缺失的规则。

默认托管安全组如下所示:

适用于主实例(公有子网)的 Amazon EMR 托管的安全组

公有子网中主实例的默认托管安全组的 Group Name (组名称)ElasticMapReduce-master。默认托管安全组具有以下规则,如果您指定自定义托管安全组,则 Amazon EMR 将添加相同规则。

类型 协议 端口范围 详细信息
入站规则
All ICMP-IPv4 (所有 ICMP-IPv4) 全部 不适用 主实例的托管安全组的组 ID。换句话说,规则出现在相同安全组内。

这些反身规则允许来自与指定安全组关联的任何实例的入站流量。对多个集群使用默认 ElasticMapReduce-master 允许这些集群的核心和任务节点通过 ICMP 或者任何 TCP 或 UDP 端口相互通信。指定自定义托管安全组以限制跨集群访问。

所有 TCP TCP 全部
所有 UDP UDP 全部
All ICMP-IPV4 (所有 ICMP-IPV4) 全部 不适用 为核心和任务节点指定的托管安全组的组 ID。

这些规则允许所有入站 ICMP 流量以及来自与指定安全组关联的任何核心和任务实例的通过任何 TCP 或 UDP 端口的流量,即使这些实例位于不同的集群中。

所有 TCP TCP 全部
所有 UDP UDP 全部
Custom (自定义) TCP 8443 各种 Amazon IP 地址范围 这些规则允许集群管理器与主节点通信。
出站规则
所有流量 全部 全部 0.0.0.0/0 此规则提供对 Internet 的出站访问。

适用于核心和任务实例(公有子网)的 Amazon EMR 托管的安全组

公有子网中核心和任务实例的默认托管安全组的 Group Name (组名称)ElasticMapReduce-slave。默认托管安全组具有以下规则,如果您指定自定义托管安全组,则 Amazon EMR 将添加相同规则。

类型 协议 端口范围 详细信息
入站规则
All ICMP-IPV4 (所有 ICMP-IPV4) 全部 不适用 核心和任务实例托管安全组的组 ID。换句话说,规则出现在相同安全组内。

这些反身规则允许来自与指定安全组关联的任何实例的入站流量。对多个集群使用默认 ElasticMapReduce-slave 允许这些集群的核心和任务实例通过 ICMP 或者任何 TCP 或 UDP 端口相互通信。指定自定义托管安全组以限制跨集群访问。

所有 TCP TCP 全部
所有 UDP UDP 全部
All ICMP-IPV4 (所有 ICMP-IPV4) 全部 不适用 主实例的托管安全组的组 ID。

这些规则允许所有入站 ICMP 流量以及来自与指定安全组关联的任何主实例的通过任何 TCP 或 UDP 端口的流量,即使这些实例位于不同的集群中。

所有 TCP TCP 全部
所有 UDP UDP 全部
出站规则
所有流量 全部 全部 0.0.0.0/0 提供对 Internet 的出站访问。

适用于主实例(私有子网)的 Amazon EMR 托管的安全组

私有子网中主实例的默认托管安全组的 Group Name (组名称)ElasticMapReduce-Master-Private。默认托管安全组具有以下规则,如果您指定自定义托管安全组,则 Amazon EMR 将添加相同规则。

类型 协议 端口范围 详细信息
入站规则
All ICMP-IPv4 (所有 ICMP-IPv4) 全部 不适用 主实例的托管安全组的组 ID。换句话说,规则出现在相同安全组内。

这些反身规则允许来自与指定安全组关联且可从私有子网中进行访问的任何实例的入站流量。对多个集群使用默认 ElasticMapReduce-Master-Private 允许这些集群的核心和任务节点通过 ICMP 或者任何 TCP 或 UDP 端口相互通信。指定自定义托管安全组以限制跨集群访问。

所有 TCP TCP 全部
所有 UDP UDP 全部
All ICMP-IPV4 (所有 ICMP-IPV4) 全部 不适用 核心和任务节点的托管安全组的组 ID。

这些规则允许所有入站 ICMP 流量以及来自与指定安全组关联且从私有子网内进行访问的任何核心和任务实例的通过任何 TCP 或 UDP 端口的流量,即使这些实例位于不同的集群中。

所有 TCP TCP 全部
所有 UDP UDP 全部
HTTPS (8443) TCP 8443 私有子网中用于服务访问的托管安全组的组 ID。 此规则允许集群管理器与主节点通信。
出站规则
所有流量 全部 全部 0.0.0.0/0 提供对 Internet 的出站访问。

适用于核心和任务实例(私有子网)的 Amazon EMR 托管的安全组

私有子网中核心和任务实例的默认托管安全组的 Group Name (组名称)ElasticMapReduce-Slave-Private。默认托管安全组具有以下规则,如果您指定自定义托管安全组,则 Amazon EMR 将添加相同规则。

类型 协议 端口范围 详细信息
入站规则
All ICMP-IPV4 (所有 ICMP-IPV4) 全部 不适用 核心和任务实例托管安全组的组 ID。换句话说,规则出现在相同安全组内。

这些反身规则允许来自与指定安全组关联的任何实例的入站流量。对多个集群使用默认 ElasticMapReduce-slave 允许这些集群的核心和任务实例通过 ICMP 或者任何 TCP 或 UDP 端口相互通信。指定自定义托管安全组以限制跨集群访问。

所有 TCP TCP 全部
所有 UDP UDP 全部
All ICMP-IPV4 (所有 ICMP-IPV4) 全部 不适用 主实例的托管安全组的组 ID。

这些规则允许所有入站 ICMP 流量以及来自与指定安全组关联的任何主实例的通过任何 TCP 或 UDP 端口的流量,即使这些实例位于不同的集群中。

所有 TCP TCP 全部
所有 UDP UDP 全部
HTTPS (8443) TCP 8443 私有子网中用于服务访问的托管安全组的组 ID。 此规则允许集群管理器与核心和任务节点通信。
出站规则
所有流量 全部 全部 0.0.0.0/0 提供对 Internet 的出站访问。

适用于服务访问(私有子网)的 Amazon EMR 托管的安全组

私有子网中服务访问的默认托管安全组的 Group Name (组名称)ElasticMapReduce-ServiceAccess。它没有入站规则和允许流量通过 HTTPS(端口 8443)到私有子网中其他托管安全组的出站规则。这些规则允许集群管理器与主节点以及核心节点和任务节点进行通信。如果指定自定义安全组,则会添加相同规则。