Amazon EMR
管理指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

安全性

Amazon EMR 提供了多种功能来帮助保护集群资源和数据:

  • AWS Identity and Access Management (IAM) 策略

    IAM 策略允许或拒绝 IAM 用户和组执行操作的权限。策略可以与标签结合使用来按集群控制访问。有关更多信息,请参阅使用 IAM 策略来允许和拒绝用户权限

  • EMRFS 对 Amazon S3 请求的 IAM 角色

    您可以根据用户、组或 EMRFS 数据在 Amazon S3 中的位置控制集群用户是否可以访问 Amazon EMR 中的文件。有关更多信息,请参阅为处理 EMRFS 对 Amazon S3 的请求配置 IAM 角色

  • IAM 角色

    Amazon EMR 服务角色、实例配置文件和服务相关角色控制 Amazon EMR 访问其他 AWS 服务的方式。有关更多信息,请参阅为 IAM 角色配置对 AWS 服务的 Amazon EMR 权限

  • Kerberos

    您可以将 Kerberos 设置为通过私有密钥加密来提供强大的身份验证。有关更多信息,请参阅使用 Kerberos 身份验证

  • 安全套接字外壳 (SSH)

    SSH 为用户提供了连接到集群实例上的命令行的安全方式。它还提供了隧道来查看应用程序在主节点上托管的 Web 界面。客户端可以使用 Kerberos 或 Amazon EC2 密钥对进行身份验证。有关更多信息,请参阅 对 SSH 凭证使用 Amazon EC2 密钥对连接到集群

  • 数据加密

    您可以实施数据加密来帮助保护 Amazon S3 和集群实例存储中的静态数据以及传输中的数据。有关更多信息,请参阅加密传输中的数据和静态数据。您还可以使用自定义 Amazon Linux AMI 来加密集群实例的 EBS 根设备卷。有关更多信息,请参阅 使用自定义 AMI

  • 安全组

    安全组充当 EMR 集群实例的虚拟防火墙,可限制入站和出站网络流量。有关更多信息,请参阅 使用安全组控制网络流量

  • 安全配置

    Amazon EMR 中的安全配置是安全设置的模板。您可以创建一个安全配置以在创建集群时很方便地重复使用安全设置。有关更多信息,请参阅使用安全配置设置集群安全性

当集群中基于 Amazon EMR 的默认 Amazon Linux AMI 的 Amazon EC2 实例第一次启动时,默认情况下会安装关键安全更新。不会安装其他更新。根据您的应用程序的安全状况和集群运行的时长,您可选择定期重启集群以应用安全更新,或创建引导操作以自定义软件包安装和更新。也可以选择在正在运行的集群实例上测试然后安装所选安全更新。有关更多信息,请参阅在 Amazon EMR 中使用 Amazon Linux AMI