Amazon EMR 中的安全性 - Amazon EMR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon EMR 中的安全性

Amazon的云安全性的优先级最高。作为Amazon客户,您将从专为满足大多数安全敏感型企业的要求而打造的数据中心和网络架构中受益。

安全性是 Amazon 和您的共同责任。责任共担模型将其描述为云 安全性和云 的安全性:

  • 云的安全性 – Amazon负责保护在Amazon云中运行Amazon服务的基础设施。Amazon还向您提供可安全使用的服务。作为 Amazon 合规性计划的一部分,第三方审核人员将定期测试和验证安全性的有效性。要了解适用于 Amazon EMR 的合规性计划,请参阅合规性计划范围内的Amazon服务

  • 云中的安全性 - 您的责任由您使用的Amazon服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。

该文档帮助您了解如何在使用 Amazon EMR 时应用责任共担模式。当您在 Amazon EMR 上开发解决方案时,根据您的业务需求,使用以下技术帮助确保集群资源和数据的安全。本章中的主题向您演示如何配置 Amazon EMR 和使用其他Amazon服务,以满足您的安全性和合规性目标。

安全配置

Amazon EMR 中的安全配置是不同安全设置的模板。您可以创建一个安全配置以在创建集群时很方便地重复使用安全设置。有关更多信息,请参阅使用安全配置设置集群安全性

数据保护

您可以实施数据加密来帮助保护 Amazon S3 中的静态数据、集群实例存储中的静态数据以及传输中的数据。有关更多信息,请参阅加密静态数据和传输中的数据

Amazon Identity and Access Management 与 Amazon EMR 结合使用

Amazon Identity and Access Management (IAM) 是一种 Amazon 服务,可以帮助管理员安全地控制对 Amazon 资源的访问。IAM 管理员控制谁可以通过身份验证(登录)和授权(具有权限)使用 Amazon EMR 资源。IAM 是一个可以免费使用的 Amazon 服务。

Kerberos

您可以将 Kerberos 设置为通过私有密钥加密来提供强大的身份验证。有关更多信息,请参阅使用 Kerberos 身份验证

Lake Formation

您可以将 Lake Formation 权限与 Amazon Glue 数据目录结合使用,在 Amazon Glue 数据目录中提供对数据库和表的精细列级别访问。Lake Formation 可实现从企业身份系统对 EMR Notebooks 或 Apache Zeppelin 的联合身份单点登录。有关更多信息,请参阅将 Amazon EMR 与 Amazon Lake Formation 集成

安全套接字外壳 (SSH)

SSH 帮助为用户提供连接到集群实例上的命令行的安全方式。它还提供了隧道来查看应用程序在主节点上托管的 Web 界面。客户端可以使用 Kerberos 或 Amazon EC2 密钥对进行身份验证。有关更多信息,请参阅对 SSH 凭证使用 Amazon EC2 密钥对连接到集群

Amazon EC2 安全组

安全组充当 EMR 集群实例的虚拟防火墙,可限制入站和出站网络流量。有关更多信息,请参阅使用安全组控制网络流量

更新适用于 Amazon EMR 的默认 Amazon Linux AMI

重要

运行 Amazon Linux 或 Amazon Linux 2 AMI(Amazon Linux Machine Image)的 Amazon EMR 集群使用默认的 Amazon Linux 行为,且不会自动下载和安装需要重新启动的重要关键内核更新。这与运行默认 Amazon Linux AMI 的其他 Amazon EC2 实例的行为相同。如果需要重新启动的新 Amazon Linux 软件更新(例如内核、NVIDIA 和 CUDA 更新)在 Amazon EMR 版本发布后可用,则运行默认 AMI 的 Amazon EMR 集群实例不会自动下载和安装这些更新。要获取内核更新,您可以自定义 Amazon EMR AMI,以使用最新的 Amazon Linux AMI

根据您的应用程序的安全状况和集群运行的时长,您可选择定期重启集群以应用安全更新,或创建引导操作以自定义软件包安装和更新。也可以选择在正在运行的集群实例上测试然后安装所选安全更新。有关更多信息,请参阅为 Amazon EMR 使用默认的 Amazon Linux AMI。请注意,您的网络配置必须允许 HTTP 和 HTTPS 传出到 Amazon S3 中的 Amazon Linux 存储库,否则安全更新将失败。