Amazon EMR
管理指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Amazon EMR 中的安全性

AWS 的云安全性的优先级最高。作为 AWS 客户,您将从专为满足大多数安全敏感型组织的要求而打造的数据中心和网络架构中受益。

安全性是 AWS 和您的共同责任。责任共担模型将其描述为云 安全性和云 的安全性:

  • 云的安全性 – AWS 负责保护在 AWS 云中运行 AWS 服务的基础设施。AWS 还向您提供可安全使用的服务。作为 AWS 合规性计划的一部分,第三方审计人员将定期测试和验证安全性的有效性。要了解适用于 Amazon EMR 的合规性计划,请参阅合规性计划范围内的 AWS 服务

  • 云中的安全性 – 您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。

此文档将帮助您了解如何在使用 Amazon EMR 时应用责任共担模型。当您在 Amazon EMR 上开发解决方案时,使用以下技术根据业务要求来帮助保护集群资源和数据。本章中的主题向您演示如何配置 Amazon EMR 和使用其他 AWS 服务,以满足您的安全性和合规性目标。

安全配置

Amazon EMR 中的安全配置是不同安全设置的模板。您可以创建一个安全配置以在创建集群时很方便地重复使用安全设置。有关更多信息,请参阅使用安全配置设置集群安全性

数据保护

您可以实施数据加密来帮助保护 Amazon S3 中的静态数据、集群实例存储中的静态数据以及传输中的数据。有关更多信息,请参阅加密静态数据和传输中的数据

AWS Identity and Access Management 替换为 Amazon EMR

AWS Identity and Access Management (IAM) 是一项 AWS 服务,可帮助管理员安全地控制对 AWS 资源的访问。IAM 管理员控制谁可以通过身份验证(登录)和授权(具有权限)以使用 Amazon EMR 资源。IAM 是一项无需额外费用即可使用的 AWS 服务。

Kerberos

您可以将 Kerberos 设置为通过私有密钥加密来提供强大的身份验证。有关更多信息,请参阅 使用 Kerberos 身份验证

安全套接字外壳 (SSH)

SSH 帮助为用户提供连接到集群实例上的命令行的安全方式。它还提供了隧道来查看应用程序在主节点上托管的 Web 界面。客户端可以使用 Kerberos 或 Amazon EC2 密钥对进行身份验证。有关更多信息,请参阅 对 SSH 凭证使用 Amazon EC2 密钥对连接到集群

Amazon EC2 个安全组

安全组充当 EMR 集群实例的虚拟防火墙,可限制入站和出站网络流量。有关更多信息,请参阅 使用安全组控制网络流量

对于适用于 Amazon EMR 的默认 Amazon Linux AMI 的更新

当集群中基于 Amazon EMR 的默认 Amazon Linux AMI 的 Amazon EC2 实例第一次启动时,默认情况下会安装关键安全更新。不会安装其他更新。根据您的应用程序的安全状况和集群运行的时长,您可选择定期重启集群以应用安全更新,或创建引导操作以自定义软件包安装和更新。也可以选择在正在运行的集群实例上测试然后安装所选安全更新。有关更多信息,请参阅 针对 Amazon EMR 使用默认的 Amazon Linux AMI