定义安全组以控制 EMR Studio 网络流量 - Amazon EMR
关于先决条件说明
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

定义安全组以控制 EMR Studio 网络流量

关于 EMR Studio 安全组

Amazon EMR Studio 使用两个安全组来控制 Studio 中的 Workspaces 与在 Amazon EC2 上运行的附加 Amazon EMR 集群之间的网络流量:

  • 引擎安全组,它使用端口 18888 与在 Amazon EC2 上运行的附加 Amazon EMR 集群进行通信。

  • 与 Studio 中的 Workspaces 关联的 Workspace 安全组。此安全组包含出站 HTTPS 规则,以允许 Workspace 将流量路由到互联网,并且必须允许端口 443 上到互联网的出站流量才能将 Git 存储库链接到 Workspace。

除了与附加到 Workspace 的 EMR 集群关联的任何安全组之外,EMR Studio 还使用这些安全组。

当您使用 Amazon CLI 创建 Studio 时,您必须创建这些安全组。

注意

您可以使用为您的环境专门定制的规则为 EMR Studio 自定义安全组,但必须包含此页面上注明的规则。您的 Workspace 安全组不能允许任何入站流量,引擎安全组必须允许来自 Workspace 安全组的入站流量。

使用原定设置的 EMR Studio 安全组

您在使用 Amazon EMR 控制台时,可以选择以下默认安全组。默认安全组由 EMR Studio 代表您所创建,其中包括 EMR Studio Workspaces 所需的最低入站和出站规则。

  • DefaultEngineSecurityGroup

  • DefaultWorkspaceSecurityGroupGitDefaultWorkspaceSecurityGroupWithoutGit

先决条件

要为 EMR Studio 创建安全组,您需要用于该 Studio 的 Amazon Virtual Private Cloud (VPC)。您可以在创建安全组时选择此 VPC。此 VPC 应与您在创建 Studio 时指定的 VPC 相同。如果计划通过 EMR Studio 使用 Amazon EMR on EKS,请为您的 Amazon EKS 集群 Worker 节点选择 VPC。

说明

按照适用于 Linux 实例的《Amazon EC2 用户指南》创建安全组中的说明,在您的 VPC 中创建引擎安全组和 Workspace 安全组。安全组必须包括下表总结的规则。

当您为 EMR Studio 创建安全组时,请记下两者的 ID。创建 Studio 时,您可以按 ID 指定每个安全组。

引擎安全组

EMR Studio 使用端口 18888 与已附加的集群进行通信。

入站规则
类型 协议 端口 目标位置 描述
TCP TCP 18888 您的 EMR Studio Workspace 安全组。 允许来自 EMR Studio 的 Workspace 安全组中的任何资源的流量。
WorkSpace 安全组

此安全组与 EMR Studio 中的 Workspaces 相关联。

出站规则
类型 协议 端口 目标位置 描述
TCP TCP 18888 您的 EMR Studio 引擎安全组。 允许进入 EMR Studio 引擎安全组中的任何资源的流量。
HTTPS TCP 443 0.0.0.0/0 允许进入互联网的流量以便将公共托管的 Git 存储库链接到 Workspaces。