本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 定义安全组以控制 EMR Studio 网络流量
## 关于 EMR Studio 安全组
Amazon EMR Studio 使用两个安全组来控制 Studio 中的 Workspaces 与在 Amazon EC2 上运行的附加 Amazon EMR 集群之间的网络流量:
+ **引擎安全组**,它使用端口 18888 与在 Amazon EC2 上运行的附加 Amazon EMR 集群进行通信。
+ 与 Studio 中的 Workspaces 关联的 **Workspace 安全组**。此安全组包含出站 HTTPS 规则,以允许 Workspace 将流量路由到互联网,并且必须允许端口 443 上到互联网的出站流量才能将 Git 存储库链接到 Workspace。
除了与附加到 Workspace 的 EMR 集群关联的任何安全组之外,EMR Studio 还使用这些安全组。
使用创建 Studio 时, Amazon CLI 必须创建这些安全组。
**注意**
您可以使用为您的环境专门定制的规则为 EMR Studio 自定义安全组,但必须包含此页面上注明的规则。您的 Workspace 安全组不能允许任何入站流量,引擎安全组必须允许来自 Workspace 安全组的入站流量。
**使用原定设置的 EMR Studio 安全组**
您在使用 Amazon EMR 控制台时,可以选择以下默认安全组。默认安全组由 EMR Studio 代表您所创建,其中包括 EMR Studio Workspaces 所需的最低入站和出站规则。
+ `DefaultEngineSecurityGroup`
+ `DefaultWorkspaceSecurityGroupGit` 或 `DefaultWorkspaceSecurityGroupWithoutGit`
## 先决条件
要为 EMR Studio 创建安全组,您需要用于该 Studio 的 Amazon Virtual Private Cloud (VPC)。您可以在创建安全组时选择此 VPC。此 VPC 应与您在创建 Studio 时指定的 VPC 相同。如果计划通过 EMR Studio 使用 Amazon EMR on EKS,请为您的 Amazon EKS 集群 Worker 节点选择 VPC。
## 说明
按照*适用于 Linux 实例的《Amazon EC2 用户指南》*内[创建安全组](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group)中的说明,在您的 VPC 中创建引擎安全组和 Workspace 安全组。安全组必须包括下表总结的规则。
在为 EMR Studio 创建安全组时,请注意两 IDs 者的安全组。创建 Studio 时,您可以按 ID 指定每个安全组。
**引擎安全组**
EMR Studio 使用端口 18888 与已附加的集群进行通信。
**入站规则**
[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/emr/latest/ManagementGuide/emr-studio-security-groups.html)
**WorkSpace 安全组**
此安全组与 EMR Studio 中的 Workspaces 相关联。
**出站规则**
[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/emr/latest/ManagementGuide/emr-studio-security-groups.html)