本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon EMR 控件
这些控件与 Amazon EMR 资源有关。
这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址
相关要求:PCI DSS v3.2.1/1.2.1,PCI DSS v3.2.1/1.3.1,PCI DSS v3.2.1/1.3.2,PCI DSS v3.2.1/1.3.4,PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)
类别:保护 > 安全网络配置
严重性:高
资源类型:AWS::EMR::Cluster
Amazon Config 规则:emr-master-no-public-ip
计划类型:定期
参数:无
此控件检查 Amazon EMR 集群上的主节点是否具有公有 IP 地址。如果公有 IP 地址与任何主节点实例相关联,则控制失败。
公有 IP 地址是在实例的 NetworkInterfaces 配置 PublicIp 字段中指定的。此控件仅检查处于 RUNNING 或 WAITING 状态的 Amazon EMR 集群。
修复
在启动期间,您可以控制是否为默认子网或非默认子网中的实例分配公有 IPv4 地址。默认情况下,默认子网的此属性设置为 true。除非由 Amazon EC2 启动实例向导创建,否则 IPv4 公有寻址属性设置为 false。在这种情况下,会将属性设置为 true。
启动后,您无法手动取消公有 IPv4 地址与实例的关联。
要修复失败的调查发现,您必须在私有子网的 VPC 中启动一个新集群,该子网的 IPv4 公有寻址属性设置为 false。有关说明,请参阅 Amazon EMR 管理指南中的在 VPC 中启动集群。
[EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置
相关要求:NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)。
类别:保护 > 安全访问管理 > 资源不公开访问
严重性:严重
资源类型:AWS::::Account
Amazon Config 规则:emr-block-public-access
计划类型:定期
参数:无
此控件会检查您的账户是否配置了 Amazon EMR 屏蔽公共访问权限。如果未启用屏蔽公共访问权限设置或允许除端口 22 之外的任何端口,则控制失败。
如果集群的安全配置允许来自公有 IP 地址的入站流量通过某个端口,Amazon EMR 屏蔽公共访问权限会阻止您在公有子网中启动该集群。当来自您的 Amazon Web Services 账户 的用户启动集群时,Amazon EMR 会检查该集群的安全组中的端口规则,并将其与您的入站流量规则进行比较。如果安全组具有向公有 IP 地址 IPv4 0.0.0.0/0 或 IPv6 ::/0 开放端口的入站规则,且这些端口并未指定为您账户的例外,则 Amazon EMR 不允许用户创建集群。
注意
默认情况下,阻止公有访问处于启用状态。为了增强账户保护,我们建议您将其保持启用状态。
修复
要为 Amazon EMR 配置屏蔽公共访问权限,请参阅《亚马逊 EMR 管理指南》中的使用 Amazon EMR 阻止公有访问。