本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon EMR 控件
这些控件与 Amazon EMR 资源有关。
这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址
相关要求:PCI DSS v3.2.1/1.2.1,PCI DSS v3.2.1/1.3.1,PCI DSS v3.2.1/1.3.2,PCI DSS v3.2.1/1.3.4,PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)
类别:保护 > 安全网络配置
严重性:高
资源类型:AWS::EMR::Cluster
Amazon Config 规则:emr-master-no-public-ip
计划类型:定期
参数:无
此控件检查 Amazon EMR 集群上的主节点是否具有公有 IP 地址。如果公有 IP 地址与任何主节点实例相关联,则控制失败。
公有 IP 地址是在实例的 NetworkInterfaces
配置 PublicIp
字段中指定的。此控件仅检查处于 RUNNING
或 WAITING
状态的 Amazon EMR 集群。
修复
在启动期间,您可以控制是否为默认子网或非默认子网中的实例分配公有 IPv4 地址。默认情况下,默认子网的此属性设置为 true
。除非由 Amazon EC2 启动实例向导创建,否则 IPv4 公有寻址属性设置为 false
。在这种情况下,会将属性设置为 true
。
启动后,您无法手动取消公有 IPv4 地址与实例的关联。
要修复失败的调查发现,您必须在私有子网的 VPC 中启动一个新集群,该子网的 IPv4 公有寻址属性设置为 false
。有关说明,请参阅 Amazon EMR 管理指南中的在 VPC 中启动集群。
[EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置
相关要求:NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)。
类别:保护 > 安全访问管理 > 资源不公开访问
严重性:严重
资源类型:AWS::::Account
Amazon Config 规则:emr-block-public-access
计划类型:定期
参数:无
此控件会检查您的账户是否配置了 Amazon EMR 屏蔽公共访问权限。如果未启用屏蔽公共访问权限设置或允许除端口 22 之外的任何端口,则控制失败。
如果集群的安全配置允许来自公有 IP 地址的入站流量通过某个端口,Amazon EMR 屏蔽公共访问权限会阻止您在公有子网中启动该集群。当来自您的 Amazon Web Services 账户 的用户启动集群时,Amazon EMR 会检查该集群的安全组中的端口规则,并将其与您的入站流量规则进行比较。如果安全组具有向公有 IP 地址 IPv4 0.0.0.0/0 或 IPv6 ::/0 开放端口的入站规则,且这些端口并未指定为您账户的例外,则 Amazon EMR 不允许用户创建集群。
注意
默认情况下,阻止公有访问处于启用状态。为了增强账户保护,我们建议您将其保持启用状态。
修复
要为 Amazon EMR 配置屏蔽公共访问权限,请参阅《亚马逊 EMR 管理指南》中的使用 Amazon EMR 阻止公有访问。