GMTC全球大前端技术大会(北京站)门票9折特惠截至本周五,点击立减¥480 了解详情
写点什么

使用阻止公有访问配置保护您的 Amazon EMR 集群免受意外网络攻击

2019 年 11 月 27 日

使用阻止公有访问配置保护您的 Amazon EMR 集群免受意外网络攻击

AWS 安全组(security groups)充当网络防火墙,使您可以控制仅允许列入白名单的 IP 地址访问集群。正确管理安全组规则对于保护集群中的应用程序和数据至关重要。


Amazon EMR 强烈建议根据您的应用程序需求创建限制性安全组规则,其中包括必要的网络端口、协议和 IP 地址。尽管 AWS 账户管理员可以采用不同方式保护云网络安全,但有一项新功能可帮助他们防止账户用户使用配置错误的安全组规则启动集群。错误配置会为来自公共互联网、不受限制的流量打开大量集群端口,导致集群资源遭受外部威胁。本文讨论了一种新的账户级功能,称为阻止公有访问 (Block Public Access ,BPA) 配置,可以帮助管理员在同一个区域中的所有 EMR 集群中强制执行一种通用的公共访问规则。


阻止公有访问配置概览

BPA 配置是账户级别的配置,可帮助您集中管理对 AWS 同一个区域(Region)中的 EMR 集群的公共网络访问。您可以在区域中启用此配置,并阻止账户用户启动集群,防止因此而允许通过其端口从公有 IP 地址(对于 IPv4,源设置为 0.0.0.0/0,对于 IPv6,则设置为 ::/0)传入无限制的入站流量。您的应用程序可能需要特定的端口才能对互联网开放,对于这种情况,可以在 BPA 配置中将这些端口(或端口范围)配置为例外,以允许在启动集群之前进行公共访问。


当账户用户在启用了 BPA 配置的区域中启动集群时,EMR 将检查在此配置中定义的端口规则,并将其与在集群的关联安全组中指定的入站流量规则进行比较。如果这些安全组具有可打开访问公有 IP 地址的端口的入站规则,但您没有在 BPA 配置中将这些端口配置为例外,则 EMR 会导致集群创建失败,并向用户发送一条异常。


从 AWS 管理控制台启用 BPA 配置

要启用 BPA 配置,您需要具有调用


PutBlockPublicAccessConfigurationAPI 的权限。


  • 登录到 AWS 管理控制台。在控制台中,导航到 Amazon EMR

  • 在导航面板中,选择阻止公有访问(****Block Public Access)

  • 选择更改,然后选择启用以启用 BPA。


默认情况下,除用于 SSH 流量的端口 22 外,所有端口均被阻止。要允许更多端口可供公共访问,请将它们添加为例外。


  • 选择添加端口范围


在启动集群之前,请定义这些例外。这些端口号或范围应该是安全组规则中唯一具有入站源 IP 地址(对于 IPv4 为


0.0.0.0/0,对于 IPv6 为


::/0)的端口号或范围。


  • 输入可供公共访问的端口号或端口范围。

  • 选择保存更改




有关使用 AWS CLI 配置 BPA 的信息,请参阅配置阻止公有访问


小结

在本文中,我们讨论了 Amazon EMR 上的一项账户级别新功能,称为阻止公有访问 (BPA) 配置,该功能可帮助管理员管理对其 EMR 集群的公有访问。您可以立即启用 BPA 配置,防止区域中的 EMR 集群意外暴露于公共网络之中。




作者介绍:


Vignesh Rajamani 是 AWS EMR 的高级产品经理。


Esther Kundin 是 AWS EMR 的软件开发工程师。


Wesley Blumenthal 是 AWS EMR 的软件开发工程师。


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/secure-your-amazon-emr-cluster-from-unintentional-network-exposure-with-block-public-access-configuration/


2019 年 11 月 27 日 08:00182

欲了解 AWS 的更多信息,请访问【AWS 技术专区】

评论

发布
暂无评论
发现更多内容

项目延期了,怎么办?

石云升

项目管理 28天写作 职场经验 管理经验 3月日更

诊所数字化:医疗机构常见的系统整理

boshi

医院 医疗 七日更

Apache Oozie 深入原理讲解

五分钟学大数据

大数据 28天写作 3月日更 oozie

滚雪球学 Python 之内置 random 模块

梦想橡皮擦

28天写作 3月日更

LeetCode题解:91. 解码方法,动态规划(优化),JavaScript,详细注释

Lee Chen

算法 LeetCode 前端进阶训练营

算法攻关-climbing-stairs(O(n))_70

小诚信驿站

刘晓成 小诚信驿站 28天写作 算法攻关

大作业

LouisN

markdown如何插入图片、音频、视频?

xiezhr

markdown markdown语法 音频

容器or虚拟机?

xcbeyond

Docker 容器 3月日更 专业术语

Wireshark 数据包分析学习笔记 Day13

穿过生命散发芬芳

Wireshark 数据包分析 3月日更

Hamcrest

insight

单元测试 3月日更

Nginx配置静态文件服务从入门到精通

happlyfox

28天写作 3月日更

存量用户运营企业微信的“用户端小程序”优化方案

vivo互联网技术

小程序 微信 性能优化 前端 企业微信

融云即时通讯SDK集成 -- 通知检查

融云 RongCloud

即时通讯

美丽的数学学习笔记(1)

weetime

产品训练营 第四周作业

万顷湖天碧

融云 IM SDK 集成 --- 刷新会话界面和会话列表界面

融云 RongCloud

IM

Android 端如何添加自定义表情

融云 RongCloud

IM

短网址服务设计整理

程序员架构进阶

设计实践 28天写作 架构· 实操案例 3月日更

像这样操作 Python 列表,能让你的代码更优雅 | pythonic 小技巧

AlwaysBeta

Python

5 分钟部署一个 OIDC 服务并对接 nightingale

冯骐

CAS Nightingale 认证授权 OIDC Apereo

php的一些漏洞梳理

依旧廖凯

28天挑战 3月日更

哪有简单的满足——自我决定论

Justin

心理学 28天写作 游戏设计

京东数科面试真题:常见的 IO 模型有哪些?Java 中的 BIO、NIO、AIO 有啥区别?

云流

Java 架构 面试

产品经理训练营 - 大作业

joelhy

产品经理训练营

假期无聊冰河开发了一款国民级游戏!

冰河

Java 游戏

yum安装Nginx全流程指南

happlyfox

28天写作 3月日更

前端开发:Mac环境的Chrome浏览器设置跨域请求的SameSite解决方法

三掌柜

vue.js 前端 3月日更

金三银四跳槽阿里必备:分布式/高并发/Redis,不看我真的怕你后悔

比伯

Java 编程 架构 面试 程序人生

一卷河图赋太虚:HMS Core CG kit与移动游戏新可能

脑极体

算命、运气和其他「Day 24」

道伟

28天写作

使用阻止公有访问配置保护您的 Amazon EMR 集群免受意外网络攻击-InfoQ