Block Public Access 設定により、意図しないネットワーク公開から Amazon EMR クラスターを保護

AWS セキュリティグループは、ホワイトリストに登録された IP アドレスのみへのクラスターのアクセスを制御できるネットワークファイアウォールとして機能します。クラスター上のアプリケーションとデータを保護するには、セキュリティグループのルールを適切に管理することが重要です。Amazon EMR では、アプリケーションの要件に基づいて、必要なネットワークポート、プロトコル、および IP アドレスを含む制限的なセキュリティグループルールを作成することを強くお勧めします。

AWS アカウント管理者はさまざまな方法でクラウドネットワークセキュリティを保護できますが、新しい機能では、アカウントユーザーが誤って設定されたセキュリティグループルールでクラスターを起動できなくなりました。誤った設定は、パブリックインターネットからの無制限のトラフィックに広範囲のクラスターポートを開放し、クラスターリソースを外部の脅威にさらす可能性があります。

この投稿では、管理者がリージョン内のすべての EMR クラスターに共通のパブリックアクセスルールを適用するのに役立つ、Block Public Access (BPA) 設定と呼ばれる新しいアカウントレベルの機能について説明します。

Block Public Access 設定の概要

BPA 設定は、リージョン内の EMR クラスターへのパブリックネットワークアクセスを集中管理するのに役立つ、アカウントレベルの設定です。リージョンでこの設定を有効にし、アカウントユーザーがポートを介してパブリック IP アドレス (IPv4 では 0.0.0.0/0、IPv6 では ::/0 にソースを設定) からの無制限のインバウンドトラフィックを許可するクラスターを起動できないようにすることができます。アプリケーションでは、インターネットに対してオープンである特定のポートが必要な場合があります。その場合、クラスターを起動する前にパブリックアクセスを許可する例外として、BPA 設定でこれらのポート (またはポート範囲) を設定します。

アカウントユーザーが BPA 設定を有効にしたリージョンでクラスターを起動すると、EMR はこの設定で定義されたポートルールを確認し、クラスターに関連付けられたセキュリティグループで指定済みのインバウンドトラフィックルールと比較します。これらのセキュリティグループにパブリック IP アドレスへのポートを開くインバウンドルールがあるが、これらのポートを BPA 設定の例外として設定しなかった場合、EMR はクラスターの作成に失敗し、ユーザーに例外を送信します。

 AWS マネジメントコンソールから BPA 設定を有効にする

BPA 設定を有効にするには、PutBlockPublicAccessConfiguration API を呼び出す権限が必要です。

• AWS マネジメントコンソールにログインします。コンソールから、Amazon EMR に移動します
• ナビゲーションパネルから [Block Public Access] を選択します。
• [変更] を選択し、[オン] を選択して BPA を有効にします。

デフォルトでは、SSH トラフィック用のポート 22 を除くすべてのポートがブロックされます。より多くのポートをパブリックアクセスに許可するには、それらを例外として追加します。

• [ポート範囲の追加] を選択します。

クラスターを起動する前に、これらの例外を定義します。ポート番号または範囲は、IPv4 の場合は 0.0.0.0/0、IPv6 の場合は ::/0 のインバウンドソース IP アドレスを持つセキュリティグループルール内の唯一のものでなければなりません。

• パブリックアクセス用のポート番号またはポート範囲を入力します。
• [変更の保存] を選択します。

AWS CLI を使用して BPA を設定する方法については、Block Public Access を設定を参照してください。

まとめ

この投稿では、管理者が EMR クラスターへのパブリックアクセスを管理するのに役立つ、Block Public Access (BPA) 設定と呼ばれる Amazon EMR の新しいアカウントレベル機能について説明しました。本日 BPA 設定を有効にすると、リージョンの EMR クラスターが意図せずにパブリックネットワークに公開されるのを防ぐことができます。

著者について

Vignesh Rajamani は、AWS における EMR のシニアプロダクトマネージャーです。