すべてのプロダクト
Search

このプロダクト

    E-MapReduce:セキュリティグループの管理

    ドキュメントセンター

    E-MapReduce:セキュリティグループの管理

    最終更新日:Jan 11, 2025

    セキュリティグループは、ネットワークセキュリティ分離の重要な手段です。セキュリティグループは、E-MapReduce(EMR)クラスター内の Elastic Compute Service(ECS)インスタンスのネットワークアクセス制御を設定するために使用されます。このトピックでは、セキュリティグループに ECS インスタンスを追加する方法と、セキュリティグループルールを追加する方法について説明します。

    背景情報

    EMR クラスターを作成する場合は、既存のセキュリティグループを選択するか、新しいセキュリティグループを作成する必要があります。セキュリティグループルールを追加して、セキュリティグループ内のすべての ECS インスタンスの発信および着信ネットワークアクセスを制御できます。 ECS インスタンスの使用シナリオに基づいて、ECS インスタンスを異なるセキュリティグループに追加し、各セキュリティグループのセキュリティグループルールを設定することをお勧めします。このトピックでは、EMR を使用する前に存在するセキュリティグループをユーザーセキュリティグループと呼び、EMR クラスターの作成時に作成されるセキュリティグループを EMR セキュリティグループと呼びます。

    セキュリティグループの作成方法の詳細については、「セキュリティグループの作成」をご参照ください。

    制限事項

    • クラシックネットワークタイプの ECS インスタンスは、同じリージョンのクラシックネットワークタイプのセキュリティグループに追加する必要があります。

    • 仮想プライベートクラウド(VPC)タイプの ECS インスタンスは、同じ VPC 内のセキュリティグループに追加する必要があります。

    注意事項

    • セキュリティグループルールを追加する場合は、アクセスに使用できる IP アドレスを指定する必要があります。攻撃を防ぐために、0.0.0.0/0 を指定しないことをお勧めします。

    • アプリケーションの着信および発信ルールを設定する場合は、最小権限の原則に従ってください。セキュリティグループルールを設定するときは、現在の公開 IP アドレスからのアクセスのみを許可できます。現在の公開 IP アドレスを取得するには、http://myip.ipip.net/ にアクセスしてください。

    • ECS コンソールで作成された高度なセキュリティグループは使用しないでください。

    • EMR は、仮想 IP アドレス(VIP)範囲に基づいて EMR クラスターの制御サービスを提供します。クラスターのセキュリティグループで、CIDR ブロック 100.64.0.0/10 または内部 Object Storage Service(OSS)VIP 範囲からのアクセスを拒否しないでください。詳細については、「内部 OSS エンドポイントと VIP 範囲」をご参照ください。

      不適切なセキュリティグループポリシーによって引き起こされたネットワーク接続障害により EMR が期待どおりに動作しない場合、お客様は損失と結果のすべての責任を負うものとします。

    • EMR クラスターのセキュリティグループルールを設定する場合は、クラスター内のすべての ECS インスタンスが内部ネットワークを介して相互に通信できることを確認する必要があります。そうでない場合、EMR クラスターは期待どおりにサービスを提供できません。

    セキュリティグループへのインスタンスの追加

    1. ノードタブに移動します。

      1. EMR コンソール にログインします。左側のナビゲーションペインで、[ECS 上の EMR] をクリックします。

      2. 上部のナビゲーションバーで、クラスターが存在するリージョンを選択し、ビジネス要件に基づいてリソースグループを選択します。

      3. [ECS 上の EMR] ページで、管理するクラスターを見つけ、[アクション] 列の [ノード] をクリックします。

    2. ECS コンソールの [セキュリティグループ] タブに移動します。

      1. [ノード] タブで、目的のノードグループの左側にある add アイコンをクリックします。

      2. [ノード名/ID] 列のノードの ID をクリックします。

      3. 表示されるページで、[セキュリティグループ] タブをクリックします。

    3. [セキュリティグループ] タブで、[セキュリティグループに追加] をクリックします。

    4. [セキュリティグループに追加] ダイアログボックスで、[セキュリティグループ] ドロップダウンリストからセキュリティグループを選択します。

      ECS インスタンスを一度に複数のセキュリティグループに追加する場合は、セキュリティグループを選択した後、[複数のセキュリティグループに参加] をクリックします。セキュリティグループが表示されるボックスに追加されます。次に、同じ操作を実行して、他のセキュリティグループをボックスに追加します。

    5. [OK] をクリックします。

      手順 2 から 手順 4 まで繰り返して、EMR クラスター内のすべての ECS インスタンスをセキュリティグループに追加します。

    セキュリティグループルールの追加

    1. オンプレミスマシンの公開 IP アドレスを取得します。

      セキュリティ上の理由から、セキュリティグループルールを設定するときは、現在の公開 IP アドレスからのアクセスのみを許可することをお勧めします。現在の公開 IP アドレスを取得するには、http://myip.ipip.net/ にアクセスしてください。

    2. [セキュリティグループの詳細] タブに移動します。

      1. EMR コンソール にログインします。左側のナビゲーションペインで、[ECS 上の EMR] をクリックします。

      2. 上部のナビゲーションバーで、クラスターが存在するリージョンを選択し、ビジネス要件に基づいてリソースグループを選択します。

      3. [ECS 上の EMR] ページで、目的のクラスターを見つけ、クラスターの名前をクリックします。

      4. [基本情報] タブの [セキュリティ] セクションで、[クラスターセキュリティグループ] の右側にあるリンクをクリックします。

    3. 表示されるページの [セキュリティグループの詳細] タブで、[ルールの追加] をクリックします。

      [ポート範囲] パラメーターと [承認オブジェクト] パラメーターを設定します。その他のパラメーターはデフォルト値のままにします。詳細については、「セキュリティグループルールの追加」をご参照ください。

      パラメーター

      説明

      ポート範囲

      このパラメーターを、ECS インスタンスへのアクセスに使用するポートに設定します。

      承認オブジェクト

      このパラメーターを、手順 1 で取得した公開 IP アドレスに設定します。

      重要

      外部ユーザーからの攻撃を防ぐために、[承認オブジェクト]0.0.0.0/0 に設定することはできません。

    4. [保存] をクリックします。