EMR

AWSのElastic MapReduce（EMR）サービスは、バージョン4.8.0から、EMRクラスター内のデータの暗号化設定を指定することでデータの保護を強化するセキュリティ構成機能を導入しました。EMRクラスターは、Apache HadoopやSparkなどのビッグデータフレームワークを処理するために設計されたEC2インスタンスのスケーラブルなグループです。

主な特徴は次のとおりです：

• クラスター暗号化デフォルト: デフォルトでは、クラスター内のデータは暗号化されていません。ただし、暗号化を有効にすると、いくつかの機能にアクセスできます：

• Linux Unified Key Setup: EBSクラスターボリュームを暗号化します。ユーザーはAWS Key Management Service（KMS）またはカスタムキープロバイダーを選択できます。

• オープンソースHDFS暗号化: Hadoopに対して2つの暗号化オプションを提供します：

• プライバシーに設定されたセキュアHadoop RPC（Remote Procedure Call）、Simple Authentication Security Layerを利用します。

• trueに設定されたHDFSブロック転送暗号化は、AES-256アルゴリズムを利用します。

• 転送中の暗号化: データの転送中のセキュリティに焦点を当てます。オプションには次のものがあります：

• オープンソースTransport Layer Security（TLS）: 暗号化を有効にするには、証明書プロバイダーを選択します：

• PEM: PEM証明書を手動で作成し、S3バケットから参照されるzipファイルにバンドルする必要があります。

• カスタム: 暗号化アーティファクトを提供するカスタムJavaクラスを追加する必要があります。

TLS証明書プロバイダーがセキュリティ構成に統合されると、次のアプリケーション固有の暗号化機能がアクティブ化され、EMRバージョンに基づいて異なります：

• Hadoop:

• TLSを使用した暗号化シャッフルを削減する可能性があります。

• Simple Authentication Security LayerとAES-256を使用したSecure Hadoop RPCとHDFSブロック転送がデフォルトでアクティブ化されます。

• Presto（EMRバージョン5.6.0以上）:

• Prestoノード間の内部通信はSSLとTLSを使用してセキュリティが確保されます。

• Tez Shuffle Handler:

• 暗号化にTLSを利用します。

• Spark:

• AkkaプロトコルにTLSを使用します。

• Simple Authentication Security Layerと3DESを使用したブロック転送サービス。

• 外部シャッフルサービスはSimple Authentication Security Layerで保護されています。

これらの機能は、特にストレージおよび転送フェーズ中のデータ保護に関して、EMRクラスターのセキュリティポストを総合的に向上させます。

列挙

aws emr list-clusters
aws emr describe-cluster --cluster-id <id>
aws emr list-instances --cluster-id <id>
aws emr list-instance-fleets --cluster-id <id>
aws emr list-steps --cluster-id <id>
aws emr list-notebook-executions
aws emr list-security-configurations
aws emr list-studios #Get studio URLs

特権昇格

参考文献

• https://cloudacademy.com/course/domain-three-designing-secure-applications-and-architectures/elastic-mapreduce-emr-encryption-1/