AWS - EMR Enum

EMR

AWSのElastic MapReduce (EMR)サービスは、バージョン4.8.0からセキュリティ構成機能を導入し、EMRクラスター内のデータを保存および転送する際の暗号化設定を指定することでデータ保護を強化しました。EMRクラスターは、Apache HadoopやSparkのようなビッグデータフレームワークを処理するために設計されたスケーラブルなEC2インスタンスのグループです。

主な特徴は以下の通りです：

• クラスター暗号化のデフォルト：デフォルトでは、クラスター内のデータは暗号化されていません。しかし、暗号化を有効にすると、いくつかの機能にアクセスできます：

• Linux Unified Key Setup：EBSクラスターのボリュームを暗号化します。ユーザーはAWS Key Management Service (KMS)またはカスタムキー提供者を選択できます。

• オープンソースHDFS暗号化：Hadoopのための2つの暗号化オプションを提供します：

• Secure Hadoop RPC (Remote Procedure Call)、プライバシーに設定され、Simple Authentication Security Layerを活用します。

• HDFSブロック転送暗号化、trueに設定され、AES-256アルゴリズムを使用します。

• 転送中の暗号化：データ転送中のセキュリティに焦点を当てます。オプションには以下が含まれます：

• オープンソースのTransport Layer Security (TLS)：暗号化は証明書提供者を選択することで有効にできます：

• PEM：PEM証明書を手動で作成し、zipファイルにバンドルしてS3バケットから参照する必要があります。

• カスタム：カスタムJavaクラスを証明書提供者として追加し、暗号化アーティファクトを提供します。

TLS証明書提供者がセキュリティ構成に統合されると、EMRのバージョンに応じて以下のアプリケーション固有の暗号化機能を有効にできます：

• Hadoop：

• TLSを使用して暗号化されたシャッフルを減少させる可能性があります。

• Simple Authentication Security LayerとAES-256を使用したHDFSブロック転送で、保存時の暗号化が有効になります。

• Presto (EMRバージョン5.6.0+)：

• Prestoノード間の内部通信はSSLおよびTLSを使用して保護されます。

• Tez Shuffle Handler：

• 暗号化にTLSを使用します。

• Spark：

• AkkaプロトコルにTLSを使用します。

• Simple Authentication Security Layerと3DESを使用したブロック転送サービスを使用します。

• 外部シャッフルサービスはSimple Authentication Security Layerで保護されます。

これらの機能は、特に保存および転送フェーズ中のデータ保護に関して、EMRクラスターのセキュリティ姿勢を強化します。

Enumeration

aws emr list-clusters
aws emr describe-cluster --cluster-id <id>
aws emr list-instances --cluster-id <id>
aws emr list-instance-fleets --cluster-id <id>
aws emr list-steps --cluster-id <id>
aws emr list-notebook-executions
aws emr list-security-configurations
aws emr list-studios #Get studio URLs

Privesc

References

• https://cloudacademy.com/course/domain-three-designing-secure-applications-and-architectures/elastic-mapreduce-emr-encryption-1/