Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Kontrol lalu lintas jaringan dengan grup keamanan untuk klaster EMR Amazon Anda
<a name="emr-security-groups"></a>

Grup keamanan bertindak sebagai firewall virtual untuk instans EC2 di klaster Anda guna mengontrol lalu lintas inbound dan keluar. Setiap grup keamanan memiliki seperangkat aturan yang mengontrol lalu lintas inbound, dan seperangkat aturan terpisah untuk mengontrol lalu lintas outbound. Untuk informasi selengkapnya, lihat [Grup Keamanan Amazon EC2 untuk instans Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html) di *Panduan Pengguna Amazon EC2*.

Anda menggunakan dua kelas grup keamanan dengan Amazon EMR: *grup keamanan terkelola Amazon EMR* dan *Grup keamanan tambahan*.

Setiap klaster telah mengelola grup keamanan yang terkait dengannya. Anda dapat menggunakan grup keamanan terkelola default yang dibuat Amazon EMR, atau menentukan grup keamanan terkelola khusus. Either way, Amazon EMR secara otomatis menambahkan aturan ke grup keamanan terkelola yang perlu dikomunikasikan oleh kluster antara instance dan layanan cluster. AWS 

Grup keamanan tambahan adalah opsional. Anda dapat menentukan mereka selain grup keamanan terkelola untuk menyesuaikan akses ke instans klaster. Grup keamanan tambahan hanya berisi aturan yang Anda tetapkan. Amazon EMR tidak memodifikasi mereka.

Aturan yang Amazon EMR ciptakan di grup keamanan terkelola mengizinkan klaster untuk berkomunikasi antara komponen internal. Untuk mengizinkan pengguna dan aplikasi untuk mengakses klaster dari luar klaster, Anda dapat mengedit aturan di grup keamanan terkelola, Anda dapat membuat grup keamanan tambahan dengan aturan tambahan, atau melakukan keduanya.

**penting**  
Mengedit aturan di grup keamanan terkelola mungkin memiliki konsekuensi yang tidak diinginkan. Anda mungkin secara tidak sengaja mem block lalu lintas yang diperlukan untuk klaster berfungsi dengan baik dan menyebabkan kesalahan karena simpul tidak terjangkau. Hati-hati merencanakan dan menguji konfigurasi grup keamanan sebelum implementasi.

Anda dapat menentukan grup keamanan hanya ketika Anda membuat sebuah klaster. Mereka tidak dapat ditambahkan ke klaster atau instans klaster sementara klaster berjalan, tetapi Anda dapat mengedit, menambah, dan menghapus aturan dari grup keamanan yang ada. Aturan ini berlaku segera setelah Anda menyimpannya.

Grup keamanan yang ketat secara default. Kecuali aturan ditambahkan yang mengizinkan lalu lintas, lalu lintas ditolak. Jika ada lebih dari satu aturan yang berlaku untuk lalu lintas yang sama dan sumber yang sama, aturan yang paling permisif akan berlaku. Misalnya, jika Anda memiliki aturan yang mengizinkan SSH dari alamat IP 192.0.2.12/32, dan aturan lain yang mengizinkan akses ke semua lalu lintas TCP dari kisaran 192.0.2.0/24, aturan yang mengizinkan semua lalu lintas TCP dari kisaran yang mencakup 192.0.2.12 diutamakan. Di kasus ini, klien di 192.0.2.12 mungkin memiliki akses lebih dari yang Anda inginkan. 

**penting**  
Berhati-hatilah saat Anda mengedit aturan grup keamanan untuk membuka port. Pastikan untuk menambahkan aturan yang hanya mengizinkan lalu lintas dari klien tepercaya dan terautentikasi untuk protokol dan port yang diperlukan untuk menjalankan beban kerja Anda.

Anda dapat mengonfigurasi *akses publik blok* EMR Amazon di setiap Wilayah yang Anda gunakan untuk mencegah pembuatan klaster jika aturan mengizinkan akses publik pada port apa pun yang tidak Anda tambahkan ke daftar pengecualian. Untuk AWS akun yang dibuat setelah Juli 2019, Amazon EMR memblokir akses publik aktif secara default. Untuk AWS akun yang membuat cluster sebelum Juli 2019, Amazon EMR memblokir akses publik secara default tidak aktif. Untuk informasi selengkapnya, lihat [Menggunakan Akses publik blok Amazon EMR](emr-block-public-access.md).

**Topics**
+ [Bekerja dengan grup keamanan terkelola Amazon EMR](emr-man-sec-groups.md)
+ [Bekerja dengan grup keamanan tambahan untuk klaster EMR Amazon](emr-additional-sec-groups.md)
+ [Menentukan grup keamanan terkelola Amazon EMR dan grup keamanan tambahan](emr-sg-specify.md)
+ [Menentukan grup-grup keamanan EC2 untuk EMR Notebooks](emr-managed-notebooks-security-groups.md)
+ [Menggunakan Akses publik blok Amazon EMR](emr-block-public-access.md)

**catatan**  
Amazon EMR bertujuan untuk menggunakan alternatif inklusif untuk istilah industri yang berpotensi menyinggung atau non-inklusif seperti “master” dan “slave”. Kami telah beralih ke terminologi baru untuk menumbuhkan pengalaman yang lebih inklusif dan untuk memfasilitasi pemahaman Anda tentang komponen layanan.  
Kami sekarang mendeskripsikan “node” sebagai **instance**, dan kami menjelaskan jenis instans EMR Amazon **sebagai** instance primer**, inti,** **dan** tugas. Selama transisi, Anda mungkin masih menemukan referensi lama ke istilah yang sudah ketinggalan zaman, seperti yang berkaitan dengan grup keamanan untuk Amazon EMR.

# Bekerja dengan grup keamanan terkelola Amazon EMR
<a name="emr-man-sec-groups"></a>

**catatan**  
Amazon EMR bertujuan untuk menggunakan alternatif inklusif untuk istilah industri yang berpotensi menyinggung atau non-inklusif seperti “master” dan “slave”. Kami telah beralih ke terminologi baru untuk menumbuhkan pengalaman yang lebih inklusif dan untuk memfasilitasi pemahaman Anda tentang komponen layanan.  
Kami sekarang mendeskripsikan “node” sebagai **instance**, dan kami menjelaskan jenis instans EMR Amazon **sebagai** instance primer**, inti,** **dan** tugas. Selama transisi, Anda mungkin masih menemukan referensi lama ke istilah yang sudah ketinggalan zaman, seperti yang berkaitan dengan grup keamanan untuk Amazon EMR.

Grup keamanan terkelola yang berbeda dikaitkan dengan instance utama dan dengan instance inti dan tugas dalam sebuah cluster. Grup keamanan terkelola tambahan untuk akses layanan diperlukan ketika Anda membuat sebuah klaster di subnet privat. Untuk informasi selengkapnya tentang peran grup keamanan terkelola sehubungan dengan konfigurasi jaringan Anda, lihat [Opsi Amazon VPC saat Anda meluncurkan cluster](emr-clusters-in-a-vpc.md).

Ketika Anda menetapkan grup keamanan terkelola untuk sebuah klaster, Anda harus menggunakan tipe grup keamanan yang sama, default atau kustom, untuk semua grup keamanan terkelola. Misalnya, Anda tidak dapat menentukan grup keamanan khusus untuk instance utama, lalu tidak menentukan grup keamanan khusus untuk instance inti dan tugas.

Jika Anda menggunakan grup keamanan terkelola default, Anda tidak perlu menentukannya saat membuat klaster. Amazon EMR secara otomatis menggunakan default. Selain itu, jika default tidak belum ada di klaster VPC, Amazon EMR akan membuatnya. Amazon EMR juga menciptakan mereka jika Anda secara eksplisit menentukan mereka dan mereka belum ada.

Anda dapat mengedit aturan di grup keamanan terkelola setelah klaster dibuat. Ketika Anda membuat sebuah klaster baru, Amazon EMR memeriksa aturan di grup keamanan terkelola yang Anda tentukan, dan membuat aturan *inbound* yang hilang bahwa kebutuhan klaster baru selain aturan yang mungkin telah ditambahkan sebelumnya. Kecuali dinyatakan lain secara khusus, setiap aturan untuk grup keamanan yang dikelola Amazon EMR default juga ditambahkan ke grup keamanan terkelola Amazon EMR khusus yang Anda tentukan.

Grup keamanan terkelola default adalah sebagai berikut:
+ **ElasticMapReduce-primer**

  Untuk aturan di grup keamanan ini, lihat [Grup keamanan yang dikelola Amazon EMR untuk instans utama (subnet publik)](#emr-sg-elasticmapreduce-master).
+ **ElasticMapReduce-inti**

  Untuk aturan di grup keamanan ini, lihat [Grup keamanan terkelola Amazon EMR untuk instans inti dan instans tugas (subnet publik)](#emr-sg-elasticmapreduce-slave).
+ **ElasticMapReduce-Primer-Pribadi**

  Untuk aturan di grup keamanan ini, lihat [Grup keamanan yang dikelola Amazon EMR untuk instans utama (subnet pribadi)](#emr-sg-elasticmapreduce-master-private).
+ **ElasticMapReduce-Inti-Pribadi**

  Untuk aturan di grup keamanan ini, lihat [Grup keamanan terkelola Amazon EMR untuk instans inti dan instans tugas (subnet privat)](#emr-sg-elasticmapreduce-slave-private).
+ **ElasticMapReduce-ServiceAccess**

  Untuk aturan di grup keamanan ini, lihat [Grup keamanan terkelola Amazon EMR untuk akses layanan (subnet privat)](#emr-sg-elasticmapreduce-sa-private).

## Grup keamanan yang dikelola Amazon EMR untuk instans utama (subnet publik)
<a name="emr-sg-elasticmapreduce-master"></a>

Grup keamanan terkelola default untuk instance utama dalam subnet publik memiliki **Nama Grup ElasticMapReduce** **-primary**. Aplikasi ini memiliki aturan berikut: Jika Anda menentukan grup keamanan terkelola kustom, Amazon EMR menambahkan semua aturan yang sama ke grup keamanan kustom Anda.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/emr/latest/ManagementGuide/emr-man-sec-groups.html)

**Untuk memberikan akses SSH sumber tepercaya ke grup keamanan utama dengan konsol**

Untuk mengedit grup keamanan, Anda harus memiliki izin untuk mengelola grup keamanan untuk VPC tempat klaster berada. Untuk informasi [selengkapnya, lihat Mengubah Izin untuk pengguna](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html) dan [Kebijakan Contoh](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_examples_ec2_securitygroups-vpc.html) yang memungkinkan mengelola grup keamanan EC2 di Panduan Pengguna *IAM*.

1. [Masuk ke Konsol Manajemen AWS, dan buka konsol EMR Amazon di https://console.aws.amazon.com /emr.](https://console.aws.amazon.com/emr)

1. Pilih **Klaster**. Pilih **ID** cluster yang ingin Anda modifikasi.

1. Di panel **Jaringan dan keamanan**, perluas dropdown **grup keamanan EC2 (firewall)**.

1. Di bawah **Node utama**, pilih grup keamanan Anda.

1. Pilih **Edit aturan masuk**.

1. Memeriksa aturan masuk yang mengizinkan akses publik dengan pengaturan berikut. Jika ada, pilih **Hapus** untuk menghapusnya.
   + **Jenis**

     SSH
   + **Port**

     22
   + **Sumber**

     Kustom 0.0.0.0/0
**Awas**  
Sebelum Desember 2020, ada aturan pra-konfigurasi untuk mengizinkan lalu lintas masuk di Port 22 dari semua sumber. Aturan ini dibuat untuk menyederhanakan koneksi SSH awal ke node utama. Kami sangat menyarankan agar Anda menghapus aturan masuk ini dan membatasi lalu lintas ke sumber tepercaya.

1. Gulir ke bagian bawah daftar aturan dan pilih **Tambahkan Aturan**.

1. Untuk **Jenis**, pilih **SSH**.

   Memilih SSH secara otomatis memasuki **TCP** untuk **Protokol** dan **22** untuk Rentang **Port**.

1. Untuk sumber, pilih **IP Saya** untuk secara otomatis menambahkan alamat IP Anda sebagai alamat sumber. Anda juga dapat menambahkan berbagai alamat IP klien tepercaya **kustom**, atau membuat aturan tambahan untuk klien lain. Banyak lingkungan jaringan mengalokasikan alamat IP secara dinamis, jadi Anda mungkin perlu memperbarui alamat IP Anda untuk klien tepercaya di masa mendatang.

1. Pilih **Simpan**.

1. Secara opsional, pilih grup keamanan lain di bawah **Core dan node tugas** di panel **Jaringan dan keamanan dan** ulangi langkah-langkah di atas untuk memungkinkan akses klien SSH ke node inti dan tugas.

## Grup keamanan terkelola Amazon EMR untuk instans inti dan instans tugas (subnet publik)
<a name="emr-sg-elasticmapreduce-slave"></a>

**Grup keamanan terkelola default untuk instance inti dan tugas di subnet publik memiliki **Nama Grup** -core. ElasticMapReduce** Grup keamanan terkelola default memiliki aturan berikut, dan Amazon EMR menambahkan aturan yang sama jika Anda menentukan grup keamanan terkelola kustom.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/emr/latest/ManagementGuide/emr-man-sec-groups.html)

## Grup keamanan yang dikelola Amazon EMR untuk instans utama (subnet pribadi)
<a name="emr-sg-elasticmapreduce-master-private"></a>

Grup keamanan terkelola default untuk instance utama dalam subnet pribadi memiliki **Nama Grup ElasticMapReduce** **-Primary-Private**. Grup keamanan terkelola default memiliki aturan berikut, dan Amazon EMR menambahkan aturan yang sama jika Anda menentukan grup keamanan terkelola kustom.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/emr/latest/ManagementGuide/emr-man-sec-groups.html)

## Grup keamanan terkelola Amazon EMR untuk instans inti dan instans tugas (subnet privat)
<a name="emr-sg-elasticmapreduce-slave-private"></a>

**Grup keamanan terkelola default untuk instance inti dan tugas di subnet pribadi memiliki **Nama Grup** -Core-Private. ElasticMapReduce** Grup keamanan terkelola default memiliki aturan berikut, dan Amazon EMR menambahkan aturan yang sama jika Anda menentukan grup keamanan terkelola kustom.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/emr/latest/ManagementGuide/emr-man-sec-groups.html)

### Mengedit aturan outbound
<a name="private-sg-egress-rules"></a>

Secara default, Amazon EMR menciptakan grup keamanan ini dengan aturan outbound yang mengizinkan semua lalu lintas keluar pada semua protokol dan port. Mengizinkan semua lalu lintas keluar dipilih karena berbagai Amazon EMR dan aplikasi pelanggan yang dapat berjalan di klaster Amazon EMR mungkin memerlukan aturan outbound yang berbeda. Amazon EMR tidak dapat mengantisipasi pengaturan khusus ini saat membuat grup keamanan default. Anda dapat cakupan jalan keluar di grup keamanan Anda untuk menyertakan hanya aturan-aturan yang sesuai dengan kasus penggunaan dan kebijakan keamanan Anda. Minimal, grup keamanan ini memerlukan aturan outbound berikut, tetapi beberapa aplikasi mungkin memerlukan jalan keluar tambahan.


| Tipe | Protokol | Rentang Port | Tujuan | Detail | 
| --- | --- | --- | --- | --- | 
| Semua TCP | TCP | Semua | pl- xxxxxxxx | Daftar prefiks Amazon S3 terkelola com.amazonaws.MyRegion.s3. | 
| Semua lalu lintas | Semua | Semua | sg- xxxxxxxxxxxxxxxxx | ID dari ElasticMapReduce-Core-Private grup keamanan. | 
| Semua lalu lintas | Semua | Semua | sg- xxxxxxxxxxxxxxxxx | ID dari ElasticMapReduce-Primary-Private grup keamanan. | 
| TCP kustom | TCP | 9443 | sg- xxxxxxxxxxxxxxxxx | ID dari ElasticMapReduce-ServiceAccess grup keamanan. | 

## Grup keamanan terkelola Amazon EMR untuk akses layanan (subnet privat)
<a name="emr-sg-elasticmapreduce-sa-private"></a>

Grup keamanan terkelola default untuk akses layanan di subnet pribadi memiliki **Nama Grup ElasticMapReduce** **- ServiceAccess**. Memiliki aturan inbound, dan aturan outbound yang mengizinkan lalu lintas melalui HTTPS (port 8443, port 9443) untuk grup keamanan terkelola lainnya di subnet privat. Aturan-aturan ini memungkinkan pengelola cluster untuk berkomunikasi dengan node utama dan dengan node inti dan tugas. Aturan yang sama diperlukan jika Anda menggunakan grup keamanan kustom.


| Tipe | Protokol | Rentang port | Sumber | Detail | 
| --- | --- | --- | --- | --- | 
| Aturan masuk Diperlukan untuk klaster EMR Amazon dengan rilis EMR Amazon 5.30.0 dan yang lebih baru. | 
| TCP Kustom | TCP | 9443 | ID Grup grup keamanan terkelola untuk contoh utama.  |  Aturan ini memungkinkan komunikasi antara grup keamanan instans utama ke grup keamanan akses layanan. | 
| Aturan keluar Diperlukan untuk semua kluster EMR Amazon | 
| TCP Kustom | TCP | 8443 | ID Grup grup keamanan terkelola untuk contoh utama.  |  Aturan-aturan ini memungkinkan pengelola cluster untuk berkomunikasi dengan node utama dan dengan node inti dan tugas. | 
| TCP Kustom | TCP | 8443 | ID Grup dari grup keamanan terkelola untuk instans inti dan instans tugas.  |  Aturan-aturan ini memungkinkan pengelola cluster untuk berkomunikasi dengan node utama dan dengan node inti dan tugas.  | 

# Bekerja dengan grup keamanan tambahan untuk klaster EMR Amazon
<a name="emr-additional-sec-groups"></a>

Baik Anda menggunakan grup keamanan terkelola default atau menentukan grup keamanan terkelola kustom, Anda dapat menggunakan grup keamanan tambahan. Grup keamanan tambahan memberi Anda fleksibilitas untuk menyesuaikan akses antara grup yang berbeda dan dari klien, sumber daya, dan aplikasi eksternal.

Misalnya, pertimbangkan alur perencanaan berikut ini: Anda memiliki beberapa cluster yang Anda butuhkan untuk berkomunikasi satu sama lain, tetapi Anda ingin mengizinkan akses SSH masuk ke instance utama hanya untuk subset tertentu dari cluster. Untuk melakukannya, Anda dapat menggunakan set grup keamanan terkelola yang sama untuk klaster. Anda kemudian membuat grup keamanan tambahan yang memungkinkan akses SSH masuk dari klien tepercaya, dan menentukan grup keamanan tambahan untuk instance utama ke setiap cluster dalam subset.

Anda dapat menerapkan hingga 15 grup keamanan tambahan untuk instans utama, 15 untuk instance inti dan tugas, dan 15 untuk akses layanan (dalam subnet pribadi). Jika perlu, Anda dapat menentukan grup keamanan tambahan yang sama untuk instance utama, instance inti dan tugas, dan akses layanan. Jumlah maksimum grup keamanan dan aturan di akun Anda tunduk pada batas akun. Untuk informasi selengkapnya, lihat [Batas grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-security-groups) di *Panduan Pengguna Amazon VPC*. 

# Menentukan grup keamanan terkelola Amazon EMR dan grup keamanan tambahan
<a name="emr-sg-specify"></a>

Anda dapat menentukan grup keamanan menggunakan Konsol Manajemen AWS AWS CLI, API EMR Amazon, atau Amazon. Jika Anda tidak menentukan grup keamanan, Amazon EMR akan menggunakan grup keamanan default. Menentukan grup keamanan tambahan adalah opsional. Anda dapat menetapkan grup keamanan tambahan untuk instance utama, instance inti dan tugas, dan akses layanan (hanya subnet pribadi).

------
#### [ Console ]

**Untuk menentukan grup keamanan dengan konsol**

1. [Masuk ke Konsol Manajemen AWS, dan buka konsol EMR Amazon di https://console.aws.amazon.com /emr.](https://console.aws.amazon.com/emr)

1. **Di bawah **EMR pada EC2** di panel navigasi kiri, pilih Clusters, lalu pilih **Create cluster**.**

1. Di bawah **Jaringan**, pilih panah di sebelah **grup keamanan EC2 (firewall)** untuk memperluas bagian ini. Di bawah **Node utama** **dan inti dan node tugas**, grup keamanan terkelola Amazon EMR default dipilih secara default. Jika Anda menggunakan subnet pribadi, Anda juga memiliki opsi untuk memilih grup keamanan untuk **akses Layanan**.

1. Untuk mengubah grup keamanan terkelola Amazon EMR Anda, gunakan menu tarik-turun **Pilih grup keamanan** untuk memilih opsi lain dari daftar opsi grup keamanan yang **dikelola Amazon EMR**. Anda memiliki satu grup keamanan terkelola EMR Amazon untuk **node Primer dan Core dan node** **tugas**.

1. Untuk menambahkan grup keamanan khusus, gunakan menu tarik-turun **Pilih grup keamanan** yang sama untuk memilih hingga empat grup keamanan kustom dari daftar opsi **grup keamanan kustom**. Anda dapat memiliki hingga empat grup keamanan khusus untuk **node Primer** dan **Core dan node tugas**.

1. Pilih opsi lain yang berlaku untuk cluster Anda. 

1. Untuk meluncurkan klaster Anda, pilih **Buat klaster**.

------

## Menentukan kelompok keamanan dengan AWS CLI
<a name="emr-sg-specify-cli"></a>

Untuk menentukan grup keamanan menggunakan AWS CLI Anda menggunakan `create-cluster` perintah dengan parameter `--ec2-attributes` opsi berikut:


| Parameter | Deskripsi | 
| --- | --- | 
|  `EmrManagedPrimarySecurityGroup`  |  Gunakan parameter ini untuk menentukan grup keamanan terkelola kustom untuk instance utama. Jika parameter ini ditentukan, `EmrManagedCoreSecurityGroup` juga harus ditentukan. Untuk klaster di subnet privat, `ServiceAccessSecurityGroup` juga harus ditentukan.  | 
|  `EmrManagedCoreSecurityGroup`  |  Gunakan parameter ini untuk menentukan grup keamanan terkelola kustom untuk instans inti dan instans tugas. Jika parameter ini ditentukan, `EmrManagedPrimarySecurityGroup` juga harus ditentukan. Untuk klaster di subnet privat, `ServiceAccessSecurityGroup` juga harus ditentukan.  | 
|  `ServiceAccessSecurityGroup`  |  Gunakan parameter ini untuk menentukan grup keamanan terkelola kustom untuk akses layanan, yang hanya berlaku untuk klaster di subnet privat. Grup keamanan yang Anda tentukan sebagai `ServiceAccessSecurityGroup` tidak boleh digunakan untuk tujuan lain dan juga harus disediakan untuk Amazon EMR. Jika parameter ini ditentukan, `EmrManagedPrimarySecurityGroup` juga harus ditentukan.  | 
|  `AdditionalPrimarySecurityGroups`  |  Gunakan parameter ini untuk menentukan hingga empat grup keamanan tambahan untuk contoh utama.  | 
|  `AdditionalCoreSecurityGroups`  |  Gunakan parameter ini untuk menentukan hingga empat grup keamanan tambahan untuk instans inti dan instans tugas.  | 

**Example — tentukan grup keamanan terkelola Amazon EMR kustom dan grup keamanan tambahan**  
Contoh berikut menentukan grup keamanan terkelola Amazon EMR khusus untuk klaster di subnet pribadi, beberapa grup keamanan tambahan untuk instans utama, dan satu grup keamanan tambahan untuk instance inti dan tugas.  
Karakter lanjutan baris Linux (\$1) disertakan agar mudah dibaca Karakter ini bisa dihapus atau digunakan dalam perintah Linux. Untuk Windows, hapus atau ganti dengan caret (^).

```
 1. aws emr create-cluster --name "ClusterCustomManagedAndAdditionalSGs" \
 2. --release-label emr-emr-7.12.0 --applications Name=Hue Name=Hive \
 3. Name=Pig --use-default-roles --ec2-attributes \
 4. SubnetIds=subnet-xxxxxxxxxxxx,KeyName=myKey,\
 5. ServiceAccessSecurityGroup=sg-xxxxxxxxxxxx,\
 6. EmrManagedPrimarySecurityGroup=sg-xxxxxxxxxxxx,\
 7. EmrManagedCoreSecurityGroup=sg-xxxxxxxxxxx,\
 8. AdditionalPrimarySecurityGroups=['sg-xxxxxxxxxxx',\
 9. 'sg-xxxxxxxxxxx','sg-xxxxxxxxxx'],\
10. AdditionalCoreSecurityGroups=sg-xxxxxxxxxxx \
11. --instance-type m5.xlarge
```

Untuk informasi selengkapnya, lihat [create-cluster](https://docs.aws.amazon.com/cli/latest/reference/emr/create-cluster.html) di *AWS CLI Referensi*.

# Menentukan grup-grup keamanan EC2 untuk EMR Notebooks
<a name="emr-managed-notebooks-security-groups"></a>

Saat Anda membuat buku catatan EMR, dua grup keamanan digunakan untuk mengontrol lalu lintas jaringan antara notebook EMR dan klaster EMR Amazon saat Anda menggunakan editor notebook. Grup keamanan default memiliki aturan minimal yang mengizinkan hanya lalu lintas jaringan antara layanan EMR Notebooks dan klaster yang terlampir pada notebook.

Sebuah notebook EMR menggunakan [Apache Livy](https://livy.incubator.apache.org/) untuk berkomunikasi dengan cluster melalui proxy melalui TCP Port 18888. Saat membuat grup keamanan khusus dengan aturan yang disesuaikan dengan lingkungan, Anda dapat membatasi lalu lintas jaringan sehingga hanya sebagian buku catatan yang dapat menjalankan kode dalam editor notebook pada cluster tertentu. Cluster menggunakan keamanan kustom Anda selain grup keamanan default untuk cluster. Untuk informasi selengkapnya, lihat [Kendalikan lalu lintas jaringan dengan grup keamanan](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html) di *Panduan Pengelolaan Amazon EMR* dan [Menentukan grup-grup keamanan EC2 untuk EMR Notebooks](#emr-managed-notebooks-security-groups).

## Grup keamanan EC2 default untuk instans utama
<a name="emr-managed-notebooks-security-group-for-master"></a>

Grup keamanan EC2 default untuk instance utama dikaitkan dengan instance utama selain grup keamanan klaster untuk instance utama.

Nama Grup: **ElasticMapReduceEditors-Livy**

**Aturan**
+ Inbound

  Mengizinkan TCP Port 18888 dari sumber daya apa pun di grup keamanan default EC2 untuk EMR Notebooks
+ Outbound

  Tidak ada

## Default grup keamanan EC2 untuk EMR Notebooks
<a name="emr-managed-notebooks-security-group-for-notebooks"></a>

Grup keamanan EC2 default untuk EMR Notebooks dikaitkan dengan editor notebook untuk EMR Notebooks yang ditugaskan.

Nama Grup: **ElasticMapReduceEditors-Editor**

**Aturan**
+ Inbound

  Tidak ada
+ Outbound

  Mengizinkan TCP Port 18888 untuk sumber daya apa pun di grup keamanan EC2 default untuk EMR Notebooks.

## Grup keamanan EC2 kustom untuk EMR Notebooks ketika menghubungkan Notebook dengan repositori Git
<a name="emr-managed-notebooks-security-group-for-notebooks-git"></a>

Untuk menautkan repositori Git ke buku catatan Anda, grup keamanan untuk buku catatan EMR harus menyertakan aturan keluar sehingga buku catatan dapat merutekan lalu lintas ke internet. Dianjurkan agar Anda membuat grup keamanan baru untuk tujuan ini. Memperbarui grup keamanan **ElasticMapReduceEditors-Editor** default dapat memberikan aturan keluar yang sama ke buku catatan lain yang dilampirkan ke grup keamanan ini. 

**Aturan**
+ Inbound

  Tidak ada
+ Ke luar

  Izinkan notebook untuk merutekan lalu lintas ke internet melalui cluster, seperti yang ditunjukkan contoh berikut. Nilai 0.0.0.0/0 digunakan untuk tujuan contoh. Anda dapat memodifikasi aturan ini untuk menentukan alamat IP untuk repositori berbasis Git Anda.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/emr/latest/ManagementGuide/emr-managed-notebooks-security-groups.html)

# Menggunakan Akses publik blok Amazon EMR
<a name="emr-block-public-access"></a>

Amazon EMR *memblokir akses publik (BPA)* mencegah Anda meluncurkan cluster di subnet publik jika cluster memiliki konfigurasi keamanan yang memungkinkan lalu lintas masuk dari alamat IP publik pada port.

**penting**  
*Blokir akses publik* diaktifkan secara default. Untuk meningkatkan perlindungan akun, kami sarankan Anda tetap mengaktifkannya.

## Memahami memblokir akses publik
<a name="emr-block-public-access-about"></a>

Anda dapat menggunakan konfigurasi tingkat akun *akses publik blokir* untuk mengelola akses jaringan publik secara terpusat ke kluster Amazon EMR.

Saat pengguna dari Anda Akun AWS meluncurkan kluster, Amazon EMR memeriksa aturan port di grup keamanan untuk klaster dan membandingkannya dengan aturan lalu lintas masuk Anda. Jika grup keamanan memiliki aturan masuk yang membuka port ke alamat IP publik IPv4 0.0.0.0/0 atau IPv6 : :/0, dan port tersebut tidak ditentukan sebagai pengecualian untuk akun Anda, Amazon EMR tidak mengizinkan pengguna membuat cluster.

Jika pengguna memodifikasi aturan grup keamanan untuk klaster yang berjalan di subnet publik agar memiliki aturan akses publik yang melanggar konfigurasi BPA untuk akun Anda, Amazon EMR mencabut aturan baru jika memiliki izin untuk melakukannya. Jika Amazon EMR tidak memiliki izin untuk mencabut aturan, itu akan membuat peristiwa di AWS Health dasbor yang menjelaskan pelanggaran. Untuk memberikan izin aturan pencabutan ke Amazon EMR, lihat. [Konfigurasikan Amazon EMR untuk mencabut aturan grup keamanan](#revoke-block-public-access)

Blokir akses publik diaktifkan secara default untuk semua cluster di setiap Wilayah AWS untuk Anda Akun AWS. BPA berlaku untuk seluruh siklus hidup klaster, tetapi tidak berlaku untuk cluster yang Anda buat di subnet pribadi. Anda dapat mengonfigurasi pengecualian ke aturan BPA; port 22 adalah pengecualian secara default. Untuk informasi selengkapnya tentang pengaturan pengecualian, lihat[Konfigurasi akses publik blok](#configure-block-public-access).

## Konfigurasi akses publik blok
<a name="configure-block-public-access"></a>

Anda dapat memperbarui grup keamanan dan memblokir konfigurasi akses publik di akun Anda kapan saja.

Anda dapat mengaktifkan dan menonaktifkan pengaturan blokir akses publik (BPA) dengan Konsol Manajemen AWS, AWS Command Line Interface (AWS CLI), dan API EMR Amazon. Pengaturan berlaku di seluruh akun Anda Region-by-Region berdasarkan. Untuk menjaga keamanan klaster, kami sarankan Anda menggunakan BPA.

------
#### [ Console ]

**Untuk mengkonfigurasi blokir akses publik dengan konsol**

1. [Masuk ke Konsol Manajemen AWS, lalu buka konsol EMR Amazon di https://console.aws.amazon.com /emr.](https://console.aws.amazon.com/emr)

1. Di bilah navigasi atas, pilih **Wilayah** yang ingin Anda konfigurasikan jika belum dipilih.

1. **Di bawah **EMR pada EC2** di panel navigasi kiri, pilih Blokir akses publik.**

1. Di bawah **Pengaturan akses publik blok**, selesaikan langkah-langkah berikut.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/emr/latest/ManagementGuide/emr-block-public-access.html)

------
#### [ AWS CLI ]

**Untuk mengkonfigurasi blokir akses publik menggunakan AWS CLI**
+ Gunakan perintah `aws emr put-block-public-access-configuration` untuk mengonfigurasi akses publik blok seperti yang ditunjukkan di contoh berikut.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/emr/latest/ManagementGuide/emr-block-public-access.html)

------

## Konfigurasikan Amazon EMR untuk mencabut aturan grup keamanan
<a name="revoke-block-public-access"></a>

Amazon EMR memerlukan izin untuk mencabut aturan grup keamanan dan mematuhi konfigurasi blokir akses publik Anda. Anda dapat menggunakan salah satu pendekatan berikut untuk memberikan izin kepada Amazon EMR yang dibutuhkannya:
+ **(Disarankan)** Lampirkan kebijakan `AmazonEMRServicePolicy_v2` terkelola ke peran layanan. Untuk informasi selengkapnya, lihat [Peran layanan untuk Amazon EMR (peran EMR)](emr-iam-role.md).
+ Buat kebijakan inline baru yang memungkinkan `ec2:RevokeSecurityGroupIngress` tindakan pada grup keamanan. *Untuk informasi selengkapnya tentang cara mengubah kebijakan izin peran, lihat **Memodifikasi kebijakan izin peran** dengan [Konsol IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy), [AWS API](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-api.html#roles-modify_permissions-policy-api), dan [AWS CLI](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-cli.html#roles-modify_permissions-policy-cli)dalam Panduan Pengguna IAM.*

## Selesaikan blokir pelanggaran akses publik
<a name="resolve-block-public-access"></a>

Jika terjadi pelanggaran akses publik blok, Anda dapat menguranginya dengan salah satu tindakan berikut:
+ Jika Anda ingin mengakses antarmuka web di cluster Anda, gunakan salah satu opsi yang dijelaskan [Melihat antarmuka web yang di-host pada klaster Amazon EMR](emr-web-interfaces.md) untuk mengakses antarmuka melalui SSH (port 22).
+ Untuk memungkinkan lalu lintas ke cluster dari alamat IP tertentu daripada dari alamat IP publik, tambahkan aturan grup keamanan. Untuk informasi selengkapnya, lihat [Menambahkan aturan ke grup keamanan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#adding-security-group-rule) di Panduan *Memulai Amazon EC2*.
+ **(Tidak disarankan)** Anda dapat mengonfigurasi pengecualian Amazon EMR BPA untuk menyertakan port atau rentang port yang diinginkan. Saat Anda menentukan pengecualian BPA, Anda memperkenalkan risiko dengan port yang tidak dilindungi. Jika Anda berencana untuk menentukan pengecualian, Anda harus menghapus pengecualian segera setelah tidak lagi diperlukan. Untuk informasi selengkapnya, lihat [Konfigurasi akses publik blok](#configure-block-public-access).

## Identifikasi cluster yang terkait dengan aturan grup keamanan
<a name="identify-block-public-access"></a>

Anda mungkin perlu mengidentifikasi semua cluster yang terkait dengan aturan grup keamanan tertentu, atau untuk menemukan aturan grup keamanan untuk klaster tertentu.
+ Jika Anda mengetahui grup keamanan, maka Anda dapat mengidentifikasi cluster terkait jika Anda menemukan antarmuka jaringan untuk grup keamanan. Untuk informasi selengkapnya, [lihat Bagaimana cara menemukan sumber daya yang terkait dengan grup keamanan Amazon EC2?](https://forums.aws.amazon.com/knowledge-center/ec2-find-security-group-resources) pada AWS re:Post. Instans Amazon EC2 yang dilampirkan ke antarmuka jaringan ini akan ditandai dengan ID cluster tempat mereka berada.
+ Jika Anda ingin menemukan grup keamanan untuk klaster yang dikenal, ikuti langkah-langkahnya[Lihat status dan detail klaster EMR Amazon](emr-manage-view-clusters.md). Anda dapat menemukan grup keamanan untuk cluster di **Jaringan dan panel keamanan** di konsol, atau di `Ec2InstanceAttributes` bidang dari AWS CLI.