기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon EMR 관리형 보안 그룹 작업
**참고**
Amazon EMR은 '마스터' 및 '슬레이브'와 같이 잠재적으로 불쾌감을 주거나 포괄적이지 않은 업계 용어에 대해 포괄적인 대안을 사용하는 것을 목표로 합니다. 보다 포괄적인 경험을 제공하고 서비스 구성 요소에 대한 이해를 돕기 위해 새로운 용어로 바꾸었습니다.
이제 '노드'를 **인스턴스**로 기술하고 Amazon EMR 인스턴스 유형을 **프라이머리**, **코어** 및 **태스크** 인스턴스로 기술합니다. 전환 중에도 Amazon EMR의 보안 그룹과 관련된 용어와 같이 오래된 용어에 대한 레거시 참조를 계속 찾을 수 있습니다.
다른 관리형 보안 그룹은 프라이머리 인스턴스 및 클러스터의 코어 및 태스크 인스턴스와 연관됩니다. 개인 서브넷에 클러스터를 만들 때 서비스 액세스를 위한 추가 관리형 보안 그룹이 필요합니다. 네트워크 구성과 관련된 관리형 보안 그룹의 역할에 대한 자세한 내용은 [클러스터를 시작하는 경우 Amazon VPC 옵션](emr-clusters-in-a-vpc.md) 섹션을 참조하세요.
클러스터에 대해 관리형 보안 그룹을 지정하는 경우 모든 관리형 보안 그룹에 대해 동일한 유형의 보안 그룹(기본값 또는 사용자 지정)을 사용해야 합니다. 예를 들어, 프라이머리 인스턴스에 대해 사용자 지정 보안 그룹을 지정한 다음 코어 및 태스크 인스턴스에 대해 사용자 지정 보안 그룹을 지정할 수 없습니다.
기본 관리형 보안 그룹을 사용하는 경우 클러스터를 만들 때 지정할 필요가 없습니다. Amazon EMR은 자동으로 기본값을 사용합니다. 또한 클러스터의 VPC에 기본값이 아직 없는 경우 Amazon EMR에서 생성합니다. 사용자가 명시적으로 지정했지만 아직 없는 경우에도 Amazon EMR에서 생성합니다.
클러스터를 생성한 후에는 관리형 보안 그룹의 규칙을 편집할 수 있습니다. 새 클러스터를 생성한 경우 Amazon EMR은 지정한 관리형 보안 그룹의 규칙을 확인한 다음 이전에 추가된 규칙 외에 새 클러스터에 필요한 누락된 *인바운드* 규칙을 생성합니다. 달리 구체적으로 언급되지 않은 경우 기본 Amazon EMR 관리형 보안 그룹에 대한 각 규칙은 사용자 지정 Amazon EMR 관리형 보안 그룹에도 추가됩니다.
기본 관리형 보안 그룹은 다음과 같습니다.
+ **ElasticMapReduce-primary**
이 보안 그룹의 규칙에 대해서는 [프라이머리 인스턴스에 대한 Amazon EMR 관리형 보안 그룹(퍼블릭 서브넷)](#emr-sg-elasticmapreduce-master) 섹션을 참조하세요.
+ **ElasticMapReduce-core**
이 보안 그룹의 규칙에 대해서는 [코어 및 태스크 인스턴스에 대한 Amazon EMR 관리형 보안 그룹(퍼블릭 서브넷)](#emr-sg-elasticmapreduce-slave) 섹션을 참조하세요.
+ **ElasticMapReduce-Primary-Private**
이 보안 그룹의 규칙에 대해서는 [프라이머리 인스턴스에 대한 Amazon EMR 관리형 보안 그룹(프라이빗 서브넷)](#emr-sg-elasticmapreduce-master-private) 섹션을 참조하세요.
+ **ElasticMapReduce-Core-Private**
이 보안 그룹의 규칙에 대해서는 [코어 및 태스크 인스턴스에 대한 Amazon EMR 관리형 보안 그룹(프라이빗 서브넷)](#emr-sg-elasticmapreduce-slave-private) 섹션을 참조하세요.
+ **ElasticMapReduce-ServiceAccess**
이 보안 그룹의 규칙에 대해서는 [서비스 액세스에 대한 Amazon EMR 관리형 보안 그룹(프라이빗 서브넷)](#emr-sg-elasticmapreduce-sa-private) 섹션을 참조하세요.
## 프라이머리 인스턴스에 대한 Amazon EMR 관리형 보안 그룹(퍼블릭 서브넷)
퍼블릭 서브넷의 프라이머리 인스턴스에 대한 기본 관리형 보안 그룹에서 **그룹 이름**은 **ElasticMapReduce-primary**입니다. 다음 규칙을 포함합니다. 사용자 지정 관리형 보안 그룹을 지정하는 경우 Amazon EMR은 사용자 지정 보안 그룹에 동일한 규칙을 모두 추가합니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/emr/latest/ManagementGuide/emr-man-sec-groups.html)
**콘솔을 사용하여 신뢰할 수 있는 소스에 프라이머리 보안 그룹에 대한 SSH 액세스 권한을 부여하는 방법**
보안 그룹을 편집하려면 클러스터가 속한 VPC의 보안 그룹을 관리할 권한이 있어야 합니다. 자세한 내용은 [사용자의 권한 변경](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html) 및 *IAM 사용 설명서*에서 EC2 보안 그룹을 관리할 수 있는 [예제 정책](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_examples_ec2_securitygroups-vpc.html)을 참조하세요.
1. 에 로그인 AWS Management Console하고 [https://console.aws.amazon.com/emr](https://console.aws.amazon.com/emr) Amazon EMR 콘솔을 엽니다.
1. **클러스터**를 선택하세요. 수정할 클러스터의 **ID**를 선택합니다.
1. **네트워크 및 보안** 창에서 **EC2 보안 그룹(방화벽)** 드롭다운을 확장합니다.
1. **프라이머리 노드**에서 보안 그룹을 선택합니다.
1. **인바운드 규칙 편집**을 선택합니다.
1. 다음 설정으로 퍼블릭 액세스를 허용하는 인바운드 규칙이 있는지 확인합니다. 존재하는 경우 **삭제**를 선택하여 제거합니다.
+ **유형**
SSH
+ **포트**
22
+ **소스**
사용자 지정 0.0.0.0/0
**주의**
2020년 12월 이전에 포트 22에서 모든 소스의 인바운드 트래픽을 허용하도록 사전 구성된 규칙이 있었습니다. 이 규칙은 프라이머리 노드에 대한 초기 SSH 연결을 단순화하기 위해 생성되었습니다. 이 인바운드 규칙을 제거하고 신뢰할 수 있는 소스로 이동하는 트래픽을 제한하는 것이 좋습니다.
1. 규칙 목록의 하단으로 스크롤하고 **규칙 추가**를 선택합니다.
1. **유형**에서 **SSH**를 선택합니다.
SSH를 선택하면 **프로토콜**에는 **TCP**가 자동으로 입력되고 **포트 범위**에는 **22**가 입력됩니다.
1. 소스의 경우 **내 IP**를 선택하면 IP 주소가 소스 주소로 자동 추가됩니다. 신뢰할 수 있는 **사용자 지정** 클라이언트 IP 주소 범위를 추가하거나 다른 클라이언트에 대한 추가 규칙을 생성할 수도 있습니다. 많은 네트워크 환경에서 IP 주소를 동적으로 할당하므로 향후에 신뢰할 수 있는 클라이언트의 IP 주소를 업데이트해야 할 수 있습니다.
1. **저장**을 선택합니다.
1. 선택적으로 **네트워크 및 보안** 창의 **코어 및 태스크 노드**에서 다른 보안 그룹을 선택하고 위의 단계를 반복하여 SSH 클라이언트에서 코어 및 태스크 노드에 액세스할 수 있도록 허용합니다.
## 코어 및 태스크 인스턴스에 대한 Amazon EMR 관리형 보안 그룹(퍼블릭 서브넷)
퍼블릭 서브넷의 코어 및 태스크 인스턴스에 대한 기본 관리형 보안 그룹에서 **그룹 이름**은 **ElasticMapReduce-core**입니다. 기본 관리형 보안 그룹에는 다음과 같은 규칙이 있고, 사용자 지정 관리형 보안 그룹을 지정하면 Amazon EMR에서 동일한 규칙을 추가합니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/emr/latest/ManagementGuide/emr-man-sec-groups.html)
## 프라이머리 인스턴스에 대한 Amazon EMR 관리형 보안 그룹(프라이빗 서브넷)
프라이빗 서브넷의 프라이머리 인스턴스에 대한 기본 관리형 보안 그룹에서 **그룹 이름**은 **ElasticMapReduce-Primary-Private**입니다. 기본 관리형 보안 그룹에는 다음과 같은 규칙이 있고, 사용자 지정 관리형 보안 그룹을 지정하면 Amazon EMR에서 동일한 규칙을 추가합니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/emr/latest/ManagementGuide/emr-man-sec-groups.html)
## 코어 및 태스크 인스턴스에 대한 Amazon EMR 관리형 보안 그룹(프라이빗 서브넷)
프라이빗 서브넷의 코어 및 태스크 인스턴스에 대한 기본 관리형 보안 그룹에서 **그룹 이름**은 **ElasticMapReduce-Core-Private**입니다. 기본 관리형 보안 그룹에는 다음과 같은 규칙이 있고, 사용자 지정 관리형 보안 그룹을 지정하면 Amazon EMR에서 동일한 규칙을 추가합니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/emr/latest/ManagementGuide/emr-man-sec-groups.html)
### 아웃바운드 규칙 편집
Amazon EMR은 기본적으로 모든 프로토콜과 포트의 모든 아웃바운드 트래픽을 허용하는 아웃바운드 규칙을 사용하여 이 보안 그룹을 생성합니다. 모든 아웃바운드 트래픽을 허용하도록 선택한 이유는 Amazon EMR 클러스터에서 실행할 수 있는 다양한 Amazon EMR 및 고객 애플리케이션에 서로 다른 송신 규칙이 필요할 수 있기 때문입니다. Amazon EMR은 기본 보안 그룹을 생성할 때 이러한 특정 설정을 예상할 수 없습니다. 사용 사례 및 보안 정책에 적합한 규칙만 포함하도록 보안 그룹에서 송신 범위를 축소할 수 있습니다. 이 보안 그룹에는 최소한 다음과 같은 아웃바운드 규칙이 필요하지만 일부 애플리케이션에는 추가 송신이 필요할 수 있습니다.
| Type | 프로토콜 | 포트 범위 | Destination | 세부 정보 |
| --- | --- | --- | --- | --- |
| 모든 TCP | TCP | 모두 | pl-xxxxxxxx | 관리형 Amazon S3 접두사 목록 com.amazonaws.MyRegion.s3. |
| 모든 트래픽 | 모두 | 모두 | sg-xxxxxxxxxxxxxxxxx | ElasticMapReduce-Core-Private 보안 그룹의 ID. |
| 모든 트래픽 | 모두 | 모두 | sg-xxxxxxxxxxxxxxxxx | ElasticMapReduce-Primary-Private 보안 그룹의 ID입니다. |
| 사용자 지정 TCP | TCP | 9443 | sg-xxxxxxxxxxxxxxxxx | ElasticMapReduce-ServiceAccess 보안 그룹의 ID입니다. |
## 서비스 액세스에 대한 Amazon EMR 관리형 보안 그룹(프라이빗 서브넷)
프라이빗 서브넷의 서비스 액세스에 대한 기본 관리형 보안 그룹에는 **그룹 이름** **ElasticMapReduce-ServiceAccess**가 있습니다. HTTPS(포트 8443, 포트 9443)를 통한 트래픽을 프라이빗 서브넷의 다른 관리형 보안 그룹에 허용하는 아웃바운드 규칙과 인바운드 규칙이 있습니다. 이러한 규칙을 사용하여 클러스터 관리자는 프라이머리 노드, 그리고 코어 노드 및 태스크 노드와 통신할 수 있습니다. 사용자 지정 보안 그룹을 사용하는 경우 동일한 규칙이 필요합니다.
| Type | 프로토콜 | 포트 범위 | 소스 | 세부 정보 |
| --- | --- | --- | --- | --- |
| 인바운드 규칙 Amazon EMR 릴리스 5.30.0 이상인 Amazon EMR 클러스터에 필요합니다. |
| 사용자 지정 TCP | TCP | 9443 | 기본 인스턴스에 대한 관리형 보안 그룹의 그룹 ID입니다. | 이 규칙은 프라이머리 인스턴스의 보안 그룹과 서비스 액세스 보안 그룹 간의 통신을 허용합니다. |
| 아웃바운드 규칙 모든 Amazon EMR 클러스터에 필요함 |
| 사용자 지정 TCP | TCP | 8443 | 기본 인스턴스에 대한 관리형 보안 그룹의 그룹 ID입니다. | 이러한 규칙을 사용하여 클러스터 관리자는 프라이머리 노드, 그리고 코어 노드 및 태스크 노드와 통신할 수 있습니다. |
| 사용자 지정 TCP | TCP | 8443 | 코어 및 작업 인스턴스에 대한 관리형 보안 그룹의 그룹 ID입니다. | 이러한 규칙을 사용하여 클러스터 관리자는 프라이머리 노드, 그리고 코어 노드 및 태스크 노드와 통신할 수 있습니다. |