【Security Hub修復手順】[EMR.1] Amazon EMR クラスターマスターノードは、パブリック IP アドレスを設定していない必要があります

こんにちは、岩城です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[EMR.1] Amazon EMR クラスターマスターノードは、パブリック IP アドレスを設定していない必要があります

[EMR.1] Amazon Elastic MapReduce cluster master nodes should not have public IP addresses

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

EMRクラスターのマスターノード（コンソールやドキュメント上ではプライマリノードと表記）にパブリックIPアドレスを設定しないことを求めるものです。

明確な要件があってパブリックサブネット上でEMRクラスターを作成しているならば、セキュリティグループでアクセス元をきちんと制御していることを確認したうえで、当該コントロールを抑制済みに設定してください。

公式ドキュメントやAWSブログで紹介されていますが、大抵の場合EMRクラスターをプライベートサブネットで動作させることができます。

プライベートサブネット上でEMRクラスターを動作させることへのアーキテクチャ全体の構成変更の影響が大きくすぐに対応できない場合も、セキュリティグループでアクセス元をきちんと制御できていれば当面は問題ありません。

なお、EMRクラスターを作成する際、パブリックサブネットを選択するとプライマリノードにパブリックIPが設定されます。パブリックサブネットの設定でパブリックIPアドレスの自動割当を無効化していても、パブリックIPが設定されますので注意が必要です。

パブリックIP不要の場合は、プライベートサブネットを選択してEMRクラスターを作成してください。

修復手順

まずは、プライマリーノードにパブリックIPが設定されていることを確認します。

EMRクラスターの概要にプライマリノードのパブリックDNSが記載されていたり、

プライマリノードのインスタンスの概要からパブリックIPアドレスが記載されていれば、パブリックIPが設定されています。

それでは、プライベートサブネットを利用するようにEMRクラスターを再作成します。

本エントリでは、コンソールからクラスターを複製して作成してみます。プライベートサブネット上でEMRクラスターを作成することによる、システム全体の影響確認は各自確認をお願いします。

サブネットの選択画面から、プライベートサブネットを選択してEMRクラスターを作成します。

作成後、EMRクラスターの概要にプライマリノードのプライベートDNSが記載されていたり、

プライマリノードのインスタンスの概要からパブリックIPアドレスが記載されていなければOKです。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。