Uso de Amazon para EMR bloquear el acceso público

Amazon EMR block public access (BPA) le impide lanzar un clúster en una subred pública si el clúster tiene una configuración de seguridad que permite el tráfico entrante desde direcciones IP públicas de un puerto.

importante

Bloquear el acceso público está habilitado de forma predeterminada. Si desea aumentar la protección de la cuenta, le recomendamos que lo mantenga habilitado.

Explicación de Bloquear el acceso público

Puede utilizar la configuración a nivel de cuenta de acceso público en bloque para gestionar de forma centralizada el acceso a la red pública a los clústeres de AmazonEMR.

Cuando un usuario de tu Cuenta de AWS empresa lanza un clúster, Amazon EMR comprueba las reglas de puerto del grupo de seguridad del clúster y las compara con tus reglas de tráfico entrante. Si el grupo de seguridad tiene una regla de entrada que abre los puertos a las direcciones IP públicas IPv4 0.0.0.0/0 oIPv6:: /0, y esos puertos no se especifican como excepciones para tu cuenta, Amazon EMR no permite que el usuario cree el clúster.

Si un usuario modifica las reglas del grupo de seguridad de un clúster en ejecución en una subred pública para tener una regla de acceso público que infringe la BPA configuración de su cuenta, Amazon EMR revoca la nueva regla si tiene permiso para hacerlo. Si Amazon EMR no tiene permiso para revocar la regla, crea un evento en el AWS Health panel de control que describe la infracción. Para conceder el permiso de revocación de la regla a AmazonEMR, consultaConfigurar Amazon EMR para revocar las reglas de los grupos de seguridad.

Bloquear acceso público está habilitado de forma predeterminada para todos los clústeres de cada Región de AWS de su Cuenta de AWS. BPAse aplica a todo el ciclo de vida de un clúster, pero no a los clústeres que se crean en subredes privadas. Puede configurar excepciones a la BPA regla; el puerto 22 es una excepción de forma predeterminada. Para obtener más información sobre la configuración de excepciones, consulte Configuración de Bloquear el acceso público.

Configuración de Bloquear el acceso público

Puede actualizar los grupos de seguridad y la configuración de Bloquear el acceso público en sus cuentas en cualquier momento.

Puedes activar y desactivar la configuración de bloqueo de acceso público (BPA) con, AWS Command Line Interface (AWS CLI) y Amazon EMRAPI. AWS Management Console La configuración se aplica a toda su cuenta región por región. Para mantener la seguridad del clúster, te recomendamos que utilicesBPA.

Console

Para configurar, bloquear el acceso público con la consola

1. Inicia sesión en y AWS Management Console, a continuación, abre la EMR consola de Amazon en https://console.aws.amazon.com/emr.

2. En la barra de navegación superior, seleccione la Región que quiera configurar si aún no está seleccionada.

3. EC2En EMRel panel de navegación izquierdo, selecciona Bloquear el acceso público.

4. En Block public access settings (Configuración de Block Public Access), complete los pasos siguientes.

   Para…	Haga lo siguiente...
   Activar o desactivar Block Public Access	Seleccione Editar, Activar o Desactivar según corresponda y, a continuación, seleccione Guardar.
   Editar puertos en la lista de excepciones	Seleccione Editar y busque la sección Excepciones de rango de puertos. Para añadir puertos a la lista de excepciones, elija Add a port range (Añadir un rango de puertos) y escriba un nuevo puerto o rango de puertos. Repita para cada puerto o rango de puertos que desee añadir. Para eliminar un puerto o rango de puertos, elija Eliminar, junto a la entrada en la lista de rangos de puertos. Seleccione Guardar.

AWS CLI

Para configurar el bloqueo del acceso público mediante el AWS CLI

• Utilice el comando aws emr put-block-public-access-configuration para configurar Block Public Access, tal y como se muestra en los siguientes ejemplos.

  Para…	Haga lo siguiente...
  Activar Block Public Access	Defina BlockPublicSecurityGroupRules en true como se muestra en el ejemplo siguiente. Para que el clúster se lance, ningún grupo de seguridad asociado a un clúster puede tener una regla de entrada que permita el acceso público. aws emr put-block-public-access-configuration --block-public-access-configuration BlockPublicSecurityGroupRules=true
  Desactivar Block Public Access	Defina BlockPublicSecurityGroupRules en false como se muestra en el ejemplo siguiente. Los grupos de seguridad asociados a un clúster pueden tener reglas de entrada que permitan el acceso público en cualquier puerto. No recomendamos esta configuración. aws emr put-block-public-access-configuration --block-public-access-configuration BlockPublicSecurityGroupRules=false
  Activar Block Public Access y especificar los puertos como excepciones	En el siguiente ejemplo se activa el bloqueo del acceso público y se especifica el puerto 22 y los puertos 100-101 como excepciones. Esto permite crear clústeres si un grupo de seguridad asociado tiene una regla de entrada que permite el acceso público en los puertos 22, 100 o 101. aws emr put-block-public-access-configuration --block-public-access-configuration '{ "BlockPublicSecurityGroupRules": true, "PermittedPublicSecurityGroupRuleRanges": [ { "MinRange": 22, "MaxRange": 22 }, { "MinRange": 100, "MaxRange": 101 } ] }'

Configurar Amazon EMR para revocar las reglas de los grupos de seguridad

Amazon EMR necesita permiso para revocar las reglas de los grupos de seguridad y cumplir con tu configuración de bloqueo de acceso público. Puedes usar uno de los siguientes enfoques para conceder a Amazon EMR el permiso que necesita:

• Recomendado Asocie la política administrada AmazonEMRServicePolicy_v2 al rol de servicio. Para obtener más información, consulte Función de servicio para Amazon EMR (EMRfunción).

• Cree una nueva política insertada que permita realizar la acción ec2:RevokeSecurityGroupIngress en los grupos de seguridad. Para obtener más información sobre cómo modificar la política de permisos de un rol, consulte Modificación de la política de permisos de un rol con la IAMconsola y AWS CLIen la Guía del IAM usuario. AWS API

Resolución de infracciones de Bloquear el acceso público

Si se produce una infracción de Bloquear el acceso público, puede mitigarla con una de las siguientes acciones:

• Si desea acceder a una interfaz web de su clúster, utilice una de las opciones descritas en Ver las interfaces web alojadas en los EMR clústeres de Amazon para acceder a la interfaz a través SSH del puerto 22.

• Para permitir el tráfico al clúster desde direcciones IP específicas en lugar de desde la dirección IP pública, agregue una regla de grupo de seguridad. Para obtener más información, consulte Añadir reglas a un grupo de seguridad en la Guía de EC2 introducción de Amazon.

• (No recomendado) Puedes configurar EMR BPA las excepciones de Amazon para que incluyan el puerto o rango de puertos que desees. Al especificar una BPA excepción, se crea un riesgo con un puerto desprotegido. Si planea especificar una excepción, debe eliminarla tan pronto como deje de ser necesaria. Para obtener más información, consulte Configuración de Bloquear el acceso público.

Identificación de los clústeres asociados a las reglas de los grupos de seguridad

Es posible que tenga que identificar todos los clústeres asociados a una regla de grupo de seguridad determinada o buscar la regla de grupo de seguridad de un clúster determinado.

• Si conoce el grupo de seguridad, puede identificar sus clústeres asociados si encuentra las interfaces de red del grupo de seguridad. Para obtener más información, consulta ¿Cómo puedo encontrar los recursos asociados a un grupo de EC2 seguridad de Amazon? no AWS re:Post. Las EC2 instancias de Amazon que estén conectadas a estas interfaces de red se etiquetarán con el ID del clúster al que pertenecen.

• Si desea buscar los grupos de seguridad de un clúster conocido, siga los pasos que se indican en Ver el estado y los detalles del clúster. Puede encontrar los grupos de seguridad del clúster en el panel Red y seguridad de la consola o en el campo Ec2InstanceAttributes de la AWS CLI.