Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de Amazon para EMR bloquear el acceso público
Amazon EMR block public access (BPA) le impide lanzar un clúster en una subred pública si el clúster tiene una configuración de seguridad que permite el tráfico entrante desde direcciones IP públicas de un puerto.
importante
Bloquear el acceso público está habilitado de forma predeterminada. Si desea aumentar la protección de la cuenta, le recomendamos que lo mantenga habilitado.
Explicación de Bloquear el acceso público
Puede utilizar la configuración a nivel de cuenta de acceso público en bloque para gestionar de forma centralizada el acceso a la red pública a los clústeres de AmazonEMR.
Cuando un usuario de tu Cuenta de AWS empresa lanza un clúster, Amazon EMR comprueba las reglas de puerto del grupo de seguridad del clúster y las compara con tus reglas de tráfico entrante. Si el grupo de seguridad tiene una regla de entrada que abre los puertos a las direcciones IP públicas IPv4 0.0.0.0/0 oIPv6:: /0, y esos puertos no se especifican como excepciones para tu cuenta, Amazon EMR no permite que el usuario cree el clúster.
Si un usuario modifica las reglas del grupo de seguridad de un clúster en ejecución en una subred pública para tener una regla de acceso público que infringe la BPA configuración de su cuenta, Amazon EMR revoca la nueva regla si tiene permiso para hacerlo. Si Amazon EMR no tiene permiso para revocar la regla, crea un evento en el AWS Health panel de control que describe la infracción. Para conceder el permiso de revocación de la regla a AmazonEMR, consultaConfigurar Amazon EMR para revocar las reglas de los grupos de seguridad.
Bloquear acceso público está habilitado de forma predeterminada para todos los clústeres de cada Región de AWS de su Cuenta de AWS. BPAse aplica a todo el ciclo de vida de un clúster, pero no a los clústeres que se crean en subredes privadas. Puede configurar excepciones a la BPA regla; el puerto 22 es una excepción de forma predeterminada. Para obtener más información sobre la configuración de excepciones, consulte Configuración de Bloquear el acceso público.
Configuración de Bloquear el acceso público
Puede actualizar los grupos de seguridad y la configuración de Bloquear el acceso público en sus cuentas en cualquier momento.
Puedes activar y desactivar la configuración de bloqueo de acceso público (BPA) con, AWS Command Line Interface (AWS CLI) y Amazon EMRAPI. AWS Management Console La configuración se aplica a toda su cuenta región por región. Para mantener la seguridad del clúster, te recomendamos que utilicesBPA.
Configurar Amazon EMR para revocar las reglas de los grupos de seguridad
Amazon EMR necesita permiso para revocar las reglas de los grupos de seguridad y cumplir con tu configuración de bloqueo de acceso público. Puedes usar uno de los siguientes enfoques para conceder a Amazon EMR el permiso que necesita:
-
Recomendado Asocie la política administrada
AmazonEMRServicePolicy_v2
al rol de servicio. Para obtener más información, consulte Función de servicio para Amazon EMR (EMRfunción). -
Cree una nueva política insertada que permita realizar la acción
ec2:RevokeSecurityGroupIngress
en los grupos de seguridad. Para obtener más información sobre cómo modificar la política de permisos de un rol, consulte Modificación de la política de permisos de un rol con la IAMconsola y AWS CLIen la Guía del IAM usuario. AWS API
Resolución de infracciones de Bloquear el acceso público
Si se produce una infracción de Bloquear el acceso público, puede mitigarla con una de las siguientes acciones:
-
Si desea acceder a una interfaz web de su clúster, utilice una de las opciones descritas en Ver las interfaces web alojadas en los EMR clústeres de Amazon para acceder a la interfaz a través SSH del puerto 22.
-
Para permitir el tráfico al clúster desde direcciones IP específicas en lugar de desde la dirección IP pública, agregue una regla de grupo de seguridad. Para obtener más información, consulte Añadir reglas a un grupo de seguridad en la Guía de EC2 introducción de Amazon.
-
(No recomendado) Puedes configurar EMR BPA las excepciones de Amazon para que incluyan el puerto o rango de puertos que desees. Al especificar una BPA excepción, se crea un riesgo con un puerto desprotegido. Si planea especificar una excepción, debe eliminarla tan pronto como deje de ser necesaria. Para obtener más información, consulte Configuración de Bloquear el acceso público.
Identificación de los clústeres asociados a las reglas de los grupos de seguridad
Es posible que tenga que identificar todos los clústeres asociados a una regla de grupo de seguridad determinada o buscar la regla de grupo de seguridad de un clúster determinado.
-
Si conoce el grupo de seguridad, puede identificar sus clústeres asociados si encuentra las interfaces de red del grupo de seguridad. Para obtener más información, consulta ¿Cómo puedo encontrar los recursos asociados a un grupo de EC2 seguridad de Amazon?
no AWS re:Post. Las EC2 instancias de Amazon que estén conectadas a estas interfaces de red se etiquetarán con el ID del clúster al que pertenecen. -
Si desea buscar los grupos de seguridad de un clúster conocido, siga los pasos que se indican en Ver el estado y los detalles del clúster. Puede encontrar los grupos de seguridad del clúster en el panel Red y seguridad de la consola o en el campo
Ec2InstanceAttributes
de la AWS CLI.