Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de grupos de seguridad administrados por Amazon EMR
nota
Amazon EMR tiene como objetivo utilizar alternativas inclusivas para términos industriales potencialmente ofensivos o no inclusivos, como “maestro” y “esclavo”. Hemos adoptado una nueva terminología para fomentar una experiencia más inclusiva y que así pueda entender mejor los componentes del servicio.
Ahora describimos los “nodos” como instancias y describimos los tipos de instancias de Amazon EMR como instancias principales, básicas y de tareas. Durante la transición, es posible que siga encontrando referencias antiguas a términos obsoletos, como los que se refieren a los grupos de seguridad de Amazon EMR.
Son varios los grupos de seguridad administrados que están asociados a la instancia principal y con las instancias secundarias y de tareas de un clúster. Se requiere un grupo de seguridad administrado adicional para el acceso al servicio al crear un clúster en una subred privada. Para obtener más información sobre la función de los grupos de seguridad administrados con respecto a la configuración de la red, consulte Opciones de Amazon VPC.
Cuando especifique grupos de seguridad administrados para un clúster, debe utilizar el mismo tipo de grupo de seguridad, predeterminado o personalizado, para todos los grupos. Por ejemplo, no puede especificar un grupo de seguridad personalizado para la instancia principal y, acto seguido, no especificar un grupo de seguridad personalizado para las instancias secundarias y de tareas.
Si piensa utilizar los grupos de seguridad administrados predeterminados, no es necesario que los especifique al crear un clúster. Amazon EMR utiliza automáticamente los valores predeterminados. Además, si los valores predeterminados aún no existen en la VPC del clúster, Amazon EMR los crea. Amazon EMR también los crea si los especifica de forma explícita y aún no existen.
Puede editar reglas en los grupos de seguridad administrados una vez que se hayan creado los clústeres. Cuando se crea un clúster nuevo, Amazon EMR comprueba las reglas de los grupos de seguridad administrados que se especifican y, a continuación, crea las reglas entrantes que faltan y que el clúster nuevo necesita, junto con las reglas que se hayan podido agregar anteriormente. A menos que se indique lo contrario, cada regla para los grupos de seguridad administrados por Amazon EMR predeterminados también se agrega a los grupos de seguridad administrados por Amazon EMR personalizados que especifique.
Los grupos de seguridad administrados predeterminados son los siguientes:
-
ElasticMapReducir: primario
Para ver las reglas de este grupo de seguridad, consulte Grupo de seguridad administrado por Amazon EMR para la instancia principal (subredes públicas).
-
ElasticMapReducir el núcleo
Para ver las reglas de este grupo de seguridad, consulte Grupo de seguridad administrado por Amazon EMR para las instancias básicas y de tareas (subredes públicas).
-
ElasticMapReducir lo primario y lo privado
Para ver las reglas de este grupo de seguridad, consulte Grupo de seguridad administrado por Amazon EMR para la instancia principal (subredes privadas).
-
ElasticMapReduce-Core-Private
Para ver las reglas de este grupo de seguridad, consulte Grupo de seguridad administrado por Amazon EMR para las instancias secundarias y de tareas (subredes privadas).
-
ElasticMapReducir- ServiceAccess
Para ver las reglas de este grupo de seguridad, consulte Grupo de seguridad administrado por Amazon EMR para el acceso de los servicios (subredes privadas).
Grupo de seguridad administrado por Amazon EMR para la instancia principal (subredes públicas)
El grupo de seguridad administrado predeterminado para la instancia principal en las subredes públicas tiene el nombre de grupo Reduce-primary. ElasticMap Tiene las siguientes reglas: Si especifica un grupo de seguridad administrado personalizado, Amazon EMR agrega las mismas reglas a su grupo de seguridad personalizado.
| Tipo | Protocolo | Intervalo de puertos | Origen | Detalles |
|---|---|---|---|---|
| Reglas de entrada | ||||
| Todo el ICMP IPv4 | Todos | N/A | El ID de grupo del grupo de seguridad administrado para la instancia principal. En otras palabras, el mismo grupo de seguridad en el que aparece la regla. | Estas reglas reflexivas permiten el tráfico entrante desde cualquier instancia asociada al grupo de seguridad especificado. El uso del grupo de seguridad predeterminado |
| Todos los TCP | TCP | Todos | ||
| Todo el UDP | UDP | Todos | ||
| Todo el ICMP IPV4 | Todos | N/A | El ID de grupo del grupo de seguridad administrado especificado para los nodos secundarios y de tareas. | Estas reglas permiten todo el tráfico ICMP entrante y el tráfico a través de cualquier puerto TCP o UDP desde cualquier instancia secundaria y de tareas asociada al grupo de seguridad especificado, incluso si las instancias se encuentran en clústeres distintos. |
| Todos los TCP | TCP | Todos | ||
| Todo el UDP | UDP | Todos | ||
| Personalizada | TCP | 8443 | Diversos rangos de direcciones IP de Amazon | Estas reglas permiten que el administrador del clúster se comunique con el nodo principal. |
Para conceder a las fuentes de confianza acceso SSH al grupo de seguridad principal con la consola
Para editar los grupos de seguridad, debe tener permiso para administrar los grupos de seguridad de la VPC en la que se encuentra el clúster. Para obtener más información, consulte Cambio de los permisos de un usuario y el Ejemplo de política que permite administrar los grupos de seguridad de EC2 en la Guía del usuario de IAM.
Seleccione Clusters (Clústeres). Elija el ID del clúster que desea modificar.
En el panel Red y seguridad, amplíe el menú desplegable de grupos de seguridad (firewall) de EC2.
En el nodo principal, elija su grupo de seguridad.
Elija Editar reglas de entrada.
Compruebe si hay una regla de entrada que permita el acceso público con la siguiente configuración. Si existe, seleccione Eliminar para eliminarla.
-
Tipo
SSH
-
Puerto
22
-
Origen
0.0.0.0/0 personalizado
aviso
Antes de diciembre de 2020, había una regla preconfigurada que permitía el tráfico entrante en el puerto 22 desde todas las fuentes. Esta regla se creó para simplificar las conexiones SSH iniciales al nodo principal. Le recomendamos encarecidamente que elimine esta regla de entrada y que restrinja el tráfico a los orígenes de confianza.
-
Desplácese a la parte inferior de la lista de reglas y seleccione Agregar regla.
-
En Type (Tipo), seleccione SSH.
Al seleccionar SSH, se ingresa automáticamente TCP en Protocolo y 22 en Rango de puertos.
-
Como origen, seleccione Mi IP para agregar automáticamente su dirección IP como dirección de origen. También puede agregar un rango de direcciones IP de clientes de confianza personalizadas o crear reglas adicionales para otros clientes. Muchos entornos de red asignan direcciones IP de forma dinámica, por lo que es posible que en el futuro necesite actualizar las direcciones IP de los clientes de confianza.
Seleccione Guardar.
Si lo desea, elija el otro grupo de seguridad en los nodos principales y de tareas del panel Red y seguridad y repita los pasos anteriores para permitir que los clientes SSH accedan a los nodos principales y de tareas.
Grupo de seguridad administrado por Amazon EMR para las instancias básicas y de tareas (subredes públicas)
El grupo de seguridad administrado predeterminado para las instancias principales y de tareas en las subredes públicas tiene el nombre de grupo Reduce-core. ElasticMap El grupo de seguridad administrado predeterminado tiene las siguientes reglas, y Amazon EMR agrega las mismas reglas si especifica un grupo de seguridad administrado personalizado.
| Tipo | Protocolo | Intervalo de puertos | Origen | Detalles |
|---|---|---|---|---|
| Reglas de entrada | ||||
| Todo el ICMP IPV4 | Todos | N/A | El ID de grupo del grupo de seguridad administrado para las instancias secundarias y de tareas. En otras palabras, el mismo grupo de seguridad en el que aparece la regla. | Estas reglas reflexivas permiten el tráfico entrante desde cualquier instancia asociada al grupo de seguridad especificado. El uso del grupo de seguridad predeterminado |
| Todos los TCP | TCP | Todos | ||
| Todo el UDP | UDP | Todos | ||
| Todo el ICMP IPV4 | Todos | N/A | El ID de grupo del grupo de seguridad administrado para la instancia principal. | Estas reglas permiten todo el tráfico ICMP entrante y el tráfico a través de cualquier puerto TCP o UDP desde cualquier instancia principal asociada al grupo de seguridad especificado, incluso si las instancias se encuentran en clústeres distintos. |
| Todos los TCP | TCP | Todos | ||
| Todo el UDP | UDP | Todos | ||
Grupo de seguridad administrado por Amazon EMR para la instancia principal (subredes privadas)
El grupo de seguridad administrado predeterminado para la instancia principal en las subredes privadas tiene el nombre de grupo Reduce-Primary-Private. ElasticMap El grupo de seguridad administrado predeterminado tiene las siguientes reglas, y Amazon EMR agrega las mismas reglas si especifica un grupo de seguridad administrado personalizado.
| Tipo | Protocolo | Intervalo de puertos | Origen | Detalles |
|---|---|---|---|---|
| Reglas de entrada | ||||
| Todo el ICMP IPv4 | Todos | N/A | El ID de grupo del grupo de seguridad administrado para la instancia principal. En otras palabras, el mismo grupo de seguridad en el que aparece la regla. | Estas reglas reflexivas permiten el tráfico entrante desde cualquier instancia asociada al grupo de seguridad especificado y que esté accesible desde dentro de la subred privada. El uso del grupo de seguridad predeterminado |
| Todos los TCP | TCP | Todos | ||
| Todo el UDP | UDP | Todos | ||
| Todo el ICMP IPV4 | Todos | N/A | El ID de grupo del grupo de seguridad administrado para los nodos secundarios y de tareas. | Estas reglas permiten todo el tráfico ICMP entrante y el tráfico a través de cualquier puerto TCP o UDP desde cualquier instancia secundaria y de tareas asociada al grupo de seguridad especificado y que esté accesible desde la subred privada, incluso si las instancias se encuentran en clústeres distintos. |
| Todos los TCP | TCP | Todos | ||
| Todo el UDP | UDP | Todos | ||
| HTTPS (8443) | TCP | 8443 | El ID de grupo del grupo de seguridad administrado para el acceso de los servicios en una subred privada. | Esta regla permite que el administrador del clúster se comunique con el nodo principal. |
| Reglas de salida | ||||
| Todo el tráfico | Todos | Todos | 0.0.0.0/0 | Permite el acceso de salida a Internet. |
| TCP personalizada | TCP | 9443 | El ID de grupo del grupo de seguridad administrado para el acceso de los servicios en una subred privada. | Si se elimina la regla de salida predeterminada “Todo el tráfico” anterior, esta regla es un requisito mínimo para las versiones 5.30.0 y posteriores de Amazon EMR. notaAmazon EMR no agrega esta regla cuando utiliza un grupo de seguridad administrado personalizado. |
| TCP personalizada | TCP | 80 (http) o 443 (https) | El ID de grupo del grupo de seguridad administrado para el acceso de los servicios en una subred privada. | Si se elimina la regla de salida predeterminada “Todo el tráfico” anterior, esta regla es un requisito mínimo para que las versiones 5.30.0 y posteriores de Amazon EMR se conecten a Amazon S3 a través de https. notaAmazon EMR no agrega esta regla cuando utiliza un grupo de seguridad administrado personalizado. |
Grupo de seguridad administrado por Amazon EMR para las instancias secundarias y de tareas (subredes privadas)
El grupo de seguridad administrado predeterminado para las instancias principales y de tareas en las subredes privadas tiene el nombre de grupo Reduce-Core-Private. ElasticMap El grupo de seguridad administrado predeterminado tiene las siguientes reglas, y Amazon EMR agrega las mismas reglas si especifica un grupo de seguridad administrado personalizado.
| Tipo | Protocolo | Intervalo de puertos | Origen | Detalles |
|---|---|---|---|---|
| Reglas de entrada | ||||
| Todo el ICMP IPV4 | Todos | N/A | El ID de grupo del grupo de seguridad administrado para las instancias secundarias y de tareas. En otras palabras, el mismo grupo de seguridad en el que aparece la regla. | Estas reglas reflexivas permiten el tráfico entrante desde cualquier instancia asociada al grupo de seguridad especificado. El uso del grupo de seguridad predeterminado |
| Todos los TCP | TCP | Todos | ||
| Todo el UDP | UDP | Todos | ||
| Todo el ICMP IPV4 | Todos | N/A | El ID de grupo del grupo de seguridad administrado para la instancia principal. | Estas reglas permiten todo el tráfico ICMP entrante y el tráfico a través de cualquier puerto TCP o UDP desde cualquier instancia principal asociada al grupo de seguridad especificado, incluso si las instancias se encuentran en clústeres distintos. |
| Todos los TCP | TCP | Todos | ||
| Todo el UDP | UDP | Todos | ||
| HTTPS (8443) | TCP | 8443 | El ID de grupo del grupo de seguridad administrado para el acceso de los servicios en una subred privada. | Esta regla permite que el administrador del clúster se comunique con los nodos secundarios y de tareas. |
| Reglas de salida | ||||
| Todo el tráfico | Todos | Todos | 0.0.0.0/0 | Consulte Edición de reglas de salida a continuación. |
| TCP personalizada | TCP | 80 (http) o 443 (https) | El ID de grupo del grupo de seguridad administrado para el acceso de los servicios en una subred privada. | Si se elimina la regla de salida predeterminada “Todo el tráfico” anterior, esta regla es un requisito mínimo para que las versiones 5.30.0 y posteriores de Amazon EMR se conecten a Amazon S3 a través de https. notaAmazon EMR no agrega esta regla cuando utiliza un grupo de seguridad administrado personalizado. |
Edición de reglas de salida
De forma predeterminada, Amazon EMR crea este grupo de seguridad con reglas de salida que permiten todo el tráfico saliente en todos los protocolos y puertos. Se selecciona Permitir todo el tráfico saliente porque varias aplicaciones cliente y de Amazon EMR que se pueden ejecutar en clústeres de Amazon EMR pueden requerir reglas de salida diferentes. Amazon EMR no puede anticipar estos ajustes específicos al crear grupos de seguridad predeterminados. Puede limitar las salidas en sus grupos de seguridad para incluir solo las reglas que se adapten a sus casos de uso y políticas de seguridad. Como mínimo, este grupo de seguridad requiere las siguientes reglas de salida, pero es posible que algunas aplicaciones necesiten una salida adicional.
| Tipo | Protocolo | Rango de puerto | Destino | Detalles |
|---|---|---|---|---|
| Todos los TCP | TCP | Todos | pl-xxxxxxxx |
Lista de prefijos de Amazon S3 administrados com.amazonaws.. |
| All Traffic | Todos | Todos | sg-xxxxxxxxxxxxxxxxx |
El ID del grupo de seguridad ElasticMapReduce-Core-Private. |
| All Traffic | Todos | Todos | sg-xxxxxxxxxxxxxxxxx |
El ID del grupo de seguridad ElasticMapReduce-Primary-Private. |
| TCP personalizada | TCP | 9443 | sg-xxxxxxxxxxxxxxxxx |
El ID del grupo de seguridad ElasticMapReduce-ServiceAccess. |
Grupo de seguridad administrado por Amazon EMR para el acceso de los servicios (subredes privadas)
El grupo de seguridad administrado predeterminado para el acceso a los servicios en subredes privadas tiene el nombre de grupo ElasticMap Reduce- ServiceAccess. Tiene reglas de entrada y reglas de salida que permiten el tráfico a través de HTTPS (puerto 8443 o 9443) hacia los demás grupos de seguridad administrados en las subredes privadas. Estas reglas permiten que el administrador del clúster se comunique con el nodo principal y con nodos principales y de tarea. Se necesitan las mismas reglas si utiliza grupos de seguridad personalizados.
| Tipo | Protocolo | Intervalo de puertos | Origen | Detalles |
|---|---|---|---|---|
| Reglas de entrada necesarias para clústeres de Amazon EMR con versiones 5.30.0 y posteriores. | ||||
| TCP personalizada | TCP | 9443 | El ID de grupo del grupo de seguridad administrado de la instancia principal. |
Esta regla permite la comunicación entre el grupo de seguridad de la instancia principal y el grupo de seguridad de acceso al servicio. |
| Reglas de salida necesarias para todos los clústeres de Amazon EMR | ||||
| TCP personalizada | TCP | 8443 | El ID de grupo del grupo de seguridad administrado de la instancia principal. |
Estas reglas permiten que el administrador del clúster se comunique con el nodo principal y con nodos principales y de tarea. |
| TCP personalizada | TCP | 8443 | El ID de grupo del grupo de seguridad administrado para las instancias secundarias y de tareas. |
Estas reglas permiten que el administrador del clúster se comunique con el nodo principal y con nodos principales y de tarea. |
